Saltar para o conteúdo principal

Migração de RADIUS On-Premises (NPS) para RADIUS as a Service

Este guia autoritário detalha a arquitetura técnica, a metodologia de implementação e o impacto comercial da migração do Microsoft Network Policy Server (NPS) on-premises para um modelo de RADIUS as a Service nativo na nuvem. Fornece aos líderes de TI e arquitetos de rede estruturas práticas para reduzir os custos operacionais, eliminar pontos únicos de falha e proteger a autenticação empresarial em locais distribuídos.

📖 5 min de leitura📝 1,066 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
ROTEIRO DE PODCAST: Migrar de RADIUS On-Premises (NPS) para RADIUS-as-a-Service Duração: ~10 minutos | Voz: Inglês do Reino Unido, Masculina, tom de Consultor Sénior --- SEGMENTO 1: INTRODUÇÃO E ENQUADRAMENTO Bem-vindo à série de briefings técnicos da Purple WiFi. Hoje abordamos uma migração que faz parte do plano de trabalho de um número significativo de equipas de TI empresariais neste momento: a transição de um RADIUS on-premises - especificamente o Network Policy Server da Microsoft - para um modelo de RADIUS-as-a-Service alojado na cloud. Se gere a autenticação WiFi num grupo de hotéis, numa rede de retalho, num estádio ou num campus do setor público, isto é diretamente relevante para si. O modelo NPS on-premises prestou-nos um bom serviço durante a maior parte das últimas duas décadas, mas a sobrecarga operacional, o risco de ponto único de falha e as limitações de escalabilidade são cada vez mais difíceis de justificar - particularmente quando as alternativas nativas da cloud oferecem agora fiabilidade de classe empresarial a uma fração do custo total de propriedade. Nos próximos dez minutos, iremos cobrir a arquitetura técnica de ambas as abordagens, percorrer uma metodologia de migração estruturada, analisar dois cenários reais de implementação e terminar com as principais estruturas de decisão de que necessita para tomar esta decisão com confiança. Vamos a isso. --- SEGMENTO 2: ANÁLISE TÉCNICA DETALHADA Primeiro, vamos garantir que estamos alinhados sobre o que o RADIUS realmente faz na sua infraestrutura de rede. O RADIUS - Remote Authentication Dial-In User Service - é o protocolo definido no RFC 2865 que lida com autenticação, autorização e gestão de contas para acesso à rede. Num contexto de WiFi, é a espinha dorsal do controlo de acesso baseado em portas IEEE 802.1X. Quando um dispositivo se liga a um SSID WPA2-Enterprise ou WPA3-Enterprise, o ponto de acesso age como um cliente RADIUS - o que chamamos de Network Access Server - e encaminha o pedido de autenticação para o servidor RADIUS. O servidor valida as credenciais, normalmente contra o Active Directory ou um diretório LDAP, e devolve uma resposta Access-Accept ou Access-Reject. Esse é o fluxo fundamental. Agora, no modelo NPS on-premises - o Network Policy Server é a implementação de RADIUS da Microsoft incluída no Windows Server - está a correr essa lógica de autenticação em hardware que possui, num data center ou sala de servidores que mantém. O servidor NPS aloja as suas políticas de rede, a sua infraestrutura de certificados para EAP-TLS ou PEAP-MSCHAPv2, e as suas políticas de pedido de ligação. Funciona. É maduro. Mas traz consigo um conjunto de realidades operacionais que se acumulam ao longo do tempo. A primeira é a dependência do hardware. O seu servidor NPS é uma máquina física ou virtual que requer aplicação de patches, planeamento de capacidade e eventual renovação de hardware. Numa implementação multi-site - por exemplo, um grupo de hotéis com propriedades em todo o Reino Unido - está a correr um NPS centralizado com dependência de WAN, ou está a implementar instâncias de NPS em cada site e a geri-las individualmente. Nenhuma das duas opções é elegante. O segundo é a disponibilidade. Uma única instância de NPS é um ponto único de falha para toda a sua infraestrutura de autenticação. Sim, pode implementar o NPS num par de failover, mas isso duplica os custos de hardware e licenciamento, e continua a não oferecer a redundância geográfica que um serviço de nuvem fornece de forma nativa. O terceiro é a escalabilidade. O NPS foi concebido para ambientes de LAN corporativos. Quando está a lidar com milhares