Usm PPSK: comparando funcionalidades e modelos de implementação

Bem-vindo ao Purple Technical Briefing. Hoje vamos abordar o USM PPSK - o Modelo de Segurança Unificado para Chaves Pré-Partilhadas Privadas - o que é, como se compara com as alternativas e onde faz sentido implementá-lo em propriedades residenciais e comerciais multi-inquilino. Comecemos pelo problema. Se for um promotor imobiliário, um operador de build-to-rent ou um proprietário que gere um empreendimento de unidades multifamiliares, está a gerir um edifício onde dezenas ou centenas de agregados familiares diferentes partilham a mesma infraestrutura física de rede. Precisa que cada residente tenha uma experiência de WiFi privada, semelhante à de casa. O seu Chromecast precisa de encontrar o seu telemóvel. A sua coluna inteligente precisa de falar com as suas lâmpadas. E nada disso deve ser visível para o residente do apartamento ao lado. A resposta tradicional era uma palavra-passe partilhada - o que representa um risco de segurança à escala - ou uma implementação empresarial completa de 802.1X, que requer uma Infraestrutura de Chaves Públicas, gestão de certificados e um servidor RADIUS para o qual a maioria dos operadores imobiliários simplesmente não tem recursos de TI para gerir. Nenhuma destas opções é adequada para um bloco de 200 unidades build-to-rent. É aí que entra o PPSK. PPSK significa Private Pre-Shared Key. O conceito é simples: em vez de uma palavra-passe de WiFi partilhada para todo o edifício, cada residente recebe a sua própria frase de acesso exclusiva. Ligam-se ao mesmo SSID - o mesmo nome de rede - mas a sua chave é apenas deles. Se se mudarem, a chave é revogada. Tem zero efeito sobre qualquer outro residente. Existem três modelos distintos aqui, e compreender a diferença é fundamental para tomar a decisão arquitetónica correta. O primeiro modelo é um PSK partilhado padrão. Uma palavra-passe, todos na mesma rede. Isto é o que a maioria dos edifícios ainda utiliza hoje. É simples de implementar, mas é um ponto único de falha. Um residente partilha a palavra-passe externamente e perde-se o controlo do perímetro da rede. Quer remover o acesso de um prestador de serviços? Tem de alterar a palavra-passe para todos. À escala, isto é simplesmente ingerível. O segundo modelo é o Group PPSK. Atribui-se uma chave exclusiva a cada grupo de utilizadores - talvez uma chave por piso ou uma chave por tipo de arrendamento. É melhor do que uma palavra-passe partilhada, mas ainda tem um problema de raio de impacto. Se uma chave num grupo for comprometida, todo o grupo é afetado. E continua a não ser possível isolar os residentes individuais uns dos outros na camada de rede. O terceiro modelo - e aquele em que nos focamos hoje - é o USM PPSK: Chave Pré-Partilhada Exclusiva por Utilizador, gerida através de um Modelo de Segurança Unificado. Cada residente individual, cada grupo de dispositivos individual, recebe a sua própria chave criptograficamente exclusiva. E essa chave mapeia para a sua própria VLAN - o seu próprio segmento de rede - completamente isolado de todos os outros residentes no edifício. Esta é a arquitetura que proporciona o que chamo de bolha de WiFi. Os dispositivos do Residente A conseguem ver-se uns aos outros. Podem transmitir, emparelhar e partilhar ficheiros, exatamente como fariam numa rede doméstica. Mas o Residente A não consegue ver um único dispositivo pertencente ao Residente B, mesmo que ambos estejam ligados ao mesmo ponto de acesso, no mesmo SSID, utilizando a mesma infraestrutura de cabos físicos. Deixe-me orientá-lo pelo fluxo de autenticação técnica, porque é aqui que a arquitetura prova o seu valor. Quando o dispositivo de um residente se liga ao SSID, o Wireless LAN Controller intercepta a tentativa de ligação. Este reencaminha o endereço MAC do dispositivo para um servidor RADIUS. O servidor RADIUS - que pode ser alojado na nuvem, como o da Purple - procura esse endereço MAC no seu repositório de identidade. Devolve uma resposta Access-Accept contendo a chave pré-partilhada única atribuída a esse residente. O controlador valida a chave que o dispositivo apresentou com a chave devolvida. Se coincidirem, o dispositivo é autenticado e colocado na VLAN dedicada do residente. Crucialmente, essa resposta RADIUS também transporta a atribuição de VLAN. Por isso, o dispositivo não é apenas autenticado. É colocado