Cisco ISE vs. Purple WiFi: Como se Comparam e Trabalham em Conjunto

É um consultor sénior de segurança de rede a apresentar um briefing a um cliente em inglês britânico, com um tom confiante, autoritário e conversacional. Fale de forma clara e a um ritmo ponderado, como se estivesse a apresentar a um conselho de diretores de TI e arquitetos de rede. Este é um briefing técnico profissional, não uma palestra. Fale em inglês britânico com um sotaque padrão de "received pronunciation": Bem-vindo à série de briefings técnicos da Purple. Hoje abordamos uma questão que surge constantemente no design de redes empresariais: Cisco ISE versus Purple WiFi. Como se comparam e, mais importante ainda, como funcionam em conjunto? Vou dar-lhe uma resposta direta em cerca de dez minutos. [medium pause] Comecemos pelo contexto. Se gere um hotel, um espaço comercial, um estádio ou um edifício do setor público, tem quase de certeza duas populações distintas a ligarem-se à sua rede. Tem funcionários e dispositivos corporativos, e tem convidados, visitantes, adeptos ou clientes. Estas duas populações têm requisitos de autenticação completamente diferentes, direitos de dados diferentes e objetivos de negócio distintos. O erro que a maioria das organizações comete é tentar resolver ambos os problemas com uma única ferramenta. É daí que vem a confusão entre o Cisco ISE e a Purple. [medium pause] Secção um: o que o Cisco ISE realmente faz. O Cisco Identity Services Engine, ou ISE, é a plataforma de Network Access Control empresarial da Cisco. A sua função é autenticar e autorizar dispositivos corporativos e utilizadores internos. Faz isto principalmente através do IEEE 802.1X, que é a norma de controlo de acesso à rede baseada em portas. Quando um portátil corporativo se liga à sua rede, o ISE verifica o seu certificado via EAP-TLS, ou as suas credenciais via PEAP, valida-o no Active Directory ou no Microsoft Entra ID, avalia a sua postura de segurança e, em seguida, atribui-o à VLAN correta com a política correta. Se o dispositivo falhar na avaliação de postura, o ISE pode colocá-lo em quarentena automaticamente usando o RADIUS Change of Authorisation, ou CoA. O ISE também lida com o onboarding de BYOD, onde os dispositivos pessoais são registados com um certificado para que se possam autenticar de forma segura sem uma palavra-passe partilhada. E integra-se com a framework pxGrid da Cisco, o que permite a outras ferramentas de segurança, como firewalls e plataformas SIEM, consumir contexto de identidade em tempo real. Os três níveis de licença do ISE são o Essentials, o Advantage e o Premier. O Essentials abrange o 802.1X e o acesso básico de convidados. O Advantage adiciona BYOD, avaliação de postura e integração com MDM de terceiros. O Premier adiciona serviços de identidade passiva e integração avançada contra ameaças. [medium pause] Portanto, o ISE é uma plataforma de segurança séria e de nível empresarial. Mas aqui está o ponto crítico: o seu portal de visitantes é funcional, não comercial. O ISE pode redirecionar um dispositivo não autenticado para uma página web, recolher um nome de utilizador e palavra-passe ou uma aprovação de patrocinador, e conceder acesso à internet. O que ele não consegue fazer é recolher consentimento de marketing em conformidade com o GDPR, executar páginas splash de marca com login social, enviar dados de visitantes para o Salesforce ou HubSpot, gerar mapas térmicos de tráfego pedonal ou segmentar visitantes por dados demográficos para uma campanha de marketing. Não foi para isso que o ISE foi concebido, e tentar forçá-lo a desempenhar esse papel cria complexidade sem apresentar o resultado comercial. É um consultor sénior de segurança de rede que continua um briefing técnico em inglês britânico com um tom confiante, autoritário e de conversação. Fale de forma clara e a um ritmo moderado. Fale em inglês britânico com um sotaque padrão "received pronunciation": Secção dois: o que o Purple faz. O Purple é uma plataforma de sobreposição na nuvem. Nós posicionamo-nos acima da sua infraestrutura de WiFi existente, seja ela Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist ou qualquer outro dos principais fabricantes. Não substituímos o seu hardware. Não substituímos o ISE. Nós gerimos a camada de experiência do visitante. Quando um visitante se liga ao seu SSID de visitantes, o Purple intercetará essa ligação e apresentará um Captive Portal de marca. Esse portal pode oferecer login social através do Facebook, Google ou LinkedIn, um formulário personalizado de captura de dados, uma opção de clique para ligar ou Passpoint para religação automática segura em visitas de retorno. Cada login captura dados primários (first-party data) com consentimento explícito em conformidade com o GDPR. Esses dados fluem diretamente para o seu CRM, a sua plataforma de marketing por e-mail ou o seu programa de fidelização. O Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins apenas em 2024. Detemos a certificação ISO 27001, cumprimos o GDPR e a CCPA, e mantemos um tempo de atividade de 99,999%. Clientes de renome incluem McDonald's, Harrods, Premier Inn, AGS Airports e Manchester Airports