de pedidos de autenticação simultâneos durante um evento num estádio ou num pico de um centro de conferências, as limitações de rendimento de uma única instância de NPS tornam-se muito evidentes. A latência de autenticação aumenta e os utilizadores sofrem falhas de ligação exactamente no momento em que menos se pode dar ao luxo disso. O RADIUS-as-a-Service aborda todas estas três limitações a nível de arquitetura. O fornecedor de RADIUS na nuvem executa um cluster distribuído e geo-redundante de servidores RADIUS. Os seus pontos de acesso apontam para endpoints de RADIUS alojados na nuvem, em vez de um servidor local. Os pedidos de autenticação são equilibrados em termos de carga por todo o cluster, e o failover é automático e transparente. O fornecedor trata da aplicação de patches, do dimensionamento da capacidade e da gestão de certificados. Do seu ponto de vista como operador de rede, o RADIUS torna-se um serviço consumido em vez de um componente gerido. Os protocolos de autenticação em si não mudam. Continua a executar 802.1X com EAP-TLS, PEAP-MSCHAPv2 ou EAP-TTLS, dependendo da combinação de dispositivos dos seus clientes. A diferença reside no local onde o servidor RADIUS se encontra e em quem é responsável pela sua continuidade operacional. Existe uma consideração de segurança importante que quero abordar diretamente, porque surge em quase todas as conversas com os clientes. Mover o RADIUS para a nuvem significa que o seu tráfego de autenticação está a atravessar a internet pública para chegar ao endpoint do RADIUS na nuvem. Isto é mitigado através de dois mecanismos. Primeiro, o tráfego RADIUS entre o Servidor de Acesso à Rede e o servidor RADIUS é protegido através de um segredo partilhado e de autenticação de mensagens baseada em MD5. Segundo, e mais importante para as implementações modernas, deve estar a executar RadSec - RADIUS sobre TLS, definido no RFC 6614 - que envolve toda a conversação RADIUS num túnel TLS. Isto proporciona-lhe uma encriptação na camada de transporte equivalente ao HTTPS, eliminando a vulnerabilidade do MD5 e fornecendo autenticação mútua entre o NAS e o servidor RADIUS. Qualquer fornecedor de RADIUS na nuvem digno de consideração deve suportar o RadSec como padrão. Do lado da integração de identidade, os serviços de RADIUS na nuvem suportam normalmente ligações LDAP e LDAPS de volta ao seu Active Directory local, ou integração nativa com o Azure Active Directory e Microsoft Entra ID via SAML ou SCIM. Isto significa que não precisa de migrar o seu diretório de utilizadores - o serviço de RADIUS na nuvem consulta o seu repositório de identidade existente, mantendo os seus processos de gestão do ciclo de vida do utilizador existentes. Para organizações conscientes da conformidade - e isso inclui qualquer pessoa que lide com dados de cartões de pagamento sob a norma PCI-DSS, ou dados pessoais ao abrigo do GDPR - os fornecedores de RADIUS na nuvem com certificação SOC 2 Type II e acreditação ISO 27001 oferecem uma postura de conformidade mais forte do que a maioria das organizações consegue alcançar com uma infraestrutura NPS autogerida. --- SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS Muito bem, vamos falar sobre como pode executar esta migração sem colocar a sua infraestrutura de autenticação offline. A metodologia que recomendo é uma abordagem em cinco fases. A fase um é a auditoria e inventário. Documente cada cliente RADIUS - cada ponto de acesso, cada switch, cada concentrador de VPN - juntamente com o seu segredo partilhado atual, o método EAP que está a utilizar e quaisquer atributos específicos do fornecedor nas suas políticas NPS. Este é o trabalho menos glamoroso, mas ignorá-lo é a causa número um de falhas na migração. A fase dois é a implementação piloto. Configure a sua instância de RADIUS na nuvem e aponte um SSID que não seja de produção ou um único site de teste para ela. Valide se o seu método EAP funciona de ponta a ponta, se a sua integração de identidade está a funcionar e se os seus dados de contabilidade (accounting) estão a fluir corretamente. A fase três é a execução em paralelo. Este é o passo crítico de mitigação de riscos. Configure os seus pontos de acesso com o servidor NPS local e o servidor RADIUS na