從地端 RADIUS (NPS) 遷移至 RADIUS as a Service

播客腳本：從地端 RADIUS (NPS) 遷移至 RADIUS as a Service 時長：約 10 分鐘 | 配音：英式英語、男性、資深顧問語氣 --- 第 1 節：引言與背景 歡迎來到 Purple WiFi 技術簡報系列。今天我們要探討的是一項目前正列在眾多企業 IT 團隊規劃藍圖中的遷移任務：從地端 RADIUS（特別是 Microsoft 的 Network Policy Server）遷移至雲端託管的 RADIUS as a Service 模式。 如果您正在管理飯店集團、零售物業、體育場館或公共部門園區的 WiFi 驗證，這與您息息相關。地端 NPS 模式在過去近二十年中為我們提供了良好的服務，但其營運開銷、單點故障風險以及擴充限制已變得越來越難以妥協——特別是現在雲端原生替代方案能以極低的總擁有成本提供企業級的可靠性。 在接下來的十分鐘內，我們將介紹這兩種方法的技術架構，逐步說明結構化的遷移方法，探討兩個實際的部署案例，最後提供您自信做出決策所需的核心決策框架。 讓我們開始吧。 --- 第 2 節：技術深度解析 首先，讓我們確保大家對 RADIUS 在網路堆疊中的實際作用達成共識。RADIUS（遠端用戶撥入驗證服務）是 RFC 2865 中定義的協定，負責處理網路存取的驗證、授權和計費。在 WiFi 環境中，它是 IEEE 802.1X 基於連接埠之存取控制的核心骨幹。當裝置連線到 WPA2-Enterprise 或 WPA3-Enterprise SSID 時，無線基地台會充當 RADIUS 用戶端（即我們所說的網路存取伺服器），並將驗證請求轉發給 RADIUS 伺服器。伺服器會驗證憑證（通常是比對 Active Directory 或 LDAP 目錄），然後傳回 Access-Accept（允許存取）或 Access-Reject（拒絕存取）回應。這就是基本流程。 現在，在地端 NPS 模式中（Network Policy Server 是隨附於 Windows Server 的 Microsoft RADIUS 實作），您是在自己擁有、維護的資料中心或伺服器房硬體上執行該驗證邏輯。NPS 伺服器保存了您的網路原則、用於 EAP-TLS 或 PEAP-MSCHAPv2 的憑證基礎架構，以及您的連線要求原則。它確實可行，也很成熟。但它也帶來了一系列隨著時間推移而累積的營運現實問題。 首先是硬體依賴性。您的 NPS 伺服器是實體或虛擬機器，需要進行修補程式更新、容量規劃以及最終的硬體汰換。在多站點部署中（例如在英國各地擁有物業的飯店集團），您要不就是執行具有 WAN 依賴性的集中式 NPS，要不就是要在每個站點部署 NPS 執行個體並單獨管理它們。這兩種方式都不夠優雅。 第二是可用性。單一 NPS 實例是您整個驗證基礎架構的單一故障點。是的，您可以將 NPS 部署為容錯移轉配對，但這會使您的硬體和授權開銷加倍，而且仍然無法提供雲端服務原生提供的地理備援。 第三是可擴充性。NPS 是專為企業區域網路（LAN）環境設計的。當您在體育場活動或會議中心尖峰期間處理數千個並行驗證請求時，單一 NPS 實例的吞吐量限制就會變得非常明顯。驗證延遲會飆升，使用者會在您最無法承受的時刻遇到連線失敗。 RADIUS as a Service 從架構上解決了這三個限制。雲端 RADIUS 供應商運行一個分散式、地理備援的 RADIUS 伺服器叢集。您的存取點指向雲端託管的 RADIUS 端點，而不是地端伺服器。驗證請求在整個叢集中進行負載平衡，且容錯移轉是自動且透明的。供應商負責處理修補程式、容量擴充和憑證管理。從您作為網路營運商的角度來看，RADIUS 變成了一項消費型服務，而不是一個需要管理的組件。 驗證協定本身並不會改變。您仍然根據您的用戶端裝置組合運行帶有 EAP-TLS、PEAP-MSCHAPv2 或 EAP-TTLS 的 IEEE 802.1X。不同之處在於 RADIUS 伺服器所在的位置，以及誰負責其營運持續性。 這裡有一個重要的安全性考量我想直接說明，因為這幾乎出現在每一次與客戶的對話中。將 RADIUS 移至雲端意味著您的驗證流量正在通過公共網際網路以到達雲端 RADIUS 端點。這可以透過兩種機制來緩解。首先，網路存取伺服器（NAS）與 RADIUS 伺服器之間的 RADIUS 流量是使用共用金鑰和基於 MD5 的訊息驗證來保護的。其次，對於現代部署更為重要的是，您應該運行 RadSec — 即 RFC 6614 中定義的 RADIUS over TLS — 它將整個 RADIUS 對話封裝在 TLS 隧道中。這為您提供了相當於 HTTPS 的傳輸層加密，消除了 MD5 漏洞，並在 NAS 和 RADIUS 伺服器之間提供雙向驗證。