O que é o Cloud RADIUS? Um Guia Completo sobre RADIUS as a Service

Este guia completo explora o Cloud RADIUS (RADIUS as a Service), detalhando a sua arquitetura, métodos EAP e estratégias de implementação. Fornece aos líderes de TI informações práticas sobre a migração de servidores locais para um modelo de autenticação baseado na nuvem, escalável, seguro e em conformidade.

📖 5 min de leitura📝 1,077 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

O que é o Cloud RADIUS? Um Guia Completo sobre RADIUS as a Service.

Bem-vindo ao Podcast de Inteligência da Purple WiFi. Sou o vosso anfitrião e hoje vamos fazer uma análise aprofundada sobre o Cloud RADIUS — o que é, como funciona nos bastidores e, fundamentalmente, como avaliar se é a decisão certa para a vossa organização este trimestre. Quer gira um grupo hoteleiro, uma rede de retalho, um estádio ou uma rede do setor público, este episódio é para si.

Vamos enquadrar o cenário.

Introdução e Contexto.

Se alguma vez teve de explicar a uma administração por que razão o seu servidor de autenticação de rede foi abaixo às 2 da manhã — e por que demorou três horas a ser reposto — já compreende o problema central que o Cloud RADIUS resolve. A infraestrutura tradicional de RADIUS local é potente, mas acarreta uma sobrecarga operacional significativa. Hardware para adquirir, ciclos de patches para gerir, redundância para desenhar manualmente e um ponto único de falha localizado na sua sala de servidores.

O Cloud RADIUS, ou RADIUS as a Service, move essa camada de autenticação para um ambiente de nuvem gerido e de alta disponibilidade. O protocolo em si — Remote Authentication Dial-In User Service — não mudou. Continua a ser a espinha dorsal do controlo de acesso à rede IEEE 802.1X, o mecanismo que os seus pontos de acesso utilizam para validar quem entra na sua rede. Mas a infraestrutura que o executa é agora problema de outra pessoa. E no setor de TI empresarial, essa é uma mudança significativa.

Por isso, vamos entrar nos detalhes técnicos.

Análise Técnica Aprofundada.

O RADIUS foi originalmente definido no RFC 2865, publicado no ano 2000, e tem-se mantido incrivelmente duradouro. O protocolo funciona num modelo cliente-servidor. O seu dispositivo de acesso à rede — quer seja um ponto de acesso WiFi, um concentrador de VPN ou um switch com fios — atua como o cliente RADIUS, também chamado de Network Access Server ou NAS. Quando um utilizador tenta ligar-se, o NAS encaminha um pacote Access-Request para o servidor RADIUS, que valida as credenciais num diretório de utilizadores — normalmente Active Directory, LDAP ou um fornecedor de identidade na nuvem — e devolve um Access-Accept ou um Access-Reject.

Essa é a troca central. Mas a verdadeira complexidade reside no que acontece em redor: métodos EAP, atribuição de VLAN, aplicação de políticas, registos de contabilidade e gestão de certificados.

Numa implementação local tradicional, executa o FreeRADIUS ou o Microsoft NPS em hardware dedicado, gerindo os seus próprios certificados, configurando a sua própria tolerância a falhas e mantendo a sincronização da sua própria base de dados de utilizadores. Para uma implementação num único local com uma equipa de TI competente, isto é gerível. Para uma rede de retalho com 50 localizações ou um grupo hoteleiro com propriedades em vários países, torna-se um fardo operacional significativo.

O Cloud RADIUS abstrai tudo isso. A lógica de autenticação, a infraestrutura de certificados, a redundância e o motor de políticas são todos fornecidos como um serviço gerido. Os seus pontos de acesso apontam para endpoints RADIUS alojados na nuvem — normalmente um endereço IP primário e secundário — e o serviço trata de tudo o resto.

Agora, vamos falar sobre os métodos de autenticação, porque é aqui que as decisões técnicas realmente importam.

O método EAP mais comum em WiFi empresarial é o PEAP — Protected EAP — que cria um túnel MSCHAPv2 dentro de uma sessão TLS. É amplamente suportado, funciona nativamente com o Active Directory e é o padrão para a maioria dos dispositivos Windows e Android. No entanto, o PEAP tem vulnerabilidades conhecidas, particularmente em torno da validação de certificados. Se os seus dispositivos clientes não estiverem configurados para verificar o certificado do servidor, fica exposto a ataques de recolha de credenciais através de pontos de acesso falsos.