nuvem como destinos de autenticação, com o serviço na nuvem como primário e o NPS como fallback. Execute nesta configuração durante um período mínimo de duas semanas ao longo de um ciclo de negócios completo. Monitorize as taxas de sucesso de autenticação, a latência e quaisquer discrepâncias de políticas. A fase quatro é a transição (cutover). Remova a configuração de fallback do NPS e assuma o RADIUS na nuvem como a sua única infraestrutura de autenticação. Faça isto durante uma janela de manutenção planeada e tenha um procedimento de rollback documentado e testado. A fase cinco é o desmantelamento (decommission). Assim que validar o funcionamento estável durante trinta dias após a transição, desmantele os servidores NPS e recupere os recursos de hardware ou de máquinas virtuais. Os erros que vejo com mais frequência são: problemas na cadeia de confiança de certificados - especificamente, dispositivos de clientes que não confiam no certificado do servidor RADIUS na nuvem porque a CA não está na sua lista de fidedignas. Resolva isto através do seu MDM ou de Política de Grupo antes da transição. O segundo erro comum são as regras de firewall. O RADIUS na nuvem requer tráfego de saída UDP 1812 e 1813 dos seus pontos de acesso para os endpoints na nuvem, ou TCP 2083 para RadSec. Certifique-se de que o perímetro da sua rede permite este tráfego. Terceiro: complexidade do segredo partilhado. Se os seus segredos partilhados do NPS existentes forem fracos, utilize a migração como uma oportunidade para rodar para segredos criptograficamente fortes ou, melhor ainda, mude para RadSec e elimine totalmente os segredos partilhados. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS Deixe-me passar pelas perguntas que recebo com mais frequência sobre este tema. Podemos manter o Active Directory local? Sim, absolutamente. O RADIUS na nuvem liga-se ao seu AD local via LDAPS. O seu diretório permanece onde está. O que acontece se a nossa ligação à internet falhar? Esta é a principal alteração de dependência. Com o RADIUS na nuvem, a conectividade à internet torna-se uma dependência para a autenticação. Mitigue esta situação com ligações WAN redundantes ou um proxy RADIUS local que armazene em cache a autenticação de dispositivos conhecidos durante as interrupções. Isto afeta a nossa conformidade com o PCI-DSS? A transição para um fornecedor certificado de RADIUS na nuvem melhora, por norma, a sua postura de conformidade. Certifique-se de que o seu fornecedor pode fornecer relatórios SOC 2 Type II e que está incluído no âmbito da sua avaliação anual QSA. Quanto tempo demora uma migração completa? Para um único local, duas a quatro semanas. Para um património multilocal de cinquenta ou mais localizações, planeie três a seis meses com uma implementação faseada. - SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS Para concluir: os argumentos a favor da migração do NPS local para o RADIUS-as-a-Service são convincentes a nível operacional, financeiro e de conformidade. A migração em si apresenta um risco reduzido quando executada com uma fase estruturada de funcionamento em paralelo. As principais decisões técnicas são a seleção do seu método EAP, a sua abordagem de integração de identidade e a implementação ou não de RadSec para segurança de transporte - o que recomendo vivamente para qualquer nova implementação. Os seus próximos passos imediatos: realize a auditoria dos seus atuais clientes e políticas RADIUS, contacte o seu fornecedor de RADIUS na nuvem para obter um ambiente piloto e reveja as suas regras de firewall e cadeias de confiança de certificados antes de começar. Para as organizações que executam a plataforma de acesso de convidados da Purple WiFi, a funcionalidade RADIUS-as-a-Service integra-se diretamente com o fluxo de autenticação de WiFi de convidados, proporcionando-lhe um único plano de controlo para a autenticação corporativa 802.1X e para a gestão de acessos à rede de convidados - com as análises e relatórios de conformidade integrados. Agradecemos a sua atenção. O guia de referência técnica completo está disponível no website da Purple, e a nossa equipa de soluções está disponível para uma conversa de definição de âmbito se estiver pronto para avançar. - FIM DO GUIÃO

