The Security Benefits of RADIUS as a Service for Hybrid Workforces

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir numa migração para RADIUS na nuvem este trimestre.

📖 9 min de leitura📝 2,171 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Welcome to this technical briefing from Purple. I am your host, and today we are examining a critical shift in enterprise network architecture: moving from on-premise RADIUS servers to RADIUS as a Service. If you manage IT for a hotel group, a retail chain, a stadium, or any large public venue, you know that securing network access for a hybrid workforce is no longer a peripheral concern. It is central to your operational security, your compliance posture, and frankly, your ability to sleep at night.

Today we will cover five areas. First, the context: why traditional on-premise RADIUS infrastructure is struggling to keep pace with hybrid work. Second, the technical architecture of RADIUS as a Service and how it actually works. Third, the specific security benefits you gain. Fourth, practical implementation guidance and the pitfalls to avoid. And fifth, a rapid-fire question and answer section covering the questions we hear most often from IT managers and network architects.

Let us start with the context. For two decades, 802.1X authentication relied on physical servers running FreeRADIUS on Linux, Microsoft Network Policy Server on Windows, or Cisco Identity Services Engine on dedicated hardware. These systems worked. They still work. But they require constant attention. You had to patch operating systems, manage certificate chains, configure high availability manually, and build redundancy across multiple servers. In a world where workers move constantly between the office, remote locations, hotel rooms, and client sites, that static, on-premise infrastructure becomes a genuine liability.

The problem is compounded by the shift to cloud identity providers. Microsoft NPS, for example, is tightly coupled to Active Directory. It has no native support for Microsoft Entra ID, Google Workspace, or Okta. If your organisation has migrated to any of these cloud directories, you face a painful choice: maintain a parallel Active Directory just to support your RADIUS server, or invest significant engineering effort in custom integrations. Neither option is attractive.

RADIUS as a Service changes the equation entirely. It moves the authentication engine to the cloud. You no longer manage the infrastructure; you manage the policies. The provider handles the servers, the patching, the high availability, and the integrations. You define who gets access to what, and the service enforces it.

Now let us get into the technical architecture. RADIUS, which stands for Remote Authentication Dial-In User Service, is the protocol defined in RFC 2865. It provides centralised Authentication, Authorisation, and Accounting, what we call AAA, for network access. When a device connects to your WiFi network, the access point acts as a RADIUS client. It forwards the authentication request to the RADIUS server. The server validates the credentials against your identity store and returns either an Access-Accept or an Access-Reject.

In a cloud RADIUS deployment, the server is hosted by the provider across multiple geographically distributed data centres. Your access points, whether they are Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, or Ubiquiti UniFi, point to the cloud RADIUS endpoints via secure, encrypted tunnels. The authentication flow is identical to on-premise RADIUS from the access point's perspective. The difference is that the server itself is managed, patched, and scaled by the provider.

The most important security enhancement in modern cloud RADIUS deployments is the move to EAP-TLS, which stands for Extensible Authentication Protocol with Transport Layer Security. EAP-TLS is defined in RFC 5216 and provides mutual authentication using digital certificates. Both the client device and the RADIUS server present certificates to each other. This eliminates passwords entirely from the authentication process. A certificate is cryptographically tied to the device and cannot be phished, guessed, or stolen in the way a password can.

The second major security capability is dynamic VLAN assignment. When the RADIUS server authenticates a user, it does not just grant or deny access. It also tells the access point which Virtual LAN to place the device in, based on the user's identity and role. A hotel receptionist authenticates and is placed in the front-of-house VLAN with access to the property management system. A housekeeping staff member is placed in a restricted VLAN with internet access only. A guest device is placed in the guest VLAN, completely isolated from all corporate resources. An IoT device, like a security camera, is placed in a dedicated IoT VLAN.

This identity-based network segmentation is fundamental to a Zero Trust security model. You are no longer trusting a device because it connected to a particular SSID. You are granting access based on verified identity, and you are limiting that access to only what that identity requires. This is the principle of least privilege applied to network access.

Let us also address the compliance angle. PCI DSS version 4.0 requires strong access controls for any network that touches cardholder data. Requirement 8 mandates unique authentication for all users. Requirement 1 requires network segmentation. Cloud RADIUS, with EAP-TLS and dynamic VLAN assignment, satisfies both requirements directly. For GDPR, the centralised audit logging provided by cloud RADIUS gives you a complete record of who accessed the network, when, and from which device. That audit trail is essential for demonstrating compliance and for investigating any potential data breach.

Now let me walk you through two concrete implementation scenarios that illustrate how this works in practice.

