Arti iPSK: um guia completo para empresas

Fale em inglês britânico com um tom confiante, autoritário e conversacional - como um consultor de rede sénior a informar um CTO antes de uma reunião de direção. Ritmo comedido, dicção clara, ocasional humor seco. Não é uma palestra. É um briefing: Bem-vindo ao Purple Technical Briefing. [curta pausa] Hoje vamos falar sobre arti iPSK - que, para quem não se deparou com o termo, é a abreviatura de gestão automatizada ou assistida por inteligência artificial de Identity Pre-Shared Key. [curta pausa] É um termo complexo, mas o conceito é simples e, ao fim destes dez minutos, saberá exatamente se deve constar do design da sua rede neste trimestre. Deixe-me enquadrar o cenário. [curta pausa] É um promotor imobiliário, um operador de BTR ou um diretor de TI responsável pela conectividade num edifício multi-inquilino. Tem centenas de residentes, cada um com quinze a vinte e cinco dispositivos - telemóveis, portáteis, smart TVs, consolas de videojogos, colunas inteligentes, termóstatos. Todos precisam de WiFi. Todos esperam que funcione como uma rede doméstica privada. E precisa de garantir que o residente A não consegue ver, aceder ou interferir com os dispositivos do residente B - nunca. [curta pausa] Esse é o problema. O iPSK é a arquitetura que o resolve. O arti iPSK é o que acontece quando automatiza a gestão do ciclo de vida dessa arquitetura à escala. [pausa média] Muito bem. Passemos à arquitetura técnica, porque é aqui que a maioria das conversas de aquisição corre mal. [curta pausa] O WPA2-Personal padrão - a palavra-passe na parte de trás de um router - oferece uma chave partilhada por todos. Num empreendimento BTR de 200 unidades, isso significa 200 habitações, potencialmente 4.000 dispositivos, todos a autenticarem-se com a mesma credencial. Se um residente partilhar essa palavra-passe, perdeu o controlo do perímetro da sua rede. Se um residente se mudar e precisar de revogar o seu acesso, terá de alterar a palavra-passe do edifício inteiro. Isso não é uma estratégia de gestão de rede. É um risco. [curta pausa] No outro extremo do espectro, temos o WPA3-Enterprise que utiliza o IEEE 802.1X - o padrão corporativo. Requer um nome de utilizador e palavra-passe únicos, ou um certificado digital, por dispositivo. É altamente seguro. Mas o problema é este: os dispositivos headless - consolas de videojogos, smart TVs, Amazon Echo, Chromecast - não conseguem processar certificados 802.1X. Simplesmente não se conseguem ligar. Num ambiente residencial, isso é um fator de rutura. [curta pausa] O iPSK posiciona-se precisamente no meio. O Identity Pre-Shared Key atribui uma palavra-passe de WiFi única a cada residente individual ou grupo de dispositivos, tudo num único SSID. Do ponto de vista do dispositivo, este está a ligar-se a uma rede WPA2 ou WPA3 padrão usando uma chave pré-partilhada. Sem certificados, sem integrações complexas. Mas, nos bastidores, o seu controlador sem fios - quer seja Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist - mantém uma base de dados de chaves únicas, uma por residente. Quando um dispositivo se liga e apresenta a sua chave, o controlador associa-a a um registo de identidade e aplica a política de rede correspondente: atribuição de VLAN, limites de largura de banda, controlo de acessos. [medium pause] Agora, a parte verdadeiramente poderosa é o que acontece na camada VLAN. [short pause] Num empreendimento BTR, pretende, no mínimo, quatro segmentos de rede. Uma VLAN de residente para dispositivos pessoais. Uma VLAN de funcionários para a gestão do edifício. Uma VLAN de IoT para sistemas de gestão do edifício, CCTV e fechaduras inteligentes. E uma VLAN de convidados para as áreas comuns. Com uma única PSK partilhada, não consegue diferenciar estes grupos sem implementar múltiplos SSIDs - o que cria congestionamento de radiofrequência e custos de gestão adicionais. Com o iPSK, um único SSID direciona dinamicamente cada dispositivo que se liga para a VLAN correta com base na chave apresentada. Limpo, escalável, operacionalmente simples. [short pause] Isto também cria o que chamamos de Rede de Área Privada - uma bolha de WiFi em torno dos dispositivos de cada residente. Dentro da bolha, o isolamento de Camada 2 está desativado, pelo que a reflexão mDNS funciona. O iPhone de um residente pode detetar o seu