Cos'e Aruba ClearPass in parole semplici?

ClearPass e un sistema che controlla chi e cosa puo accedere alla tua rete aziendale. Quando un dispositivo si collega (portatile, smartphone, stampante, sensore IoT), ClearPass lo identifica, verifica le credenziali e decide a quale parte della rete puo accedere e cosa puo fare. E come avere un portiere intelligente all'ingresso della rete che riconosce tutti, sa chi deve entrare dove e blocca gli intrusi.

ClearPass serve solo con access point Aruba?

No. ClearPass e uno standard RADIUS/802.1X e funziona con qualsiasi infrastruttura di rete che supporti questi protocolli: switch Cisco, access point Aruba, firewall Fortinet, switch HP — qualsiasi combinazione. Ovviamente con infrastruttura Aruba l'integrazione e piu profonda (Dynamic Segmentation, device insight in Central), ma ClearPass e una soluzione multi-vendor al 100%.

Quanto costa ClearPass per una PMI?

ClearPass ha un modello di licensing basato sul numero di dispositivi connessi simultaneamente (endpoint). Per una PMI con 50-100 endpoint, il costo tipico e di 3.000-6.000 euro per la licenza perpetua (ClearPass Policy Manager) piu 15-20% annuo per il supporto. Esiste anche un modello subscription (Aruba Central NAC) con costo mensile per endpoint. Per una PMI con 30-50 dipendenti, il costo e nell'ordine di 100-200 euro/mese. Il deployment richiede un server virtuale (VM) con 8 GB RAM e 80 GB disco.

ClearPass e necessario per la compliance NIS2?

Non e obbligatorio per legge, ma e uno degli strumenti piu efficaci per soddisfare i requisiti NIS2 di controllo accessi alla rete. NIS2 richiede che le aziende implementino misure di gestione degli accessi, autenticazione forte e segmentazione della rete. ClearPass fa esattamente questo: autenticazione 802.1X, posture assessment, segmentazione dinamica e audit log completi. Se la tua azienda rientra nel perimetro NIS2, ClearPass semplifica enormemente la compliance e genera la documentazione necessaria per gli audit.

Posso gestire il BYOD con ClearPass?

Si, ed e uno dei casi d'uso principali. ClearPass Onboard gestisce l'intero ciclo di vita BYOD: l'utente si collega con il suo dispositivo personale, ClearPass lo identifica (tipo di device, sistema operativo), chiede le credenziali aziendali (Active Directory), verifica lo stato del dispositivo (antivirus installato, OS aggiornato) e assegna una VLAN con policy appropriate. Il dispositivo personale ottiene accesso a Internet e alle risorse autorizzate, ma non ai server critici. Se il dispositivo non supera il posture check, viene messo in quarantena con un messaggio che spiega come risolvere.

Come si integra ClearPass con Active Directory?

ClearPass si integra nativamente con Active Directory tramite LDAP. Quando un utente si autentica via 802.1X (inserendo le credenziali Windows o tramite certificato macchina), ClearPass verifica le credenziali contro AD, legge i gruppi di appartenenza (es. 'Marketing', 'Direzione', 'IT') e applica la policy corrispondente. Un utente del gruppo 'IT' ottiene accesso alla VLAN server, un utente 'Marketing' alla VLAN standard, un ospite alla VLAN guest. Tutto automatico, basato sui gruppi AD che gia usi. BullTech configura l'integrazione AD-ClearPass in mezza giornata per la maggior parte delle PMI.

ClearPass funziona anche per gli ospiti (guest access)?

Si, ClearPass Guest e il modulo dedicato. Offre: captive portal personalizzabile con il logo aziendale, self-registration (l'ospite inserisce nome, email e riceve le credenziali), sponsor approval (un dipendente autorizza l'accesso), accesso time-based (l'ospite ha accesso per X ore, poi scade automaticamente), reportistica completa su chi ha avuto accesso e quando. Per gli studi professionali e le aziende che ricevono clienti e fornitori, e la soluzione piu professionale per gestire il Wi-Fi ospiti.

Aruba ClearPass NAC: Guida Completa per Aziende 2026

Quanti dispositivi si collegano alla tua rete aziendale senza che tu lo sappia? Smartphone personali dei dipendenti, portatili dei consulenti, stampanti, sensori IoT, telecamere — in una PMI tipica con 30-50 dipendenti ci sono spesso il doppio dei dispositivi rispetto alle persone. E la maggior parte accede alla stessa rete piatta, senza segmentazione. Aruba ClearPass risolve questo problema: decide chi puo accedere alla rete, a quale parte e con quali permessi. Noi di BullTech Informatica, da Vimercate (MB), lo installiamo e configuriamo per PMI lombarde. Ecco come funziona in pratica.