header_image.png

Resumo Executivo

Durante quase duas décadas, o Network Policy Server (NPS) da Microsoft tem sido a implementação RADIUS padrão para redes empresariais. No entanto, à medida que os operadores de espaços expandem as suas operações em locais distribuídos - desde cadeias de retalho a grupos globais de hotelaria - o fardo operacional de gerir infraestruturas de autenticação locais tornou-se um risco significativo.

A migração para RADIUS-as-a-Service transforma a autenticação de um componente de hardware gerido num serviço cloud consumido. Esta mudança arquitetónica elimina os pontos únicos de falha inerentes às implementações NPS autónomas, remove os ciclos de atualização de hardware e fornece a escalabilidade elástica necessária para ambientes de alta densidade, tais como estádios e centros de conferências. Para gestores de TI e arquitetos de rede, este guia fornece uma metodologia estruturada e neutra em termos de fornecedor para migrar a autenticação 802.1X para a cloud sem afetar o tráfego de produção, garantindo a conformidade com PCI-DSS e GDPR, e reduzindo o OpEx da infraestrutura de autenticação em até 80%.

Análise Técnica Profunda: Arquitetura e Padrões

Para compreender esta migração, devemos primeiro examinar a mudança arquitetónica na forma como o controlo de acesso baseado em porta IEEE 802.1X é fornecido.

As Limitações do NPS Local

Numa implementação tradicional, o ponto de acesso funciona como o Network Access Server (NAS), encaminhando os pedidos de autenticação para um servidor NPS local. O servidor NPS avalia as políticas de pedido de ligação, valida as credenciais em relação ao repositório de identidades (normalmente Active Directory através de LDAP) e devolve uma mensagem Access-Accept ou Access-Reject.

Este modelo apresenta três limitações críticas para as redes modernas:

  1. Dependência e manutenção de hardware: O NPS requer máquinas físicas ou virtuais dedicadas, exigindo patches contínuos, planeamento de capacidade e gestão do ciclo de vida.
  2. Complexidade de alta disponibilidade: Alcançar a redundância exige a implementação de NPS em pares de failover, o que duplica os custos de licenciamento sem fornecer uma verdadeira redundância geográfica.
  3. Gargalos de processamento: Durante os picos de concorrência (como a entrada num estádio ou as horas de ponta no retalho), uma única instância NPS pode tornar-se um gargalo, causando tempos de expiração de autenticação e uma experiência de utilizador degradada.

Arquitetura Cloud RADIUS

O RADIUS-as-a-Service abstrai a camada de autenticação. O fornecedor de cloud opera clusters distribuídos e geograficamente redundantes de servidores RADIUS. O NAS aponta para estes endpoints na cloud e os pedidos são balanceados automaticamente.

architecture_comparison.png

Segurança de transporte: o papel do RadSec Quando o RADIUS migra para a nuvem, o tráfego de autenticação atravessa a internet pública. Enquanto o RADIUS legado depende de segredos partilhados e hashing MD5, as implementações modernas devem implementar RadSec (RADIUS sobre TLS, RFC 6614). O RadSec encapsula toda a conversação RADIUS num túnel TLS (normalmente porta TCP 2083), fornecendo encriptação na camada de transporte equivalente a HTTPS, juntamente com autenticação mútua entre o NAS e o endpoint cloud RADIUS.