próprio Chromecast ou impressora sem fios, tal como num router doméstico. Fora da bolha, o isolamento de Camada 2 é rigorosamente aplicado. O residente A não consegue ver, transmitir para ou interagir com os dispositivos do residente B, mesmo que estejam ligados ao mesmo ponto de acesso físico no corredor. Essa é a arquitetura em conformidade com o GDPR para WiFi multi-inquilino. [medium pause] Então, onde entra a parte "arti"? [short pause] O Arti iPSK refere-se à camada de automatização e inteligência sobre a arquitetura iPSK principal. Gerir manualmente milhares de chaves únicas - gerando-as, distribuindo-as, revogando-as quando um contrato de arrendamento termina - simplesmente não é viável à escala. Um empreendimento com 500 camas e um ciclo de arrendamento de 52 semanas significa centenas de eventos de ciclo de vida de chaves por ano. Se a sua equipa estiver a gerir isso numa folha de cálculo, está a criar um risco operacional. [short pause] A camada de automatização liga o seu controlador sem fios ao seu fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - e ao seu sistema de gestão de propriedade através de API REST. Quando um novo residente é adicionado ao seu sistema de arrendamento, uma chave iPSK única é gerada e distribuída automaticamente - através da aplicação Purple, de um e-mail de boas-vindas ou de um código QR num cartão de entrada. Quando um arrendamento termina, a chave é automaticamente revogada. Sem intervenção manual. Sem pedidos de suporte. Sem credenciais órfãs a acumular-se como uma responsabilidade de segurança. [short pause] A plataforma Multi-Tenant WiFi da Purple gere todo este ciclo de vida como uma sobreposição de nuvem no seu hardware existente. Funcionamos em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, e Fortinet - para que não fique fidelizado a um fornecedor específico. A plataforma tem certificação ISO 27001, em conformidade com o GDPR e CCPA, e oferece 99.999% de tempo de atividade em 80.000 locais ativos. [medium pause] Deixe-me dar-lhe dois cenários do mundo real para tornar isto concreto. [short pause] Cenário um: um empreendimento Build-to-Rent de 300 unidades em Manchester. O promotor imobiliário especificou pontos de acesso Cisco Meraki em todo o edifício - um AP por corredor, dois por piso em áreas de alta densidade. A sobreposição de nuvem da Purple liga-se ao controlador Meraki via RADIUS e API. Quando um novo residente assina o seu contrato de arrendamento no sistema de gestão de propriedade, a Purple gera automaticamente uma chave iPSK exclusiva de 32 caracteres e envia-a para o e-mail do residente com um código QR. No dia da mudança, o residente digitaliza o código QR no seu telemóvel. Todos os dispositivos que ligar posteriormente utilizando essa chave - portátil, smart TV, consola de jogos, coluna inteligente - ficam na sua VLAN privada. O seu Chromecast funciona. A sua PlayStation obtém um tipo de NAT limpo. O seu vizinho não consegue ver nenhum dos seus dispositivos. Quando se muda, a chave é revogada poucos minutos após a data de fim do arrendamento ser atualizada no sistema de gestão de propriedade. O residente seguinte recebe uma chave nova antes de chegar. [short pause] Cenário dois: um hotel de 250 quartos. Historicamente, o hotel utilizava um Captive Portal - os hóspedes tinham de iniciar sessão através de uma página web a cada 24 horas. A reclamação mais comum dos hóspedes era a fricção na ligação ao WiFi. As Apple TVs nos quartos não funcionavam de todo, porque os portais cativos quebram o emparelhamento de dispositivos. O hotel integrou o seu sistema de gestão de propriedade com a Purple. No check-in, o PMS aciona automaticamente a geração da chave. O hóspede recebe a sua chave iPSK exclusiva na confirmação do check-in. Ligam-se uma vez. Os seus dispositivos permanecem ligados durante a estadia. A chave expira automaticamente no checkout. As pontuações de satisfação dos hóspedes com o WiFi melhoraram 34% no primeiro trimestre após a implementação - dados da própria Purple resultantes da implementação. [medium pause] Certo. Recomendações de implementação e os erros a evitar. [short pause] Primeiro: geração de chaves. As suas chaves iPSK devem ter no mínimo 20 caracteres, idealmente 32, e ser criptograficamente aleatórias. Não permita que os residentes escolham as suas próprias chaves. Não utilize