The first scenario is a hotel group. Consider a two-hundred room hotel property. They currently use a shared pre-shared key for their staff WiFi. Every member of staff, from the general manager to the seasonal housekeeping team, uses the same password. When a seasonal employee leaves at the end of summer, the password is rarely changed because changing it means updating every device on the property. This is a textbook security vulnerability.

The solution is to deploy RADIUS as a Service integrated with Microsoft Entra ID. The hotel configures its Cisco Meraki access points to use WPA3-Enterprise with 802.1X. Each staff member authenticates using their Entra ID credentials. The RADIUS server reads their role from the directory and assigns them to the appropriate VLAN dynamically. Housekeeping staff are placed in VLAN 10 with access to the housekeeping task management system only. Reception staff are placed in VLAN 20 with access to the property management system. Management are placed in VLAN 30 with broader access. When a seasonal employee's contract ends, their Entra ID account is disabled, and their WiFi access is revoked instantly, across every access point on the property. No password changes required.

The second scenario is a national retail chain. Consider a chain with four hundred stores. They currently manage four hundred separate FreeRADIUS instances on local store servers. Each server requires individual patching, monitoring, and maintenance. When a critical vulnerability is disclosed, the security team must patch four hundred servers, often over a period of weeks, leaving the estate exposed during that window.

The solution is to migrate to a single RADIUS as a Service instance. All four hundred stores point their HPE Aruba access points to the same cloud RADIUS endpoints. Point-of-sale terminals are authenticated using EAP-TLS with machine certificates pushed via the MDM platform. The RADIUS server places them in a PCI-compliant VLAN, isolated from all other network traffic. Store staff use a separate SSID authenticated via Okta, placing them in a general staff VLAN. The security team now manages one set of policies from a single dashboard. When a vulnerability is disclosed, the provider patches the infrastructure. The retail chain's security team focuses on policy, not plumbing.

Now let us cover implementation recommendations and the pitfalls to avoid.

Step one is to connect the cloud RADIUS service to your identity provider. For Microsoft Entra ID or Google Workspace, this typically involves authorising an enterprise application. Map your directory groups to specific network policies. Think carefully about your role taxonomy before you start. Getting this right at the beginning saves significant rework later.

Step two is to set up certificate deployment for corporate devices. Configure your MDM platform to push client certificates to managed devices. This enables EAP-TLS authentication and removes passwords from the equation entirely. For devices you do not manage, you can use PEAP with a user credential as a fallback, but EAP-TLS should be the target for all corporate-owned devices.

Step three is to configure your network hardware. Add the cloud RADIUS IP addresses and shared secrets to your wireless controllers or access points. Always configure both the primary and secondary endpoints to use the provider's built-in redundancy.

Step four is to define your VLAN policies. When the RADIUS server authenticates a user, it returns the correct VLAN ID to the access point. Map this out before you deploy. Know which VLAN each user role should land in, and test it thoroughly before rolling out to production.

Now, the pitfalls. The most common mistake is a misconfigured firewall blocking UDP ports 1812 and 1813, which are the RADIUS authentication and accounting ports. Always verify connectivity between your access points and the cloud RADIUS endpoints before go-live. The second pitfall is a broken certificate trust chain. If your client devices do not trust the Root Certificate Authority that issued the RADIUS server's certificate, they will silently reject the connection. This can look like a network outage when it is actually a PKI configuration issue.

Let us move to the rapid-fire questions.

Question one: What happens if our internet connection goes down? If the site loses internet, it cannot reach the cloud RADIUS. However, if the site has no internet, users cannot access cloud applications anyway. For mission-critical local resources, some access points offer local survivability modes. But the primary dependency is your WAN link, and that is true of almost every cloud service your organisation uses.

Question two: Is cloud RADIUS compliant with GDPR and PCI DSS? Yes. Centralised authentication with encrypted transport supports strong compliance postures. The audit logs satisfy PCI DSS requirements, and the strict access controls support GDPR principles of data minimisation and access limitation.

Question three: Does this work with our existing hardware? Yes. RADIUS is a standard protocol defined in RFC 2865. If your hardware supports 802.1X, and all enterprise gear from Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, and Fortinet does, it will work with any standards-compliant RADIUS as a Service.