Group. [pausa média] Secção três: como coexistem numa topologia de rede moderna. A arquitetura é simples a partir do momento em que se compreende a separação de responsabilidades. Executa dois ou três SSIDs nos mesmos pontos de acesso. O SSID corporativo utiliza WPA3-Enterprise com 802.1X, e o ISE é o servidor RADIUS. Cada dispositivo de colaborador autentica-se com um certificado ou credencial. O ISE atribui o dispositivo à VLAN correta, aplica a política correta e regista a sessão. O Purple não tem qualquer papel aqui. Este é inteiramente o domínio do ISE. O SSID de visitantes é aberto ou utiliza WPA3-Personal com uma chave pré-partilhada para associação inicial. O tráfego é redirecionado para o portal de nuvem do Purple. O Purple lida com a autenticação, a recolha de consentimento e a análise. O ponto de acesso impõe um jardim vedado (walled garden) até que o Purple sinalize a autorização, abrindo então o acesso à internet. O ISE não tem qualquer papel aqui. Este é o domínio do Purple. Para implementações mais complexas, pode adicionar um terceiro SSID para dispositivos IoT, utilizando chaves pré-partilhadas de identidade, ou iPSK, onde cada dispositivo recebe uma frase de acesso única mapeada para uma VLAN específica. O ISE pode gerir isto para IoT corporativo, ou a funcionalidade SecurePass do Purple trata disso para IoT do local, como terminais de ponto de venda e sinalética digital. Se pretender uma integração mais estreita entre as duas plataformas, o pxGrid da Cisco permite que o Purple publique o contexto da sessão de convidado no ecossistema ISE, para que a sua equipa de operações de segurança possa ver a atividade dos convidados juntamente com a atividade corporativa numa visão unificada. [medium pause] Secção quatro: recomendações de implementação e armadilhas comuns. Permita-me indicar os três erros mais comuns que vejo nas implementações. Primeiro: utilizar o portal de convidados integrado do ISE para WiFi de convidados comercial. O portal de convidados do ISE foi concebido para contratantes e pessoal temporário, não para acessos de convidados orientados para o marketing. Não possui integração de CRM, gestão de consentimento nem análise de dados. Se pertence ao setor da hotelaria, retalho ou eventos, precisa do Purple no SSID de convidados. O ISE gere o corporativo. O Purple gere os convidados. Mantenha-os separados. Segundo: não segmentar as VLANs corretamente. O tráfego de convidados deve ser isolado do tráfego corporativo na camada dois. O Purple opera numa VLAN separada encaminhada diretamente para a internet, sem acesso a recursos internos. O ISE impõe a atribuição de VLAN para dispositivos corporativos. Se confundir estes elementos, cria uma exposição de segurança e um problema de conformidade. Terceiro: negligenciar a configuração do jardim murado (walled garden). Quando o Purple é o Captive Portal, o ponto de acesso deve permitir tráfego DNS e HTTP para os endpoints na nuvem do Purple antes da autenticação. Se o seu jardim murado for demasiado restritivo, o portal não irá carregar. Se for demasiado permissivo, os utilizadores podem contornar a autenticação. A documentação de suporte do Purple fornece as gamas de IP e domínios exatos a colocar na lista de permissões para cada fabricante de hardware. [medium pause] Secção cinco: perguntas rápidas. O Purple substitui o Cisco ISE? Não. Resolvem problemas diferentes para utilizadores diferentes em SSIDs diferentes. Posso executar o Purple no Cisco Meraki sem o ISE? Sim. O Purple integra-se nativamente com o Cisco Meraki através da API Meraki. O ISE não é necessário para o WiFi de convidados. Posso executar ambos nos mesmos pontos de acesso? Sim. Vários SSIDs no mesmo hardware é uma prática padrão. O Purple suporta 802.1X? A funcionalidade SecurePass do Purple suporta WPA3-Enterprise com 802.1X para dispositivos de convidados que tenham a aplicação Purple instalada, permitindo uma ligação automática baseada em certificados sem um Captive Portal. E quanto à conformidade PCI DSS? O WiFi de convidados deve ser isolado dos sistemas de cartões de pagamento. A arquitetura de VLAN do Purple cumpre este requisito. O ISE impõe o mesmo isolamento para dispositivos corporativos. [medium pause] Resumo e próximos passos. A estrutura de decisão é simples. Se o dispositivo pertencer à sua organização ou aos seus colaboradores, o ISE é responsável pela autenticação. Se o dispositivo pertencer a um convidado, visitante, cliente ou fã, a Purple é responsável pela experiência. As duas plataformas partilham a mesma infraestrutura física, mas operam em camadas lógicas completamente separadas. Como passo seguinte, mapeie a sua arquitetura de SSID atual. Identifique quais os SSIDs que são corporativos e quais são para convidados. Confirme se o tráfego de convidados está isolado por VLAN. Em seguida, avalie se o seu portal de convidados atual está a fornecer o consentimento de marketing, analítica e integração de CRM que as suas equipas comerciais necessitam. Se não estiver, esse é o espaço que a Purple preenche. Pode encontrar o guia escrito completo, diagramas de arquitetura e exemplos práticos em purple.ai. Obrigado pelo seu tempo.