Integração de identidade O cloud RADIUS não exige que migre o seu diretório de utilizadores. Os serviços suportam tipicamente ligações LDAPS de volta ao Active Directory local, ou integração nativa de API com o Azure Active Directory (Entra ID) via SAML ou SCIM. Isto garante que os seus processos existentes de gestão do ciclo de vida do utilizador permanecem inalterados.

Para locais que aproveitam uma plataforma de Guest WiFi , o cloud RADIUS integra-se diretamente, fornecendo um painel de controlo unificado tanto para a autenticação corporativa 802.1X como para o acesso à rede de convidados, complementado com WiFi Analytics avançado.

Guia de Implementação: A Metodologia de 5 Fases

Executar a migração sem interrupção do serviço requer uma abordagem estruturada e faseada.

migration_checklist.png

Fase 1: Auditoria e Inventário

Antes de fazer qualquer alteração, documente o estado atual:

  • Clientes RADIUS: Identifique cada NAS (pontos de acesso wireless, switches, concentradores VPN).
  • Políticas: Documente as políticas de rede e de pedidos de ligação NPS existentes, incluindo atributos específicos do fornecedor (VSAs) utilizados para atribuição de VLAN.
  • Métodos EAP: Identifique quais os métodos Extensible Authentication Protocol que estão em utilização (por exemplo, EAP-TLS, PEAP-MSCHAPv2).

Fase 2: Implementação Piloto

Provisione a instância cloud RADIUS e configure um SSID de não produção ou um único site de teste. Valide a integração do diretório de identidade (por exemplo, sincronização com o Microsoft Entra ID) e confirme que os métodos EAP funcionam corretamente de ponta a ponta.

Fase 3: Funcionamento em Paralelo (Mitigação de Riscos)

Configure os dispositivos NAS de produção para utilizar os servidores cloud RADIUS (primário) e os servidores NPS legados (cópia de segurança) em simultâneo. Mantenha esta configuração por um período mínimo de duas semanas. Monitorize as taxas de sucesso de autenticação, métricas de latência e fluxos de dados de accounting para identificar quaisquer discrepâncias de política antes da transição definitiva.

Fase 4: Transição Definitiva

Durante uma janela de manutenção agendada, remova a configuração de cópia de segurança do NPS legado dos dispositivos NAS. Transite totalmente para a infraestrutura de nuvem. Garanta que o seu procedimento de rollback está documentado e testado.

Fase 5: Desativação

Após 30 dias de funcionamento estável, desative de forma segura os servidores NPS legados e recupere os recursos de computação.

Boas Práticas e Conformidade

Acompanhe as seguintes normas ao desenhar a sua arquitetura cloud RADIUS:

  • Exigir RadSec: Se o seu hardware NAS suportar RadSec (TCP 2083), nunca envie tráfego RADIUS através da internet pública utilizando o padrão UDP 1812/1813.
  • Cadeia de confiança de certificados: Certifique-se de que os dispositivos cliente confiam na Autoridade de Certificação (CA) que emite os certificados do servidor RADIUS na nuvem. Distribua a CA raiz para os dispositivos geridos através de MDM ou Política de Grupo antes da migração.
  • Postura de conformidade: Escolha um fornecedor de RADIUS na nuvem que mantenha a atestação SOC 2 Tipo II e a certificação ISO 27001. Isto simplifica significativamente as suas avaliações anuais de PCI-DSS, particularmente para ambientes de retalho e hotelaria .

Para princípios de design de rede mais abrangentes, consulte os nossos guias: Como Configurar WiFi para Empresas: Um Guia para 2026 e Compreender o RSSI e a Força do Sinal para o Planeamento Ideal de Canais .