To summarise the key takeaways. First, RADIUS as a Service replaces on-premise servers with a managed cloud platform, reducing capital expenditure and maintenance overhead. Second, cloud RADIUS integrates natively with Microsoft Entra ID, Okta, and Google Workspace, eliminating the need for complex middleware. Third, it enables dynamic VLAN assignment, ensuring users and devices land in the correct network segment based on their verified identity. Fourth, transitioning to EAP-TLS eliminates the risk of password theft and phishing attacks on your network. Fifth, centralised cloud management ensures consistent security policies across hundreds of distributed venue locations. Sixth, providers handle security patching and high availability. And seventh, cloud RADIUS supports compliance with PCI DSS and GDPR by enforcing strict, identity-based access controls with full audit logging.

Your next step is to evaluate your current RADIUS infrastructure. Calculate the true cost of ownership, including licensing, hardware refresh cycles, and the engineering time spent on maintenance. Then, run a proof of concept with a cloud RADIUS provider. You will likely find that the deployment takes hours, not weeks. Thank you for listening. Secure your networks, segment your traffic, and stop managing servers you do not need to own.

Principais Conclusões

✓RADIUS as a Service replaces on-premise servers with a managed cloud platform, eliminating hardware CapEx and maintenance overhead.
✓Cloud RADIUS integrates natively with Microsoft Entra ID, Okta, and Google Workspace, removing the need for complex middleware or parallel Active Directory deployments.
✓Dynamic VLAN assignment ensures users and devices are automatically placed in the correct network segment based on their verified identity, not the SSID they connected to.
✓Transitioning to EAP-TLS (certificate-based authentication) eliminates the risk of password theft and phishing attacks on your network.
✓Centralised cloud management enforces consistent security policies across hundreds of distributed venue locations from a single dashboard.
✓Providers handle security patching and multi-region high availability, ensuring authentication services remain available even during infrastructure updates.
✓Cloud RADIUS supports compliance with PCI DSS v4.0 and GDPR by enforcing strict, identity-based access controls with full centralised audit logging.

Resumo executivo

A transição para equipas híbridas expôs uma fraqueza fundamental na segurança de rede tradicional: os servidores RADIUS locais foram concebidos para um mundo onde os funcionários se sentavam num único edifício e se ligavam a uma única rede. Esse mundo já não existe. Hoje em dia, os seus colaboradores autenticam-se a partir de quartos de hotel, lojas, escritórios remotos e recintos de eventos. Os seus fornecedores de identidade residem na nuvem. Os seus pontos de acesso abrangem centenas de locais. No entanto, muitas organizações ainda dependem de servidores RADIUS físicos que requerem correções manuais, não se conseguem integrar nativamente com o Microsoft Entra ID ou Google Workspace, e falham silenciosamente quando o hardware avaria.

O RADIUS as a Service substitui essa infraestrutura por um motor de autenticação nativo na nuvem. Aponta os seus pontos de acesso para endpoints na nuvem. O fornecedor gere os servidores, as correções e a alta disponibilidade. O utilizador gere as políticas. Para as equipas de TI em grupos de Hotelaria , cadeias de Retalho e recintos públicos, esta mudança elimina os custos indiretos de hardware, impõe a segmentação de rede baseada em identidade e fornece o registo de auditoria que o PCI DSS e o GDPR exigem.

Análise técnica detalhada

Por que razão o RADIUS local está em dificuldades

O RADIUS, definido no RFC 2865, fornece Autenticação, Autorização e Contabilização (AAA) centralizadas para acesso à rede. Todas as empresas que executam WiFi WPA2-Enterprise ou WPA3-Enterprise dependem dele. O protocolo em si é robusto. O problema é o modelo de infraestrutura que cresceu em torno dele.

O FreeRADIUS em Linux requer uma experiência significativa para implementar, proteger e manter. O Microsoft Network Policy Server (NPS) está estreitamente associado ao Active Directory e não tem suporte nativo para o Microsoft Entra ID, Okta ou Google Workspace. O Cisco Identity Services Engine (ISE) oferece funcionalidades de política de nível empresarial, mas exige hardware dedicado, licenciamento complexo e uma equipa especializada para o operar. Todos os três exigem que crie e mantenha a alta disponibilidade manualmente, normalmente executando dois servidores com replicação de base de dados e um balanceador de carga à frente deles.

Para uma organização com um único local e um Active Directory estável, este modelo é gerível. Para um grupo hoteleiro com 50 propriedades, uma cadeia de retalho com 400 lojas ou uma universidade com um campus distribuído, torna-se inviável. Ou centraliza os servidores RADIUS e aceita a latência de autenticação de locais remotos, ou implementa servidores em cada local e gere-os individualmente. Nenhuma das opções é escalável.

A arquitetura do RADIUS as a Service

O RADIUS as a Service é um modelo de fornecimento baseado na nuvem para o protocolo RADIUS. O protocolo em si permanece inalterado, seguindo o RFC 2865 e as suas extensões. O que muda é quem mantém a infraestrutura.