任何值得考慮的雲端 RADIUS 供應商都應該將支援 RadSec 作為標準配置。 在身分整合方面，雲端 RADIUS 服務通常支援連回您地端 Active Directory 的 LDAP 和 LDAPS 連線，或者透過 SAML 或 SCIM 與 Azure Active Directory 和 Entra ID 進行原生整合。這意味著您不需要遷移您的使用者目錄 — 雲端 RADIUS 服務會查詢您現有的身分庫，維持您現有的使用者生命週期管理流程。 對於注重合規性的組織而言（這包括任何根據 PCI DSS 處理付款卡資料，或根據 GDPR 處理個人資料的組織），獲得 SOC 2 Type II 認證和 ISO 27001 認證的雲端 RADIUS 供應商，能提供比大多數組織透過自行管理的 NPS 基礎架構所能達到更強大的合規姿態。 --- 區段 3：實作建議與常見陷阱 好的，讓我們來談談如何在不讓您的驗證基礎架構離線的情況下，實際執行此移轉。 我推薦的方法是五階段法。第一階段是稽核與盤點。記錄每個 RADIUS 用戶端（每個存取點、每台交換器、每個 VPN 集中器）以及其目前的共用金鑰、其使用的 EAP 方法，以及您 NPS 原則中的任何特定廠商屬性。這是枯燥的工作，但跳過它是移轉失敗的第一大原因。 第二階段是試點部署。建立您的雲端 RADIUS 執行個體，並將非生產 SSID 或單一測試站點指向它。驗證您的 EAP 方法是否端到端正常運作、您的身分識別整合是否正常運作，以及您的計費資料是否正確流動。 第三階段是平行運作。這是關鍵的風險緩釋步驟。將您的存取點配置為同時將內部部署 NPS 伺服器和雲端 RADIUS 伺服器作為驗證目標，並以雲端服務為主，NPS 為備用。在整個業務週期中，以此配置運行至少兩週。監控驗證成功率、延遲和任何原則差異。 第四階段是切換。移除 NPS 備用配置，並承諾將雲端 RADIUS 作為您唯一的驗證基礎架構。在計劃的維護空檔內執行此操作，並備妥已記錄且經過測試的復原程序。 第五階段是除役。在切換後驗證穩定運作三十天後，將 NPS 伺服器除役並回收硬體或虛擬機器資源。 我最常看到的陷阱是：憑證信任鏈問題——具體來說，是用戶端裝置因為憑證授權單位（CA）不在其信任的存放區中，而不信任雲端 RADIUS 伺服器的憑證。在切換之前，透過您的 MDM 或群組原則解決此問題。第二個常見的陷阱是防火牆規則。雲端 RADIUS 需要從您的存取點到雲端端點的輸出 UDP 1812 和 1813，或者用於 RadSec 的 TCP 2083。確保您的網路周邊允許此流量。第三：共用金鑰複雜性。如果您現有的 NPS 共用金鑰強度不足，請利用此次移轉的機會輪換為加密強度高的金鑰，或者更好的是，改用 RadSec 並完全消除共用金鑰。 --- 區段 4：快速問答 讓我快速解答一下我最常收到關於這個主題的問題。 我們可以保留內部部署的 Active Directory 嗎？是的，當然可以。雲端 RADIUS 透過 LDAPS 連接到您的內部部署 AD。您的目錄仍保留在原處。 如果我們的網路連線中斷會怎麼樣？這是關鍵的依賴關係轉變。使用雲端 RADIUS，網路連線能力會成為驗證的依賴條件。您可以透過備援 WAN 連結或本機 RADIUS 代理伺服器（在斷網期間快取已知裝置的驗證資訊）來降低此風險。 這會影響我們的 PCI DSS 合規性嗎？遷移至獲得認證的雲端 RADIUS 供應商通常能改善您的合規狀況。請確保您的供應商能提供 SOC 2 Type II 報告，並已納入您的年度 QSA 評估範圍內。 完整遷移需要多長時間？單一站點需要二至四週。對於擁有五十個或更多據點的多站點企業，請規劃三至六個月的階段性導入。 --- 第 5 區段：總結與後續步驟 總結來說：從地端 NPS 遷移至 RADIUS as a Service，在營運、財務和合規性方面都具有極大的吸引力。在執行結構化的平行運作階段時，遷移本身的風險極低。關鍵的技術決策在於您的 EAP 方法選擇、您的身分識別整合方式，以及是否要實作 RadSec 以確保傳輸安全 —— 對於任何新的部署，我強烈建議採用此做法。 您眼前的後續步驟：對您目前的 RADIUS 用戶端和原則進行稽核、與您的雲端 RADIUS 供應商聯繫以建立試用環境，並在開始之前審查您的防火牆規則和憑證信任鏈。 對於執行 Purple WiFi 訪客存取平台的組織，RADIUS as a Service 功能可直接與訪客 WiFi 驗證流程整合，為您提供單一控制面板，同時管理企業 802.1X 驗證和訪客網路存取管理 —— 並內建分析和合規性報告。 感謝您的收聽。完整的技術參考指南已發佈在 Purple 官方網站上，如果您已準備好進行下一步，我們的解決方案團隊隨時可以與您進行範疇界定討論。 --- 腳本結束