O EAP-TLS é o padrão de excelência. Utiliza autenticação mútua por certificado — tanto o servidor como o cliente apresentam certificados — o que elimina completamente a superfície de ataque a palavras-passe. A contrapartida é a implementação de certificados de cliente, que requer uma infraestrutura PKI e integração com MDM. Para frotas de dispositivos geridos, esta é absolutamente a escolha certa. Para ambientes BYOD, é mais complexo.

Também vale a pena conhecer o EAP-TTLS e o EAP-FAST. O TTLS é particularmente comum em ambientes onde precisa de suportar uma vasta gama de dispositivos clientes, incluindo sistemas Linux. O EAP-FAST foi desenvolvido pela Cisco como uma alternativa ao PEAP que evita a dependência da validação de certificados, utilizando em vez disso Protected Access Credentials.

Um serviço Cloud RADIUS bem estruturado suporta todos estes métodos e permite-lhe configurar políticas por SSID — para que o seu SSID corporativo utilize EAP-TLS com validação de certificados, o seu SSID de funcionários utilize PEAP com Active Directory e a sua rede de convidados utilize um Captive Portal ou um fluxo de login social totalmente separado da pilha RADIUS.

Por falar nisso — o RADIUS e o WiFi de convidados são frequentemente confundidos, mas servem propósitos diferentes. O RADIUS é a sua camada de autenticação e autorização para utilizadores e dispositivos conhecidos. O WiFi de convidados utiliza normalmente um fluxo de Captive Portal, que é um mecanismo totalmente diferente. A plataforma da Purple, por exemplo, lida com a autenticação de convidados através de uma camada de identidade separada, capturando dados primários e permitindo a automatização de marketing, enquanto o RADIUS lida com o controlo de acesso à rede corporativa e de funcionários. Estes são sistemas complementares, não concorrentes.

Agora, vamos falar sobre o que "alojado na nuvem" realmente significa na prática. Um serviço Cloud RADIUS devidamente arquitetado funciona em várias zonas de disponibilidade, com failover automático. Os pedidos de autenticação são distribuídos por balanceamento de carga entre nós, e o serviço mantém tempos de resposta inferiores a 100 milissegundos, mesmo sob carga máxima. Para um estádio que lida com 40.000 ligações simultâneas durante um evento, esse perfil de latência e taxa de transferência é crítico. Um único servidor local simplesmente não consegue igualar essa elasticidade.

Do ponto de vista da conformidade, os fornecedores de Cloud RADIUS que operam no Reino Unido e na UE precisam de estar em conformidade com o GDPR na forma como gerem os registos de autenticação e os dados dos utilizadores. Para ambientes de retalho e hotelaria que também processam dados de cartões de pagamento, os requisitos do PCI DSS em torno da segmentação de rede e aco controlo de acessos é diretamente relevante — o RADIUS faz parte do seu ambiente de controlo, e o seu QSA vai querer ver provas de uma configuração adequada e de registos de auditoria.

O WPA3 também merece ser abordado. A transição do WPA2 para o WPA3 introduz a Autenticação Simultânea de Iguais — SAE — para redes pessoais, e o WPA3-Enterprise para ambientes corporativos. O WPA3-Enterprise exige o modo de segurança de 192 bits para a classificação mais elevada, o que requer métodos EAP e conjuntos de cifras específicos. Um serviço Cloud RADIUS precisa de suportar estas configurações para estar preparado para o futuro.

Recomendações de Implementação e Erros Comuns.

Muito bem, vamos à prática. Se está a avaliar o Cloud RADIUS para implementação este trimestre, eis no que me focaria.

Primeiro, a integração com o seu fornecedor de identidade. O seu serviço Cloud RADIUS precisa de sincronizar com o local onde os seus utilizadores realmente residem — seja o Microsoft Entra ID, anteriormente Azure AD, o Google Workspace, o Okta ou um Active Directory local via proxy LDAP. A qualidade desta integração determina a sua sobrecarga operacional. O aprovisionamento nativo SAML ou SCIM é muito preferível às importações manuais de CSV.