Quando um dispositivo se liga à sua rede WiFi, o ponto de acesso (o cliente RADIUS) encaminha o pedido de autenticação para os endpoints RADIUS na nuvem através de um túnel seguro e encriptado. O serviço na nuvem valida as credenciais junto do seu fornecedor de identidade e devolve uma mensagem Access-Accept ou Access-Reject, juntamente com atributos de política, tais como atribuições dinâmicas de VLAN. Do ponto de vista do ponto de acesso, o fluxo de autenticação é idêntico ao RADIUS local.

O fornecedor de nuvem opera os servidores RADIUS em vários centros de dados distribuídos geograficamente. A recuperação de falhas (failover) é automática. Se um endpoint ficar indisponível, o tráfego é encaminhado para o seguinte em bom estado, sem qualquer intervenção da sua equipa. Para organizações com localizações em várias regiões, a autenticação ocorre no endpoint na nuvem mais próximo, mantendo a latência baixa independentemente da geografia.

Métodos IEEE 802.1X e EAP

O IEEE 802.1X é a norma para o Controlo de Acesso à Rede (NAC) baseado em portas. Força um dispositivo a autenticar-se antes de lhe ser atribuído um endereço IP e de lhe ser permitido transmitir tráfego. O RADIUS é o servidor de autenticação numa implementação 802.1X.

O Extensible Authentication Protocol (EAP) define como as credenciais são trocadas. O RADIUS na nuvem suporta toda a gama de métodos EAP:

Método EAP	Tipo de Autenticação	Nível de Segurança	Utilização Recomendada
EAP-TLS	Baseada em certificado mútuo	Mais elevado	Dispositivos corporativos com certificados geridos por MDM
PEAP-MSCHAPv2	Nome de utilizador e palavra-passe	Moderado	Dispositivos legados ou BYOD sem MDM
EAP-TTLS	Credenciais em túnel	Moderado	Ambientes mistos
MAC Authentication Bypass	Endereço MAC do dispositivo	Baixo	Dispositivos IoT que não suportam 802.1X

O EAP-TLS, definido no RFC 5216, é o padrão de excelência. Tanto o dispositivo cliente como o servidor RADIUS apresentam certificados digitais um ao outro. Esta autenticação mútua elimina completamente as palavras-passe do processo de acesso à rede. Um certificado está criptograficamente associado ao dispositivo e não pode ser alvo de phishing, adivinhado ou roubado como uma palavra-passe. Para organizações que sofreram violações baseadas em credenciais, esta é a mitigação técnica mais direta disponível.

Atribuição dinâmica de VLAN

Além da autenticação, o servidor RADIUS impõe a autorização. Quando aceita uma ligação, devolve atributos de política ao ponto de acesso, incluindo o ID da VLAN a atribuir ao dispositivo. Esta atribuição dinâmica de VLAN é o mecanismo que permite Redes Baseadas em Identidade.

Uma rececionista de hotel autentica-se e é colocada na VLAN de front-of-house com acesso ao sistema de gestão de propriedades. Um membro da equipa de limpeza é colocado numa VLAN restrita apenas com acesso à Internet. O dispositivo de um convidado é colocado na VLAN de WiFi de Convidados, completamente isolado de todos os recursos corporativos. Um dispositivo IoT, como uma câmara de segurança, é colocado numa VLAN de IoT. Tudo isto acontece de forma automática, com base na identidade verificada pelo servidor RADIUS, sem qualquer configuração manual de VLAN por dispositivo.

Este é o princípio do menor privilégio aplicado ao acesso à rede. Não está a confiar num dispositivo apenas porque este se ligou a um SSID específico. Está a conceder acesso com base numa identidade verificada e a limitar esse acesso apenas ao que essa identidade exige. Para uma análise mais aprofundada sobre como isto se enquadra numa estratégia mais ampla de controlo de acessos à rede, consulte o nosso guia sobre sistemas de controlo de acessos à rede .

Integração nativa de identidade na nuvem

A vantagem operacional mais significativa do RADIUS na nuvem é a sua integração nativa com fornecedores de identidade modernos. O RADIUS na nuvem liga-se diretamente ao Microsoft Entra ID, Okta e Google Workspace através de protocolos padrão, incluindo OIDC, SAML e LDAP. Quando aprovisiona um novo colaborador no seu fornecedor de identidade, este pode autenticar-se na rede WiFi imediatamente. Quando desativa um colaborador, desativa a sua conta no diretório e o seu acesso WiFi é revogado instantaneamente, em todos os pontos de acesso de todas as localizações.