automaticamente no segmento de rede correto, com a política de largura de banda correta e as regras de firewall corretas - tudo a partir de um único SSID. Sem proliferação de SSIDs. Sem sobrecarga de beacons. Um nome de rede, centenas de redes privadas isoladas por baixo dele. Agora vamos falar sobre o USM - o Modelo de Segurança Unificado. Esta é a camada de gestão que fica acima do repositório de credenciais PPSK. Trata da geração, distribuição, gestão do ciclo de vida, atribuição de políticas e revogação de chaves - idealmente através de integração de API com o seu sistema de gestão de propriedade ou fornecedor de identidade. Sem o USM, o PPSK é apenas uma coleção de palavras-passe exclusivas numa folha de cálculo. Com o USM, torna-se um sistema de controlo de acessos automatizado, auditável e orientado por políticas. A diferença na sobrecarga operacional é substancial. Numa implementação de USM bem executada, quando um novo residente assina o seu contrato de arrendamento, o sistema de gestão de propriedade aciona uma chamada de API para a plataforma USM. A plataforma gera um PPSK exclusivo, atribui-o à VLAN do residente, define políticas de largura de banda e envia a credencial para o residente por e-mail ou código QR - tudo sem qualquer intervenção manual da sua equipa de TI. Quando o residente se muda, a mesma integração aciona a revogação. A sua chave deixa de funcionar. Nenhum outro residente é afetado. Deixe-me dar dois cenários do mundo real para tornar isto concreto. Primeiro cenário: um empreendimento de arrendamento residencial (build-to-rent) com 300 unidades. O operador geria o edifício inteiro com uma única password de WiFi partilhada. De seis em seis meses, quando um número significativo de residentes se mudava, a password era alterada - e passavam as duas semanas seguintes a responder a chamadas de suporte de residentes que não conseguiam voltar a ligar os seus dispositivos. Os dispositivos domésticos inteligentes eram um problema particular: Chromecast, Amazon Echo e iluminação inteligente exigiam reconfiguração manual de todas as vezes. Após a implementação do USM PPSK - integrado com o sistema de gestão de propriedade - a saída de residentes tornou-se um evento sem qualquer interrupção. A chave do residente cessante era revogada automaticamente no fim do contrato de arrendamento. Os novos residentes recebiam a sua chave única através do e-mail de boas-vindas. Os dispositivos domésticos inteligentes mantinham-se ligados porque estavam todos no mesmo VLAN do residente. O operador reportou uma redução de 90% nos pedidos de suporte relacionados com WiFi no primeiro trimestre após a implementação. Segundo cenário: um bloco de alojamento estudantil especificamente construído com 500 camas. O desafio aí era a rotação de turmas - todos os anos em agosto, 500 estudantes saem e 500 novos estudantes entram, frequentemente na mesma semana. Com uma PSK partilhada, essa semana era um pesadelo. Com o USM PPSK integrado no sistema de gestão de estudantes, todo o grupo recebia as suas chaves únicas como parte do pacote de boas-vindas antes da chegada. No dia da mudança, ligavam-se imediatamente. A equipa de rede reportou zero escalações durante a semana de mudanças pela primeira vez na história do edifício. Falemos de implementação. Algumas coisas a ter em conta logo à partida. Primeiro, a geração e distribuição de chaves. As suas chaves PPSK devem ser suficientemente longas e aleatórias - no mínimo 20 caracteres, idealmente 32. Gere-as programaticamente utilizando um gerador de números aleatórios criptograficamente seguro. Não permita que os residentes escolham as suas próprias chaves. O mecanismo de distribuição também é importante. O envio por e-mail com uma ligação segura, um código QR num cartão de boas-vindas ou a integração com o seu sistema de gestão de arrendamento através de API são abordagens válidas. Segundo, o suporte do controlador. Nem todos os controladores sem fios implementam PPSK de igual forma. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet têm todos implementações, mas os limites de escala, as capacidades de API e a granularidade do direcionamento de VLAN variam. Antes de se comprometer com uma plataforma, valide o número máximo de chaves únicas suportadas por SSID. Algumas plataformas mais antigas limitam este valor a poucas centenas, o que é inadequado para um grande empreendimento. Terceiro - e este é o erro mais comum - a aleatoriedade de endereços MAC. Os sistemas operativos modernos - iOS 14 e posterior, Android 10 e posterior, Windows 11 - utilizam todos a aleatoriedade de endereços MAC por predefinição. Se a sua implementação PPSK depender de pesquisas de endereços MAC, um dispositivo que apresente um MAC aleatório não será encontrado e será rejeitado. Planeie isto desde o primeiro dia.Quarto, limites de dispositivos por chave. Defina um limite razoável - normalmente quatro a seis dispositivos por chave - e aplique-o no controlador. Sem isto, uma única PPSK pode proliferar por dezenas de dispositivos, prejudicando a sua capacidade de atribuir o tráfego com precisão. O erro a evitar acima de todos os outros: implementar PPSK sem um processo documentado de ciclo de vida das chaves. As chaves que nunca são revogadas acumulam-se com o tempo e tornam-se um risco de segurança. Construa o fluxo de trabalho de revogação antes de entrar em funcionamento, não depois. Do ponto de vista da conformidade - e isto é particularmente importante para o GDPR - o USM PPSK fornece-lhe o registo de auditoria que uma PSK partilhada simplesmente não consegue fornecer. Pode atribuir a atividade de rede a uma credencial específica e, portanto, a um registo de inquilino específico. Isso não é apenas uma boa prática; nalguns contextos regulatórios, é um requisito. Agora, permita-me dar-lhe três regras práticas de ouro. Regra um: se o seu edifício tiver mais de 50 frações, utilize USM PPSK com suporte RADIUS, e não PPSK local do controlador. O limite de escalabilidade do PPSK local do controlador causará problemas no prazo de 12 meses após a entrada em funcionamento. Regra dois: planeie a aleatorização de MAC desde o primeiro dia. Construa um fluxo de trabalho de pré-registo no processo de integração dos residentes. Não assuma que os dispositivos apresentarão o seu endereço MAC permanente por predefinição. Regra três: automatize o ciclo de vida das chaves. O valor operacional do USM PPSK face a uma PSK partilhada depende inteiramente de as chaves serem aprovisionadas e revogadas de forma automática. A gestão manual de chaves à escala não é viável. Integre com o seu sistema de gestão de propriedade desde o início. Vamos a algumas perguntas rápidas. O PPSK é o mesmo que iPSK, MPSK e DPSK? Funcionalmente, sim. Marcas diferentes de fornecedores, o mesmo conceito. O PPSK funciona com WPA3? Parcialmente. A maioria dos controladores modernos suporta PPSK em modo de transição WPA2 e WPA3. O suporte puro para WPA3 varia consoante o fornecedor - verifique a matriz de compatibilidade do seu hardware. O PPSK pode funcionar sem um controlador na cloud? Alguns controladores locais suportam-no, mas a gestão na cloud simplifica significativamente as operações de ciclo de vida e a integração com USM. O USM PPSK é adequado para a conformidade com o GDPR? O USM PPSK fornece o registo de auditoria por utilizador que suporta a conformidade com o GDPR. Deve fazer parte de uma estrutura mais ampla de governação de dados, não sendo tratado como uma solução de conformidade isolada. Para concluir. O USM PPSK é a arquitetura certa para qualquer implementação de WiFi residencial multi-inquilino onde necessite de responsabilização por residente sem a complexidade de uma infraestrutura 802.1X completa. Oferece credenciais exclusivas por residente, direcionamento dinâmico de VLAN, gestão granular de ciclo de vida e um registo de auditoria pronto para conformidade - tudo com uma experiência de integração de dispositivos que é tão simples como introduzir uma palavra-passe de WiFi. Se estiver a planear uma nova implementação de build-to-rent ou alojamento de estudantes, ou se pretender atualizar uma rede de palavra-passe partilhada existente, os próximos passos práticos são: auditar a sua atual plataforma de controlador sem fios para suporte PPSK, definir a sua arquitetura VLAN e mapear o ciclo de vida das chaves para os eventos de arrendamento do seu sistema de gestão de propriedades. A plataforma Multi-Tenant WiFi da Purple gere a camada USM sobre o seu hardware existente - seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou qualquer uma das outras grandes plataformas empresariais. Estamos em 80 000 locais ativos e 350 milhões de utilizadores únicos. A infraestrutura está comprovada à escala. Obrigado por ouvir o Purple Technical Briefing.