Segundo, a gestão de certificados. Se está a implementar o EAP-TLS, precisa de uma resposta clara sobre como os certificados de cliente são emitidos, renovados e revogados. Os melhores serviços Cloud RADIUS incluem uma PKI integrada ou integram-se perfeitamente com a sua autoridade de certificação existente. A expiração de certificados é uma das causas mais comuns de falhas de autenticação em WiFi empresarial — é totalmente evitável com a automatização adequada.

Terceiro, a compatibilidade dos dispositivos de rede. Os seus pontos de acesso precisam de suportar a autenticação RADIUS — praticamente todos os APs de classe empresarial o fazem — mas precisa de verificar os métodos EAP específicos e os atributos RADIUS que o serviço escolhido suporta face à implementação do fabricante do seu AP. A Cisco, Aruba, Juniper Mist e Ruckus têm todas as suas próprias nuances na forma como lidam com atributos RADIUS e mensagens CoA — Change of Authorisation.

Quarto, a configuração de redundância. Configure sempre um IP de servidor RADIUS primário e secundário. O tempo limite de failover nos seus dispositivos NAS é importante — se for definido com um valor demasiado elevado, os utilizadores sofrerão um atraso de autenticação de 30 segundos quando o primário estiver inacessível. Um tempo limite de 3 a 5 segundos com failover imediato é a configuração correta para a maioria dos ambientes.

Quinto — e este é o que as pessoas esquecem — a contabilização. Os registos de contabilização RADIUS são a sua pista de auditoria. Dizem-lhe quem se ligou, a partir de que dispositivo, a que horas e por quanto tempo. Para fins de conformidade, particularmente em ambientes de saúde e do setor público, estes registos precisam de ser retidos e estar acessíveis. Certifique-se de que o seu fornecedor de Cloud RADIUS lhe dá acesso aos dados de contabilização, e não apenas aos registos de autenticação.

Erros comuns: complexidade do segredo partilhado. O seu segredo partilhado RADIUS — a chave pré-partilhada entre o seu NAS e o servidor RADIUS — precisa de ser longo e aleatório. Segredos partilhados curtos ou fáceis de adivinhar são um vetor de ataque real. Utilize pelo menos 32 carateres, gerados aleatoriamente, e rode-os de forma programada.

Tenha também atenção à lista de permissões de IPs. Muitos serviços Cloud RADIUS exigem que coloque na lista de permissões os IPs de origem dos seus dispositivos NAS. Num ambiente de nuvem dinâmico onde a sua plataforma de gestão de APs possa utilizar NAT, isto pode causar falhas de autenticação inesperadas. Confirme o comportamento de NAT da sua rede antes da implementação.

Perguntas e Respostas Rápidas.

Deixe-me passar por algumas perguntas que me fazem regularmente.

O Cloud RADIUS pode suportar ambientes multi-tenant? Sim — a maioria dos serviços Cloud RADIUS empresariais suporta o isolamento de tenants, pelo que um fornecedor de serviços geridos pode executar políticas RADIUS separadas para múltiplos clientes a partir de uma única plataforma.

Qual é a latência típica para uma autenticação Cloud RADIUS? Menos de 100 milissegundos para um serviço bem estruturado. O próprio handshake 802.1X adiciona alguma sobrecarga, mas para a maioria dos métodos EAP, o tempo total de autenticação deve ser inferior a 500 milissegundos de ponta a ponta.

O Cloud RADIUS funciona com o OpenRoaming? Sim. O OpenRoaming — a estrutura de roaming da Wireless Broadband Alliance — utiliza a federação RADIUS no seu núcleo. Um serviço Cloud RADIUS que suporte Hotspot 2.0 e OpenRoaming permite que os seus utilizadores se autentiquem automaticamente em redes participantes globalmente. A Purple suporta o OpenRoaming sob a sua licença Connect, atuando como um fornecedor de identidade na federação.

O Cloud RADIUS é adequado para ambientes de alta segurança? Para a maioria dos ambientes empresariais, sim. Para ambientes com dados classificados ou classificações de segurança governamentais específicas, poderá ser necessário avaliar se um serviço de nuvem gerido cumpre os seus requisitos específicos de acreditação.

Resumo e Próximos Passos.

Para resumir: o Cloud RADIUS é uma abordagem madura e pronta para produção para o controlo de acessos à rede que remove o fardo operacional da infraestrutura RADIUS local sem comprometer a segurança ou a capacidade. Para organizações com vários locais, o caso de ROI é simples — elimina o capex de hardware, reduz a sobrecarga de TI, obtém redundância incorporada e consegue um serviço que escala com o seu património.