Resolução de Problemas e Mitigação de Riscos

Modo de falha Causa raiz Estratégia de mitigação
Timeouts de autenticação Firewall a bloquear o tráfego de saída UDP 1812/1813 ou TCP 2083. Verifique se as regras da firewall de perímetro permitem o tráfego de saída para as gamas de IP específicas do fornecedor de RADIUS na nuvem.
Erros de confiança de certificado CA raiz em falta no repositório de confiança do dispositivo cliente. Implemente a CA raiz através de MDM/GPO antes da Fase 3 (execução paralela).
Falhas na atribuição de VLAN Atributos específicos do fornecedor (VSAs) não mapeados corretamente na política de nuvem. Durante a Fase 1, replique os formatos exatos de string VSA do NPS no motor de políticas do RADIUS na nuvem.
Impacto de interrupção da WAN A perda de conectividade à internet impede o acesso ao RADIUS na nuvem. Implemente ligações WAN redundantes ou utilize um proxy RADIUS local que armazene em cache as credenciais para dispositivos conhecidos.

ROI e Impacto no Negócio

A migração para RADIUS-as-a-Service proporciona resultados de negócio mensuráveis:

  • Redução de custos: Elimina a aquisição de hardware, o licenciamento de Windows Server e as horas de engenharia dedicadas a atualizações e manutenção. As reduções típicas de OpEx são de 60-80%.
  • SLAs de fiabilidade: Os fornecedores de nuvem oferecem SLAs de disponibilidade de 99,99% garantidos financeiramente, em comparação com os 97-98% de disponibilidade típicos de uma implementação NPS num único site.
  • Agilidade: Ative novos sites instantaneamente sem provisionar hardware de autenticação local, reduzindo os prazos de implementação para centros de transportes e organizações de saúde .

Oiça a nossa equipa de consultores seniores a debater as implicações estratégicas neste briefing de 10 minutos:

Definições Principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam e utilizam um serviço de rede.

O protocolo principal utilizado pelas redes WiFi empresariais para validar as credenciais dos utilizadores antes de conceder acesso à rede.

NPS (Network Policy Server)

A implementação da Microsoft de um servidor e proxy RADIUS, incluída como uma função no Windows Server.

A infraestrutura legada on-premises da qual as organizações estão ativamente a migrar para reduzir os custos de manutenção.

NAS (Network Access Server)

O dispositivo que atua como gateway para a rede e passa os pedidos de autenticação para o servidor RADIUS.

Num contexto sem fios, o NAS é normalmente o Ponto de Acesso WiFi ou o Controlador de LAN Sem Fios.

RadSec (RADIUS over TLS)

Um protocolo definido no RFC 6614 que transporta pacotes RADIUS sobre uma ligação TCP encriptada com TLS.

Essencial para implementações de RADIUS na nuvem para garantir que os dados das credenciais são encriptados enquanto atravessam a internet pública.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto.

Determina como o cliente e o servidor trocam credenciais de forma segura (por exemplo, certificados via EAP-TLS ou palavras-passe via PEAP).

VSA (Vendor-Specific Attribute)

Atributos personalizados definidos por fabricantes de hardware dentro do protocolo RADIUS para suportar funcionalidades proprietárias.

Crucial durante a migração; as VSAs são frequentemente utilizadas para atribuir utilizadores autenticados a VLANs de rede específicas de forma dinâmica.

LDAPS (Lightweight Directory Access Protocol over SSL)

Um protocolo seguro para consultar e modificar serviços de diretório como o Active Directory.

Utilizado por serviços RADIUS na nuvem para consultar de forma segura repositórios de identidade no local, sem migrar o diretório de utilizadores para a nuvem.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas (PNAC).

O padrão subjacente que utiliza RADIUS para garantir que apenas dispositivos autenticados possam transmitir tráfego para a LAN ou WLAN empresarial.

Exemplos Práticos

Um grupo hoteleiro de 200 propriedades executa atualmente servidores NPS locais em cada local para autenticação 802.1X dos funcionários. Estão a migrar para o Entra ID (Azure AD) e pretendem desativar os servidores locais. Como devem abordar a migração?

