Soluções de WiFi gerido: um guia completo para empresas

PARTE 1: Bem-vindo. Hoje vamos falar sobre WiFi gerido - não o router doméstico que liga em casa, mas a infraestrutura gerida na nuvem, de nível empresarial, que suporta tudo, desde as 800 propriedades do Premier Inn aos terminais do Manchester Airports Group. Deixe-me enquadrar a situação. Está a gerir um património com vários locais - hotéis, lojas de retalho, um estádio ou um empreendimento residencial para arrendamento. O seu WiFi é provavelmente uma manta de retalhos. Alguns locais têm Cisco Meraki, outros têm equipamentos HPE Aruba instalados em 2018 e, algures, existe uma configuração Ubiquiti UniFi que um empreiteiro instalou e que ninguém compreende muito bem. Soa-lhe familiar? Esse é o problema que o WiFi gerido resolve. Substitui essa manta de retalhos por uma única sobreposição na nuvem - um painel de controlo, um motor de políticas, uma postura de segurança - independentemente do hardware que estiver por baixo. Vamos entrar na arquitetura. Uma implementação de WiFi gerido devidamente concebida executa três segmentos de rede distintos. Primeiro, o WiFi de Convidados - a rede voltada para o público à qual os visitantes, convidados ou clientes se ligam. Segundo, o WiFi de Funcionários - uma rede separada e autenticada para colaboradores, utilizando IEEE 802.1X com um servidor RADIUS para acesso baseado em identidade. Terceiro, uma VLAN de IoT - isolada de tudo o resto, que transporta os seus sistemas de gestão de edifícios, CCTV, fechaduras inteligentes e sensores. Porquê três? Porque um convidado que se ligue ao WiFi do seu hotel nunca deve conseguir aceder ao seu sistema de gestão de propriedade. E os seus dispositivos IoT - que frequentemente executam firmware desatualizado e não podem ser corrigidos - nunca devem ser acessíveis a partir da rede de convidados. O isolamento de VLAN não é opcional. É a base de uma arquitetura de rede defensável. Agora, a autenticação. Para o acesso de convidados, existem duas abordagens principais. O Captive Portal tradicional - onde um visitante abre um navegador, vê uma página de entrada, aceita os seus termos e, opcionalmente, inicia sessão por e-mail ou redes sociais. Isto é o que a Purple implementa em 80.000 locais em todo o mundo. Capta dados primários com consentimentos de escolha consciente que estão em total conformidade com o GDPR. A segunda abordagem é o Passpoint, também conhecido como Hotspot 2.0 ou OpenRoaming. Este utiliza 802.11u e WPA3 para autenticar dispositivos automaticamente, sem uma página de entrada. A Purple funciona como um fornecedor de identidade gratuito para o OpenRoaming ao abrigo do plano Connect. Para a autenticação de funcionários, o padrão de excelência é o IEEE 802.1X com EAP-TLS. Cada dispositivo apresenta um certificado em vez de uma palavra-passe. Sem segredos partilhados. Integra-se com o Microsoft Entra ID, Okta ou Google Workspace via SCIM e SAML. Quando um colaborador sai, a Purple revoga o acesso automaticamente. Para ambientes multi-inquilino - empreendimentos residenciais para arrendamento, alojamento de estudantes, MDUs - utiliza iPSK ou PPSK. Cada unidade residencial recebe uma chave única. O tráfego é isolado ao nível da VLAN por unidade. O Multi-Tenant WiFi da Purple lida com isto automaticamente, suportando Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Vamos falar sobre a implementação. Cinco fases. Fase um: o levantamento do local (site survey). Precisa de um levantamento de radiofrequência - ou preditivo, usando software como o Ekahau, ou ativo, percorrendo o local com um analisador de espectro. Um quarto de hotel típico precisa de um access point por cada dois a quatro quartos, dependendo dos materiais de construção. Fase dois: desenho da rede. Define a sua estrutura de VLAN, gamas de DHCP, políticas de QoS e planos de canais. 2.4 gigahertz para alcance e compatibilidade com IoT, 5 gigahertz para taxa de transferência (throughput), 6 gigahertz em hardware Wi-Fi 6E para ambientes de alta densidade. Fase três: instalação de hardware. Cat 6A para todos os access points, switches PoE plus com orçamentos de energia adequados. Não subdimensione a camada de switching - é a causa mais comum de problemas de desempenho que vemos no terreno. Fase quatro: integração na nuvem. Ligue o seu hardware à plataforma de gestão, envie os modelos de configuração e teste. Com a Purple, isto é uma sobreposição na nuvem - aplica a camada de identidade, analítica e motor de políticas da Purple por cima da sua infraestrutura existente. Fase cinco: gestão contínua. Atualizações de firmware enviadas centralmente. Deteção de APs falsos (rogue). Monitorização de largura de banda. Alertas automatizados quando um access point fica offline. A plataforma da Purple oferece 99,999% de tempo de atividade (uptime), apoiada pela certificação ISO 