As decisões fundamentais são: qual o método EAP adequado para a sua frota de dispositivos, como se integra com o seu fornecedor de identidade existente e se o serviço escolhido lhe oferece as capacidades de conformidade e auditoria que a sua organização exige.

Se gere um grupo hoteleiro, uma cadeia de retalho ou administra redes do setor público, recomendo começar com uma prova de conceito num único local — configure corretamente o seu RADIUS, valide a integração com o seu fornecedor de identidade e meça a latência de autenticação antes de implementar em todo o seu património.

Para saber mais sobre análise de WiFi, gestão de redes de convidados e como a plataforma da Purple se integra com a autenticação baseada em RADIUS, visite purple.ai. Obrigado por ouvir.

Principais Conclusões

✓O Cloud RADIUS elimina o capex e os custos de manutenção dos servidores de autenticação locais.
✓Oferece escalabilidade elástica e redundância global, essenciais para ambientes distribuídos de retalho, hotelaria e grandes empresas.
✓A migração para o EAP-TLS via Cloud RADIUS é o padrão de excelência para proteger redes contra a recolha de credenciais.
✓A integração contínua com IdPs modernos (Entra ID, Google Workspace) via SCIM automatiza a integração e a saída de utilizadores.
✓A configuração adequada do NAS, incluindo tempos de espera de transição de 3-5 segundos e segredos partilhados complexos, é crítica para a fiabilidade.
✓Os registos de contabilidade gerados pelo Cloud RADIUS são obrigatórios para demonstrar a conformidade com o PCI DSS e o GDPR.
✓O RADIUS gere o acesso de utilizadores conhecidos, enquanto as plataformas de Guest WiFi gerem a interação com visitantes e a recolha de dados.

执行摘要

对于现代企业网络，传统本地部署的 RADIUS (Remote Authentication Dial-In User Service) 架构构成了一个重大的运维瓶颈。管理物理服务器、打操作系统补丁、处理证书颁发机构以及设计多站点冗余会消耗宝贵的 IT 资源。Cloud RADIUS（或称 RADIUS 即服务）通过将 IEEE 802.1X 认证层迁移到托管的、高可用的云基础设施来解决这一问题。本指南为评估部署策略的 IT 经理、网络架构师和 CTO 提供了 Cloud RADIUS 的全面技术概述。通过从资本支出高、手动维护的系统转变为弹性的、全球分布式的模型，零售、酒店和交通行业的组织可以执行强大的访问策略，实现合规性（如 PCI DSS 和 GDPR），并与 Microsoft Entra ID 和 Google Workspace 等现代身份提供商无缝集成。

技术深度解析

RADIUS 架构的演变

RADIUS 最初在 RFC 2865 中定义，它基于客户端-服务器模型运行，其中网络接入服务器 (NAS) —— 例如 WiFi 接入点或 VPN 集中器 —— 将认证请求转发到中央服务器。在过去，这意味着在专用硬件上部署 FreeRADIUS 或 Microsoft 网络策略服务器 (NPS)。虽然这对于单站点部署是可行的，但在分布式环境中扩展此架构会带来显着的延迟和冗余挑战。

Cloud RADIUS 抽象了底层基础设施。认证请求被路由到全球分布的云端点，即使在峰值负载下也能确保低于 100 毫秒的响应时间。这种弹性对于体育场馆或会议中心等高密度环境至关重要。

EAP 方法与安全态势

可扩展身份验证协议 (EAP) 方法的选择从根本上决定了您的安全态势：

PEAP (Protected EAP): 在 TLS 会话中建立 MSCHAPv2 隧道。虽然 PEAP 得到广泛支持且易于与 Active Directory 集成，但如果客户端设备未严格配置为验证服务器证书，则 PEAP 容易受到通过流氓接入点进行凭据窃取的影响。
EAP-TLS： 企业级黄金标准。它要求进行双向证书身份验证——服务器和客户端都必须出示有效的证书。这完全消除了基于密码的攻击，但需要强大的公钥基础设施（PKI）和移动设备管理（MDM）集成来进行证书部署。
EAP-TTLS 和 EAP-FAST： 提供替代方案，适用于需要广泛的客户端兼容性（包括遗留系统或 Linux 系统）或者需要使用受保护的访问凭据（PAC）来绕过证书验证依赖项的场景。