Esta sincronização em tempo real elimina uma das falhas de segurança mais persistentes no WiFi empresarial: o antigo colaborador que ainda possui a PSK partilhada, ou cuja conta RADIUS não foi eliminada manualmente quando saiu. Com o RADIUS na nuvem e um fornecedor de identidade na nuvem, a desativação é uma ação única com efeito imediato em toda a rede.

Guia de implementação

Passo 1: Ligar o seu fornecedor de identidade

Ligue o serviço RADIUS na nuvem ao seu fornecedor de identidade. Para o Microsoft Entra ID ou Google Workspace, isto envolve normalmente a autorização de uma aplicação empresarial via OAuth ou a configuração de um conector LDAP. Mapeie os seus grupos de diretório para políticas de rede específicas. Defina a sua taxonomia de funções antes de começar: quais os grupos que se mapeiam para quais VLANs e que direitos de acesso cada VLAN acarreta. Fazer isto corretamente no início evita retrabalho significativo mais tarde.

Passo 2: Implementar certificados para dispositivos corporativos

Para dispositivos de propriedade corporativa, configure a sua plataforma de Gestão de Dispositivos Móveis (MDM), como o Microsoft Intune ou Jamf, para enviar certificados de cliente para os dispositivos. Isto ativa a autenticação EAP-TLS. Certifique-se de que a Autoridade de Certificação (CA) Raiz que emitiu o certificado do servidor RADIUS é fidedigna para todos os dispositivos de cliente. Uma cadeia de fidedignidade quebrada é a causa mais comum de falhas de autenticação silenciosas.

Passo 3: Configurar o hardware de rede

Adicione os endereços IP do RADIUS na nuvem e os segredos partilhados aos seus controladores sem fios ou pontos de acesso. Configure sempre os endpoints primário e secundário para utilizar a redundância integrada do fornecedor. Certifique-se de que as portas UDP 1812 (autenticação) e 1813 (accounting) estão abertas para o exterior a partir dos seus pontos de acesso para os endpoints do RADIUS na nuvem. Verifique isto antes da entrada em funcionamento. Regras de firewall mal configuradas são a segunda causa mais comum de falhas de implementação.

O RADIUS na nuvem funciona com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Os passos de configuração variam consoante o fabricante, mas o protocolo RADIUS é padronizado, pelo que os parâmetros principais (IP do servidor, segredo partilhado, porta de autenticação) são consistentes.

Passo 4: Definir políticas de VLAN

Configure a atribuição dinâmica de VLAN no seu motor de políticas RADIUS. Mapeie cada função de utilizador ou tipo de dispositivo para um ID de VLAN específico. Teste cada política antes de a lançar em produção. Uma matriz de teste simples - um dispositivo por função, uma VLAN por função, verificar a colocação - deteta a maioria dos erros de configuração antes que estes afetem os utilizadores.

Boas práticas

Imponha o EAP-TLS para todos os dispositivos corporativos. Afaste-se do PEAP-MSCHAPv2 tão rapidamente quanto a sua implementação de MDM o permitir. O PEAP depende de palavras-passe, que podem ser comprometidas. O EAP-TLS depende de certificados, que não podem.

Segmente tudo. Nunca coloque funcionários, convidados e dispositivos IoT na mesma sub-rede. Utilize o RADIUS para impor limites estritos de VLAN. Isto é fundamental para ambientes de Retalho que lidam com dados de cartões de pagamento sob o PCI DSS, e para ambientes de Saúde que protegem dados de doentes.

Alinhe com o WPA3-Enterprise. O WPA3-Enterprise, o padrão atual de segurança WiFi, exige autenticação 802.1X. Certifique-se de que os seus pontos de acesso suportam o WPA3-Enterprise e configure-o como o padrão mínimo de segurança para as redes de funcionários.

Audite os seus registos RADIUS regularmente. O RADIUS na nuvem fornece registos de auditoria centralizados. Reveja as falhas de autenticação semanalmente. Um pico de falhas num dispositivo ou localização específica é um indicador precoce de uma configuração incorreta ou de um potencial ataque.

Teste a redundância (failover). Pelo menos uma vez por trimestre, simule uma falha no endpoint RADIUS primário e verifique se a autenticação continua através do endpoint secundário. Documente o resultado. Este é um teste simples que a maioria das equipas nunca executa até precisar dele.

Para locais que implementam WiFi em ambientes complexos, incluindo localizações marítimas ou remotas, consulte o nosso guia sobre como configurar um captive portal no Starlink para considerações sobre a dependência de WAN.