27001. PARTE 2: Agora deixe-me dar-lhe dois cenários do mundo real. Cenário um: um hotel de 200 quartos. Quatro andares, uma sala de conferências, um restaurante e um spa. A equipa de TI é composta por duas pessoas. Não podem estar no local sempre que um hóspede se queixa do WiFi. A solução: 85 access points em hardware HPE Aruba, geridos através da sobreposição na nuvem da Purple. WiFi de hóspedes na VLAN 10 com uma página de boas-vindas personalizada (splash page) a capturar o e-mail no check-in. WiFi de funcionários na VLAN 20 com autenticação 802.1X associada ao diretório Microsoft Entra ID do hotel. IoT na VLAN 30 que suporta o sistema de gestão do edifício e o entretenimento no quarto. O resultado: a equipa de TI gere toda a propriedade a partir de um único painel de controlo. As atualizações de firmware ocorrem durante a noite. As reclamações dos hóspedes diminuem porque a rede é monitorizada proativamente, e não reativamente. Cenário dois: um empreendimento residencial para arrendamento com 300 unidades. O promotor precisa de WiFi que os residentes possam usar desde o primeiro dia, que suporte dispositivos domésticos inteligentes (smart home) e que mantenha o tráfego de cada apartamento privado. A solução: o Multi-Tenant WiFi com iPSK da Purple. Cada unidade recebe uma chave pré-partilhada única, aprovisionada automaticamente quando um contrato de arrendamento é criado. Os residentes ligam os seus telemóveis, portáteis, smart TVs e termostatos sob a mesma chave. O tráfego é isolado por VLAN. O promotor oferece o WiFi como uma comodidade incluída na taxa de serviço. A rede corre em hardware Cisco Meraki com a Purple como a camada de gestão na nuvem. Deixe-me dar-lhe três regras de ouro antes de passarmos às perguntas. Regra um: segmente tudo. O tráfego de hóspedes, funcionários e IoT nunca deve partilhar uma VLAN. Se não retirar mais nada desta sessão, retenha isto. Uma VLAN mal configurada causou mais incidentes de segurança do que qualquer outro fator isolado em WiFi empresarial. Regra dois: desenhe para o pico, não para a média. Um centro de conferências com 500 lugares precisa de suportar 500 ligações simultâneas durante uma palestra de abertura. Desenhe a densidade dos seus pontos de acesso e o plano de canais para essa carga de pico, não para a média de uma terça-feira à tarde. Regra três: a camada de gestão em nuvem não é opcional em grande escala. Se está a gerir mais de cinco locais, uma plataforma de nuvem não é um luxo - é a única forma de manter uma postura de segurança consistente e responder a incidentes rapidamente. Certo, vamos a uma ronda rápida de perguntas e respostas. Pergunta: preciso de WPA3? Resposta: sim, para qualquer nova implementação. O WPA3 elimina a vulnerabilidade KRACK, introduz a Autenticação Simultânea de Iguais e é obrigatório para a certificação Wi-Fi 6. Ative-o em modo de transição para suportar dispositivos antigos. Pergunta: e quanto à conformidade PCI-DSS para o retalho? Resposta: a sua rede de pontos de venda deve estar numa VLAN separada, completamente isolada do WiFi de convidados. O requisito 1.3 do PCI-DSS exige a segmentação de rede entre ambientes de dados de titulares de cartões e todas as outras redes. Pergunta: como faço a gestão de BYOD para funcionários? Resposta: utilize 802.1X com PEAP e MSCHAPv2 para dispositivos que não suportam EAP-TLS. Ou utilize PPSK com chaves por dispositivo geridas através do seu fornecedor de identidade. A Purple integra-se com o Microsoft Entra ID e a Okta para automatizar isto. Pergunta: qual é o caso de ROI? Resposta: três números. O WiFi gerido reduz o tempo de suporte de TI para problemas de rede numa média de 40% em comparação com a infraestrutura autogerida, com base nos dados dos próprios clientes da Purple. A captura de dados em WiFi de convidados gera dados de marketing de primeira mão que valem uma média de 12 libras por perfil capturado em receitas de marketing por email ao longo de 12 meses. E uma disponibilidade de 99,999% significa menos de seis minutos de inatividade por ano. Para resumir. O WiFi gerido não serve apenas para conectividade. Serve para gerir uma rede que é segura por conceção, observável em tempo real e escalável sem aumentar o número de funcionários. A arquitetura é simples: três VLANs, gestão em nuvem, autenticação baseada em identidade. A implementação é um processo de cinco fases, desde o levantamento do local até à gestão contínua. E o caso de negócio é claro - menor custo operacional, melhor postura de segurança e uma rede que gera dados que pode realmente utilizar. A equipa técnica da Purple pode orientá-lo numa revisão de arquitetura específica para o seu local. Implementámos em mais de 80.000 espaços, registámos 440 milhões de ligações em 2024 e recolhemos 29 mil milhões de pontos de dados. Nós sabemos o que funciona. Obrigado pelo seu tempo.