WPA3 和 OpenRoaming 集成

现代部署必须考虑 WPA3-Enterprise，它强制要求 192 位安全模式以达到最高安全级别，这需要特定的密码套件。此外，Cloud RADIUS 还有助于参与 OpenRoaming 等联盟框架。例如，Purple 在其 Connect 许可下作为 OpenRoaming 的免费身份提供商，允许在全球参与的各网络之间进行无缝、安全的身份验证。

实施指南

部署 Cloud RADIUS 需要采用系统化的方法，以确保过渡期间的零停机时间。

第 1 步：身份提供商（IdP）集成

您的 Cloud RADIUS 实例必须与您的权威用户目录同步。与 Microsoft Entra ID、Google Workspace 或 Okta 进行原生 SAML 或 SCIM 配置，比手动 LDAP 代理或 CSV 导入更值得推荐。这可以确保当员工在 HR 系统中办理离职时，其网络访问权限会立即被撤销。

第 2 步：证书管理策略

如果部署 EAP-TLS，请定义您的证书生命周期。选择一个包含集成 PKI 或与您现有的证书颁发机构（CA）无缝集成的 Cloud RADIUS 提供商。通过您的 MDM 平台（例如 Intune 或 Jamf）自动进行证书的颁发和撤销，以防止因证书过期而导致身份验证失败。

第 3 步：网络设备配置

配置您的 NAS 设备（接入点、交换机）以指向主和备 Cloud RADIUS IP 地址。确保共享密钥在密码学上足够复杂（最少 32 个随机字符）。调整故障转移超时设置；3 到 5 秒的超时是最理想的，可以防止在主节点无法访问时出现长时间的身份验证延迟。

第 4 步：策略定义

建立基于每个 SSID 的策略。例如，企业网络强制执行 EAP-TLS，遗留物联网设备执行 PEAP，并隔离访客访问。请注意，RADIUS 处理已知用户；对于访客，请部署专用的 Guest WiFi 解决方案和 Captive Portal 以收集一手数据，并与 WiFi Analytics 平台进行集成。有关访客互动的更多信息，请参考如何提高访客满意度：终极指南。

最佳实践

实施严格的服务器证书验证： 对于 PEAP 部署，推送组策略或 MDM 配置文件，强制客户端验证 RADIUS 服务器证书，并将信任限制在特定的根 CA。
细分计费与认证流量： 确保对 RADIUS 计费数据进行主动监控和保留。此审计跟踪对于合规性报告（例如 PCI DSS、HIPAA）至关重要。
监控认证延迟： 高延迟通常表明路由欠佳或 IdP 同步存在问题。使用监控工具追踪从 Access-Request 到 Access-Accept 数据包所需的时间。
优化信号与信道规划： 可靠的认证依赖于稳定的物理层。审阅诸如 Understanding RSSI and Signal Strength for Optimal Channel Planning 的指南，以确保您的射频环境支持无缝的 802.1X 漫游。

故障排除与风险缓解

即使使用托管服务，配置错误也可能导致访问失败。常见的失败模式包括：

证书过期： EAP-TLS 失败的首要原因。缓解措施： 在 CA 或服务器证书过期前 30 天实施自动告警。
共享密钥不匹配： 通常发生在添加新接入点时。缓解措施： 在您的网络管理系统中标准化配置模板。
NAT 和 IP 白名单问题： Cloud RADIUS 提供商通常需要 NAS IP 白名单。如果您的分支机构使用动态 IP 或复杂的 NAT 配置，认证请求可能会被丢弃。缓解措施： 如有必要，使用静态出口 IP 或部署本地 RADIUS 代理。
IdP 同步失败： 如果云目录未能与本地 AD 同步，新用户将无法进行认证。缓解措施： 主动监控 SCIM/LDAP 连接器状态。

ROI 与业务影响

过渡到 Cloud RADIUS 可提供可衡量的业务价值：

减少基础设施资本支出 (Capex)： 无需在每个主要站点购买、上架和为物理 RADIUS 服务器供电。
降低运营开销： IT 团队无需再花费数小时来修补操作系统漏洞或手动管理服务器故障转移。供应商管理的更新可确保持续合规。
增强安全态势： 通过云 PKI 过渡到 EAP-TLS 可降低凭据被盗的风险，直接降低潜在的数据泄露成本。
敏捷性与可扩展性： 在开设新的零售分支机构或酒店时，网络认证可以在几分钟内完成配置，而不是几周。有关实用的推广策略，请参阅 Setting Up WiFi for Business: A 2026 Playbook 。

通过集中式访问控制，企业不仅能够保障其边界安全，还能释放资深工程人才的精力，使其专注于战略性主导项目，而无需维护过时的传统基础设施。

Definições Principais

Cloud RADIUS

Um serviço gerido que aloja o protocolo Remote Authentication Dial-In User Service num ambiente de nuvem de alta disponibilidade, eliminando a necessidade de servidores de autenticação locais.