  1. Implementar um serviço RADIUS na nuvem que se integre nativamente com o Entra ID via SAML/SCIM.
  2. Configurar as políticas do RADIUS na nuvem para mapear grupos do Entra ID (por exemplo, 'Front Desk', 'Management') para VSAs de VLAN específicas.
  3. Numa propriedade piloto, configurar os pontos de acesso para utilizar RadSec para ligar ao endpoint do RADIUS na nuvem.
  4. Enviar a Root CA do servidor RADIUS na nuvem para todos os dispositivos dos funcionários através do Microsoft Intune.
  5. Executar a autenticação em paralelo no local piloto e, em seguida, realizar uma implementação faseada nas restantes 199 propriedades.
Comentário do Examinador: Esta abordagem remove 200 servidores físicos/virtuais do parque informático, reduzindo drasticamente a superfície de ataque e os custos de manutenção. A integração direta com o Entra ID elimina a necessidade de VPNs site-to-site complexas de volta a um Active Directory central.

Um estádio com capacidade para 50.000 pessoas regista falhas de autenticação no seu SSID corporativo durante grandes eventos porque o seu servidor NPS on-premises não consegue lidar com o rendimento de milhares de dispositivos em roaming em simultâneo.

  1. Auditar as políticas NPS e os métodos EAP existentes.
  2. Provisionar um serviço RADIUS na nuvem capaz de realizar auto-scaling para processar elevados volumes de autenticações por segundo (APS).
  3. Estabelecer uma ligação LDAPS do serviço RADIUS na nuvem para o Active Directory on-premises do estádio.
  4. Atualizar os controladores de LAN sem fios de alta densidade do estádio para apontarem para os endpoints do RADIUS na nuvem como servidores de autenticação primários.
Comentário do Examinador: Ao descarregar o processamento RADIUS para um cluster na nuvem, o estádio aproveita recursos de computação elástica que escalam dinamicamente durante a entrada no evento, resolvendo o estrangulamento sem exigir que o local sobredimensione hardware local dispendioso.

Perguntas de Prática

Q1. A sua organização está a migrar para o Cloud RADIUS. A equipa de segurança exige que nenhum tráfego de autenticação possa ser enviado pela internet em texto simples ou utilizando algoritmos de hashing obsoletos como o MD5. Que protocolo deve configurar nos seus controladores de LAN sem fios?

Dica: Procure o protocolo que envolve o RADIUS num túnel TLS.

Ver resposta modelo

Deve configurar o RadSec (RADIUS sobre TLS). O RadSec estabelece um túnel TLS sobre a porta TCP 2083 entre o NAS e o servidor RADIUS na nuvem, fornecendo encriptação na camada de transporte e autenticação mútua, satisfazendo os requisitos da equipa de segurança.

Q2. Durante a Fase 3 (Execução Paralela) da sua migração, nota que os utilizadores se estão a autenticar com sucesso no servidor RADIUS na nuvem, mas não estão a ser colocados nos segmentos de rede corretos. Qual é a falha de configuração mais provável?

Dica: Como é que um servidor RADIUS indica a um ponto de acesso que segmento de rede deve utilizar?

Ver resposta modelo

Os Atributos Específicos do Fabricante (VSAs) para atribuição dinâmica de VLAN não foram configurados corretamente nas políticas do RADIUS na nuvem. Deve garantir que as strings de VSA exatas utilizadas no servidor NPS legado sejam replicadas no ambiente de nuvem para que o NAS saiba qual VLAN deve atribuir ao utilizador.

Q3. Um dispositivo cliente está a falhar repetidamente na autenticação EAP-TLS no novo serviço RADIUS na nuvem, mas funciona perfeitamente no servidor NPS legado. Os registos do dispositivo mostram um erro de 'servidor não confiável'. Como resolve isto?

Dica: O EAP-TLS exige que o cliente confie na identidade do servidor.

Ver resposta modelo

O dispositivo cliente não tem a Autoridade de Certificação (CA) Raiz que emitiu o certificado do servidor RADIUS na nuvem no seu repositório de raiz fidedigna. Deve implementar a CA Raiz no dispositivo cliente utilizando uma solução de Gestão de Dispositivos Móveis (MDM) ou Política de Grupo.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.

Ler o guia →

Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.

Ler o guia →

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.

Ler o guia →