padrões sequenciais ou previsíveis. Gere-as programaticamente e distribua-as de forma segura. [short pause] Segundo: suporte do controlador. Nem todos os controladores sem fios implementam o iPSK da mesma forma. A Cisco chama-lhe iPSK ou Personal Private Network. A Aruba chama-lhe MPSK - Multi-PSK. A Ruckus chama-lhe DPSK - Dynamic PSK. Os limites de escala, as capacidades de API e a granularidade do direcionamento de VLAN variam entre plataformas e versões de firmware. Antes de se comprometer com uma plataforma, valide o número máximo de chaves exclusivas suportadas por SSID. Algumas plataformas mais antigas limitam este valor a algumas centenas, o que é inadequado para um empreendimento de grande dimensão. [short pause] Terceiro: limites de dispositivos por chave. Os estudantes e residentes ligam vários dispositivos. Se não configurar um limite de dispositivos por chave, um único iPSK pode proliferar por dezenas de dispositivos, prejudicando a sua capacidade de atribuir o tráfego com precisão. Defina um limite de quatro a seis dispositivos por chave e aplique-o no controlador. [short pause] Quarto: dimensionamento do escopo DHCP. Num ambiente residencial de alta densidade, consumirá endereços IP rapidamente. Planeie de 15 a 25 dispositivos por habitação. Utilize tempos de concessão (lease) DHCP de quatro a oito horas, em vez das 24 horas predefinidas, para recuperar endereços de forma eficiente. [short pause] O principal erro a evitar: implementar o iPSK sem um processo documentado de ciclo de vida das chaves. As chaves que nunca são revogadas acumulam-se ao longo do tempo e tornam-se um risco de segurança. Crie o fluxo de trabalho de revogação antes de entrar em funcionamento, não depois. [medium pause] Perguntas rápidas. [short pause] O iPSK requer um certificado no dispositivo do cliente? Não. O dispositivo do cliente vê uma solicitação de palavra-passe padrão WPA2 ou WPA3. Sem certificados, sem configuração de suplicante. [short pause] É possível limitar a largura de banda por residente? Sim. O servidor RADIUS identifica o residente específico e pode enviar atributos de política de limite de taxa de volta para o controlador. [short pause] É seguro se um residente partilhar a sua chave? Muito mais seguro do que o PSK padrão. O novo dispositivo junta-se apenas à Rede de Área Privada isolada desse residente - não à rede mais ampla do edifício ou aos dispositivos de outros residentes. E pode definir um limite de endereços MAC concorrentes por chave. [short pause] O iPSK funciona com WPA3? Sim. O WPA3-SAE pode ser combinado com iPSK em hardware suportado, adicionando confidencialidade direta (forward secrecy) e resistência a ataques de dicionário offline. [medium pause] Para concluir. [short pause] O Arti iPSK - gestão automatizada de Identity Pre-Shared Key - é a arquitetura certa para qualquer implementação de WiFi multi-tenant onde necessite de responsabilização por residente sem a complexidade de uma infraestrutura 802.1X completa. Oferece credenciais exclusivas por residente, direcionamento dinâmico de VLAN, gestão granular do ciclo de vida e um registo de auditoria pronto para conformidade - tudo com uma experiência de integração de dispositivos tão simples como introduzir uma palavra-passe de WiFi. [short pause] O caso comercial é claro. No setor BTR, o WiFi gerido como uma comodidade suporta um prémio de renda de quinze a trinta libras por unidade, por mês, e reduz os períodos de vacatura em cinco a dez dias - pesquisa de setor da British Property Federation. Para um empreendimento de 200 unidades, isso representa uma contribuição significativa para o rendimento operacional líquido. [short pause] A Purple opera WiFi gerido em mais de 80.000 locais desde 2012. Somos certificados pela ISO 27001, em conformidade com o GDPR e CCPA, e certificados como B Corp. A nossa plataforma Multi-Tenant WiFi gere todo o ciclo de vida do residente - onboarding, gestão de credenciais, suporte IoT, analítica e conformidade - como uma sobreposição em nuvem no hardware que já possui ou que está a especificar hoje. [short pause] Se está na fase de projeto de um empreendimento BTR, ou a analisar uma rede existente que não está a ter o desempenho esperado, visite purple dot ai para obter o guia escrito completo, diagramas de arquitetura e uma calculadora de ROI. [short pause] Obrigado por ouvir.