Avaliado por equipas de TI que procuram reduzir o capex de hardware e os custos operacionais, mantendo um acesso seguro à rede 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Um método de autenticação altamente seguro que exige que tanto o cliente como o servidor apresentem certificados digitais para provar a sua identidade.

O padrão recomendado para redes empresariais para evitar ataques baseados em palavras-passe, exigindo PKI e MDM para a implementação.

NAS (Network Access Server)

O dispositivo — como um ponto de acesso WiFi, switch ou concentrador VPN — que atua como o cliente RADIUS, encaminhando as credenciais do utilizador para o servidor RADIUS.

Os engenheiros de rede devem configurar o NAS com os IPs do servidor RADIUS e segredos partilhados corretos para permitir a autenticação 802.1X.

Shared Secret

Uma sequência de texto criptográfica conhecida apenas pelo NAS e pelo servidor RADIUS, utilizada para encriptar pacotes RADIUS e verificar a autenticidade do remetente.

Um Shared Secret fraco é uma grande vulnerabilidade de segurança; as implementações empresariais devem utilizar sequências longas e geradas aleatoriamente.

SCIM (System for Cross-domain Identity Management)

Um padrão aberto que automatiza a troca de informações de identidade de utilizadores entre sistemas de TI ou aplicações na nuvem.

Utilizado para aprovisionar e desaprovisionar automaticamente utilizadores no diretório do Cloud RADIUS quando são efetuadas alterações no sistema de identidade principal de RH ou TI.

OpenRoaming

Uma estrutura de federação desenvolvida pela Wireless Broadband Alliance que permite aos utilizadores ligarem-se de forma automática e segura a redes WiFi aderentes em todo o mundo.

Os fornecedores de Cloud RADIUS que suportam o OpenRoaming (como a Purple) permitem que os locais ofereçam conectividade contínua e segura aos visitantes sem Captive Portals.

Accounting Logs

Registos gerados pelo servidor RADIUS que detalham os eventos de ligação do utilizador, incluindo a hora de início, hora de fim, dados transferidos e o endereço IP atribuído.

Críticos para auditorias de segurança, resolução de problemas e demonstração de conformidade com estruturas como o PCI DSS e o GDPR.

Change of Authorization (CoA)

Uma funcionalidade do RADIUS que permite ao servidor modificar dinamicamente a sessão ativa de um utilizador, como alterar a sua VLAN ou desligá-lo, sem exigir uma nova ligação.

Utilizado por administradores de rede para colocar instantaneamente em quarentena um dispositivo comprometido ou aplicar novas restrições de política a meio da sessão.

Exemplos Práticos

Um hotel de 200 quartos utiliza atualmente o Microsoft NPS local para a autenticação do WiFi dos funcionários através de PEAP. Estão a registar tempos de espera de autenticação esgotados (timeouts) durante as horas de maior afluência no check-in e pretendem migrar para o Cloud RADIUS com EAP-TLS para obter melhor segurança e fiabilidade. Como deve o Diretor de TI estruturar esta migração?

Implementar um inquilino Cloud RADIUS e integrá-lo com o Microsoft Entra ID do hotel via SCIM para a gestão automatizada do ciclo de vida dos utilizadores. 2. Configurar a PKI integrada do Cloud RADIUS para emitir certificados de cliente. 3. Utilizar o MDM existente (ex. Intune) para enviar a Root CA, os certificados de cliente e um novo perfil de WiFi configurado para EAP-TLS para todos os dispositivos dos funcionários. 4. Configurar os pontos de acesso do hotel para apontarem para os IPs primário e secundário do Cloud RADIUS, utilizando um novo segredo partilhado complexo de 32 caracteres. 5. Executar o NPS antigo e o novo Cloud RADIUS em paralelo em SSIDs diferentes durante um período de transição de duas semanas antes de desativar os servidores locais.