Resolução de problemas e mitigação de riscos

Timeouts de autenticação

Se os dispositivos não se conseguirem autenticar, verifique primeiro a conectividade entre os seus pontos de acesso e os endpoints do RADIUS na nuvem. Verifique se as portas UDP 1812 e 1813 estão abertas para o exterior. A inspeção profunda de pacotes (DPI) em firewalls modernas pode atrasar ou descartar pacotes RADIUS. Se detetar timeouts, verifique a sua política de firewall para identificar regras que possam estar a inspecionar ou a limitar a taxa de tráfego UDP para os endpoints RADIUS.

Falhas na cadeia de fidedignidade do certificado

Se utilizar o EAP-TLS, certifique-se de que os dispositivos de cliente confiam na CA Raiz que emitiu o certificado do servidor RADIUS. Se a cadeia de fidedignidade estiver quebrada, o dispositivo rejeitará silenciosamente a ligação para evitar um ataque do tipo "man-in-the-middle". Isto apresenta-se como uma falha de ligação sem nenhuma mensagem de erro óbvia. Verifique os registos do servidor RADIUS para Falhas no handshake EAP-TLS. Implemente o certificado Root CA em todos os dispositivos geridos via MDM.

Dependência de WAN

O Cloud RADIUS requer uma ligação ativa à internet. Se a ligação WAN falhar, os pedidos de autenticação não conseguem chegar ao servidor. Para recursos locais de missão crítica, avalie pontos de acesso que suportem sobrevivência local ou colocação em cache de autenticação. Para a maioria das implementações, a dependência de WAN é aceitável porque um local sem internet não consegue, de qualquer forma, aceder a aplicações na nuvem.

Incompatibilidades de segredo partilhado

Cada ponto de acesso ou controlador sem fios deve ser configurado como um cliente RADIUS com o segredo partilhado correto. Uma incompatibilidade faz com que todos os pedidos de autenticação desse dispositivo sejam descartados silenciosamente. Se um ponto de acesso específico estiver a falhar enquanto outros têm sucesso, verifique a configuração do segredo partilhado nesse dispositivo.

ROI e impacto empresarial

O caso de negócio para o RADIUS as a Service assenta em três pilares: redução de despesas de capital, menor sobrecarga operacional e melhoria da postura de segurança.

Nas despesas de capital, elimina o custo de aquisição, licenciamento e atualização de servidores físicos. Uma implementação RADIUS local mínima viável requer dois servidores para alta disponibilidade, licenças de sistema operativo e atualização de hardware a cada três a cinco anos. Para um grupo hoteleiro de 50 propriedades, isso representa um investimento significativo em hardware em todo o portfólio.

Na sobrecarga operacional, a sua equipa de engenharia já não perde tempo a aplicar patches no Windows Server, a resolver problemas de configurações do FreeRADIUS ou a gerir renovações de certificados em infraestruturas físicas. Esse tempo é redirecionado para o trabalho de políticas de segurança que melhora diretamente a sua postura.

Na postura de segurança, a transição para EAP-TLS e atribuição dinâmica de VLAN reduz materialmente a superfície de ataque. O roubo de credenciais é a principal causa de violações de rede. A eliminação de palavras-passe do processo de autenticação de rede aborda diretamente esse risco. O registo de auditoria centralizado apoia a conformidade com o PCI DSS v4.0 e o GDPR, reduzindo o custo e a complexidade das auditorias de conformidade.

Para organizações que gerem centros de Transportes ou locais de grande afluência, a capacidade de aplicar políticas de segurança consistentes em todos os locais a partir de um único dashboard é uma melhoria operacional mensurável. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 (dados internos da Purple, 2024). A infraestrutura que suporta essa escala é cloud-native por design.

Para uma visão mais ampla de como a análise de WiFi e a inteligência de rede se ligam aos resultados de negócio, consulte a nossa plataforma de WiFi Analytics .

Referências

[1] IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control. IEEE Std 802.1X-2020. [2] IETF. Remote Authentication Dial In User Service (RADIUS). RFC 2865. 1997. [3] IETF. The EAP-TLS Authentication Protocol. RFC 5216. 2008. [4] IronWiFi. Benefits of a Cloud RADIUS Server: Why Enterprises Are Moving Authentication Online. Fevereiro de 2026. [5] SecureW2. Cloud vs. On-Site RADIUS: Which is Better? Maio de 2026. [6] Portnox. RADIUS as a Service. 2026. [7] PCI Security Standards Council. PCI DSS v4.0. Março de 2022. [8] Purple. Dados internos da plataforma: 440 milhões de inícios de sessão, mais de 80.000 locais. 2024.