Comentário do Examinador: Esta abordagem minimiza o risco ao executar SSIDs paralelos durante a transição. A mudança para o EAP-TLS elimina os riscos de recolha de credenciais associados ao PEAP, e o aproveitamento do MDM para a implementação de certificados garante um impacto nulo para os utilizadores finais. A integração SCIM garante que, quando os funcionários saem, o seu acesso é revogado instantaneamente.

Uma cadeia de retalho nacional com 500 localizações necessita de garantir a conformidade com o PCI DSS para os seus terminais de ponto de venda (POS), que se ligam via WiFi. Estão a migrar para o Cloud RADIUS. Que configurações específicas são necessárias para cumprir a conformidade?

Implementar uma segmentação de rede rigorosa: os terminais POS devem autenticar-se num SSID dedicado e oculto, mapeado para uma VLAN isolada. 2. Impor a autenticação EAP-TLS para todos os dispositivos POS para garantir a autenticação mútua e impedir que dispositivos não autorizados se juntem à rede POS. 3. Configurar o serviço Cloud RADIUS para reter todos os registos de contabilidade (Access-Accept, Access-Reject, duração da ligação) por um período mínimo de um ano, conforme exigido pelo PCI DSS. 4. Garantir que os segredos partilhados do RADIUS entre os APs das filiais e o serviço Cloud RADIUS são rodados a cada 90 dias utilizando um script automatizado.

Comentário do Examinador: Esta solução aborda diretamente os requisitos do PCI DSS para segmentação lógica, controlo de acesso forte e auditabilidade. Depender da filtragem de endereços MAC é insuficiente para a conformidade; o EAP-TLS fornece a prova criptográfica necessária da identidade do dispositivo. A retenção de registos de contabilidade na nuvem simplifica o processo de auditoria para o QSA.

Perguntas de Prática

Q1. A sua organização está a migrar de um Active Directory local para o Google Workspace. Atualmente, utiliza PEAP-MSCHAPv2 para a autenticação WiFi. Por que razão isto é um problema e qual é a solução recomendada?

Dica: Considere como o PEAP valida as credenciais em relação ao protocolo de diretório.

Ver resposta modelo

O PEAP-MSCHAPv2 depende do hash NT da palavra-passe de um utilizador, que o Google Workspace não armazena nem expõe nativamente. A solução recomendada é migrar para o EAP-TLS utilizando um fornecedor de Cloud RADIUS que inclua uma PKI integrada. O serviço Cloud RADIUS pode sincronizar as identidades dos utilizadores a partir do Google Workspace via SAML/SCIM e autenticar os dispositivos utilizando certificados de cliente em vez de palavras-passe.

Q2. Uma filial reporta que os utilizadores estão a registar atrasos de 30 segundos ao ligarem-se à rede WiFi, seguidos de uma ligação bem-sucedida. O IP primário do Cloud RADIUS nessa região está atualmente em manutenção. Que erro de configuração está a causar este atraso?

Dica: Analise a comunicação entre o NAS e os servidores RADIUS.

Ver resposta modelo

O NAS (Ponto de Acesso ou Switch) tem o tempo de espera (timeout) do servidor RADIUS configurado com um valor demasiado elevado (ex. 30 segundos). Está a aguardar que o servidor primário responda antes de efetuar a transição para o servidor secundário. O tempo de espera deve ser reduzido para 3-5 segundos para garantir uma transição rápida sem afetar a experiência do utilizador.

Q3. Está a implementar o Cloud RADIUS para um hospital. A equipa de segurança exige que apenas dispositivos pertencentes à empresa se possam ligar à rede interna, mesmo que um funcionário conheça um nome de utilizador e palavra-passe válidos. Como impõe esta regra?

Dica: Qual o método EAP que verifica a identidade do dispositivo, e não apenas o conhecimento do utilizador?

Ver resposta modelo

Implemente o EAP-TLS. Configure a solução de MDM do hospital para enviar um certificado de cliente exclusivo apenas para dispositivos registados e pertencentes à empresa. Configure a política do Cloud RADIUS para rejeitar qualquer pedido de autenticação que não apresente um certificado válido assinado pela PKI interna de confiança, bloqueando eficazmente dispositivos BYOD ou não autorizados, independentemente do conhecimento da palavra-passe.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.

Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.