Definições Principais

RADIUS

Remote Authentication Dial-In User Service. A networking protocol defined in RFC 2865 that provides centralised Authentication, Authorisation, and Accounting (AAA) management for users connecting to a network service.

IT teams use RADIUS as the central decision engine to verify whether a device or user is allowed onto the corporate WiFi network. It sits between the access point and the identity provider.

802.1X

An IEEE Standard for port-based Network Access Control. It provides an authentication mechanism to devices wishing to attach to a LAN or WLAN, forcing them to authenticate before receiving an IP address.

This is the standard that underpins enterprise WiFi security. Without 802.1X, any device that connects to the SSID gets network access. With 802.1X, every device must prove its identity first.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. An authentication method defined in RFC 5216 that requires both the client device and the RADIUS server to present digital certificates, providing mutual authentication without passwords.

Considered the gold standard for enterprise WiFi security. Certificates are deployed to corporate devices via MDM. EAP-TLS eliminates the risk of password theft and phishing attacks on the network.

PEAP

Protected Extensible Authentication Protocol. An EAP method that tunnels a username and password exchange inside a TLS session. Less secure than EAP-TLS because it relies on passwords.

PEAP-MSCHAPv2 is widely deployed in legacy environments. IT teams should plan a migration to EAP-TLS for corporate devices, using PEAP only as a fallback for unmanaged or BYOD devices.

Dynamic VLAN assignment

A process where the RADIUS server instructs the access point which Virtual LAN to place a device in, based on the user's verified identity and role, rather than the SSID they connected to.

Essential for network segmentation in multi-role environments. A single 'Staff' SSID can securely separate housekeeping, reception, and management traffic into different VLANs with different access rights.

AAA

Authentication, Authorisation, and Accounting. The three functions performed by a RADIUS server: verifying identity (authentication), determining what access is permitted (authorisation), and recording session data for audit purposes (accounting).

IT teams and auditors use AAA as a framework for evaluating network access control. Cloud RADIUS delivers all three functions from a managed service.

WPA3-Enterprise

The current WiFi security standard for enterprise networks, requiring 802.1X authentication via a RADIUS server. It offers improved cryptographic strength over WPA2-Enterprise, including 192-bit security mode for high-security environments.

IT managers should configure WPA3-Enterprise as the minimum security standard for staff networks. Guest networks can use WPA2 or open authentication with a captive portal.

Network Access Control (NAC)

A security approach that enforces policy on devices seeking to access network resources, combining endpoint security assessment, identity authentication, and network enforcement.

RADIUS is a foundational component of NAC. Cloud RADIUS extends NAC to distributed, multi-site environments without requiring on-premise infrastructure at each location.

Captive portal

A web page that a user of a public-access network must interact with before being granted internet access. Typically used for Guest WiFi to collect consent or display terms of use.

Captive portals handle unauthenticated guest access, while 802.1X handles authenticated staff access. The two mechanisms operate on separate SSIDs and VLANs.

Exemplos Práticos

A 200-room hotel needs to secure its staff network across housekeeping, reception, and management, while keeping Guest WiFi entirely separate. They currently use a shared PSK for the staff network, which has not been changed in two years.

Deploy RADIUS as a Service integrated with Microsoft Entra ID. Configure the Cisco Meraki access points to use WPA3-Enterprise with 802.1X. Housekeeping staff authenticate using their Entra ID credentials; the RADIUS server reads their directory group and dynamically assigns them to VLAN 10 (housekeeping task system access only). Reception staff are assigned to VLAN 20 (property management system access). Management are assigned to VLAN 30 (broader access). Guest WiFi remains on a separate SSID with a captive portal, isolated on VLAN 40. When a seasonal staff member leaves, their Entra ID account is disabled, instantly revoking WiFi access across all access points on the property.

Comentário do Examinador: This approach eliminates the shared PSK vulnerability and the risk of former employees retaining access. Dynamic VLAN assignment ensures a compromised housekeeping device cannot reach the property management system. Using cloud RADIUS removes the need for a physical server in the hotel's limited IT closet. The integration with Entra ID means offboarding is a single action with immediate network-wide effect.

A national retail chain with 400 stores needs to ensure PCI DSS compliance for its point-of-sale terminals. They currently manage 400 separate FreeRADIUS instances on local store servers, each requiring individual patching.

Migrate to a single RADIUS as a Service instance. Configure HPE Aruba access points at all 400 stores to authenticate POS devices using EAP-TLS with machine certificates pushed via Microsoft Intune. The cloud RADIUS server authenticates the certificates and places POS devices into a PCI-compliant VLAN (VLAN 30), isolated from all other network traffic. Store staff use a separate SSID authenticated via Okta, placing them in a general staff VLAN (VLAN 20). Shoppers on the guest network are isolated on VLAN 40. The security team manages all policies from a single dashboard.

Comentário do Examinador: Centralising the RADIUS infrastructure eliminates the maintenance burden of patching 400 local servers. Using EAP-TLS for POS devices removes passwords entirely, preventing credential theft. This architecture satisfies PCI DSS v4.0 Requirement 8 (unique authentication) and Requirement 1 (network segmentation). When a vulnerability is disclosed, the provider patches the cloud infrastructure rather than the retail chain's security team patching 400 servers over several weeks.

Perguntas de Prática

Q1. Your university campus currently uses Microsoft NPS on Windows Server to authenticate students via PEAP-MSCHAPv2. The institution is migrating to Google Workspace and wants to decommission all on-premise servers within 12 months. What is the most secure and operationally efficient architectural change for the WiFi authentication infrastructure?

Dica: Microsoft NPS does not natively support Google Workspace. Consider what replaces both the server and the authentication method.

Ver resposta modelo

Migrate to RADIUS as a Service with native Google Workspace integration. The cloud RADIUS service connects directly to Google Workspace via LDAP or OIDC, eliminating the need for Active Directory or NPS. Simultaneously, transition managed student and staff devices from PEAP-MSCHAPv2 to EAP-TLS by deploying client certificates via the institution's MDM platform. This removes passwords from the authentication process and ensures that only managed, trusted devices can access the staff and student networks. The migration can be phased: deploy cloud RADIUS alongside NPS, migrate one SSID at a time, then decommission NPS once all devices are using the new service.

Q2. A stadium with 80,000 capacity requires secure WiFi for corporate staff, ticketing terminals, media press members, and event-day contractors. How should the network be configured using cloud RADIUS to enforce appropriate access for each group?

Dica: Consider how RADIUS handles authorisation, not just authentication. Each group needs different access rights.

Ver resposta modelo

Deploy a single 802.1X SSID for all authenticated groups. Configure the cloud RADIUS service to use dynamic VLAN assignment based on the user's role in the identity provider. Corporate staff are assigned to VLAN 10 with access to internal systems. Ticketing terminals, authenticated via machine certificates (EAP-TLS), are placed in a restricted VLAN 20 with access only to the ticketing platform. Media press members are assigned to VLAN 30 with high-bandwidth internet access but no access to internal systems. Event-day contractors are assigned to VLAN 40 with limited internet access only. A separate open SSID with a captive portal handles fan and attendee guest access on VLAN 50, isolated from all other traffic.

Q3. During a security audit, it is discovered that your organisation's FreeRADIUS server has not received a security patch for eight months. The team has been reluctant to patch it because the last update caused a two-hour authentication outage. How does migrating to RADIUS as a Service resolve both the security risk and the operational risk?

Dica: Consider the division of responsibility in a managed service model and how providers handle patching without downtime.

Ver resposta modelo

RADIUS as a Service shifts the responsibility for OS patching and vulnerability management to the provider. The provider operates highly available, multi-region clusters, allowing them to patch individual endpoints and roll updates progressively without causing authentication downtime. Your team no longer needs to schedule maintenance windows or accept the risk of a patch-induced outage. The security risk is eliminated because the provider patches the infrastructure as vulnerabilities are disclosed, often before the CVE is widely publicised. The operational risk is eliminated because the provider's SLA guarantees uptime regardless of patching activity. Your team's role changes from infrastructure maintenance to policy management.

Continue a ler esta série

Integrating RADIUS as a Service with Cloud Directories (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para autenticação WiFi empresarial. Abrange a transição arquitetural de NPS local para RADIUS nativo na cloud, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na cloud, este guia faz a ponte entre a gestão de diretórios e a segurança física da rede.

How to Implement 802.1X Authentication with Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, o sequenciamento da implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando a sobrecarga operacional da infraestrutura no local.

What is Cloud RADIUS? A Comprehensive Guide to RADIUS as a Service

Este guia abrangente explora o Cloud RADIUS (RADIUS as a Service), detalhando a sua arquitetura, métodos EAP e estratégias de implementação. Fornece aos líderes de TI informações acionáveis sobre a migração de servidores no local para um modelo de autenticação baseado na nuvem, escalável, seguro e em conformidade.