Definizione

Aruba ClearPass e una piattaforma NAC (Network Access Control) sviluppata da HPE Aruba che gestisce l'autenticazione, l'autorizzazione e il controllo di tutti i dispositivi che accedono alla rete aziendale. Supporta 802.1X, MAC authentication, profiling automatico dei device, BYOD onboarding, guest access e posture assessment. Si integra con Active Directory, RADIUS, certificati digitali e sistemi MDM. Secondo Gartner, ClearPass e una delle soluzioni NAC piu diffuse al mondo per reti enterprise.

Fatti chiave — Aruba ClearPass 2026

Multi-vendor: funziona con qualsiasi switch, AP e firewall (non solo Aruba)
802.1X + RADIUS: autenticazione enterprise con Active Directory
Profiling: identifica automaticamente ogni dispositivo (laptop, smartphone, IoT, stampante)
BYOD: onboarding self-service con ClearPass Onboard
Guest: captive portal personalizzabile con self-registration e sponsor approval
Posture: verifica antivirus, patch e compliance prima di concedere l'accesso

Come funziona ClearPass: il flusso in 4 fasi

Immagina ClearPass come un portiere intelligente all'ingresso della tua rete aziendale. Ogni volta che un dispositivo si collega (via cavo Ethernet o Wi-Fi), ClearPass esegue 4 passaggi in automatico:

1. Identificazione

ClearPass riconosce il dispositivo: che tipo e (laptop, smartphone, stampante, IoT), quale sistema operativo usa, chi e il proprietario. Lo fa tramite profiling attivo e passivo (analisi del traffico DHCP, HTTP, DNS).

2. Autenticazione

Verifica le credenziali. Per i dispositivi aziendali: 802.1X con credenziali Active Directory o certificato macchina. Per gli ospiti: captive portal con self-registration. Per le stampanti e IoT: MAC authentication con whitelist.

3. Posture check

Per i dispositivi aziendali, verifica lo stato di salute: antivirus installato e aggiornato? Sistema operativo patchato? Firewall Windows attivo? Se il dispositivo non supera il check, viene messo in quarantena con istruzioni per risolvere.

4. Autorizzazione

Assegna la VLAN e le policy corrette. Un portatile aziendale del gruppo IT va sulla VLAN server. Uno smartphone personale va sulla VLAN BYOD con accesso solo Internet. Una stampante va sulla VLAN IoT isolata. Tutto automatico.

Tutto questo avviene in millisecondi, in modo trasparente per l'utente. Il dipendente accende il portatile, si collega al Wi-Fi aziendale e lavora. Non deve fare niente di diverso. Ma dietro le quinte, ClearPass ha verificato chi e, se il dispositivo e conforme e gli ha dato accesso solo a cio che gli compete.

Autenticazione 802.1X con Active Directory

802.1X e il protocollo standard per l'autenticazione di rete enterprise. Funziona cosi: quando il dispositivo si collega alla porta switch o al Wi-Fi, la rete non concede accesso finche il dispositivo non si autentica con credenziali valide. ClearPass fa da RADIUS server: riceve la richiesta di autenticazione e la verifica contro Active Directory.

In pratica per i tuoi dipendenti non cambia niente: accendono il portatile aziendale e si collegano come sempre. Il computer invia automaticamente le credenziali AD (o il certificato macchina) al ClearPass, che le verifica e autorizza l'accesso. I metodi di autenticazione supportati:

EAP-TLS — Il piu sicuro. Usa certificati digitali sia lato server che lato client. Nessuna password da rubare. Ideale per dispositivi aziendali gestiti con GPO o MDM.
PEAP-MSCHAPv2 — Usa username e password di Active Directory. Piu semplice da implementare di EAP-TLS, adatto quando non si vuole gestire un'infrastruttura PKI.
EAP-TTLS — Simile a PEAP, usato per dispositivi non-Windows (macOS, Linux, Android).
MAC Authentication — Per dispositivi che non supportano 802.1X (stampanti, telecamere, sensori IoT). ClearPass autorizza in base al MAC address registrato.

Perche 802.1X e importante

Senza 802.1X, chiunque puo collegare un cavo Ethernet a una porta libera del tuo ufficio e avere accesso alla rete. Un visitatore, un fornitore, un malintenzionato. Con 802.1X, ogni porta e chiusa finche il dispositivo non si autentica. E la differenza tra un ufficio con la porta aperta e uno con il badge all'ingresso.

BYOD: gestire i dispositivi personali in azienda

Il BYOD (Bring Your Own Device) e una realta in ogni azienda: i dipendenti portano smartphone e tablet personali e si aspettano di connetterli al Wi-Fi. Il problema e che un dispositivo personale non ha gli stessi livelli di sicurezza di uno aziendale: potrebbe non avere l'antivirus, avere un OS non aggiornato o essere gia infetto.

ClearPass Onboard risolve il dilemma BYOD con un approccio a tre livelli:

Self-service enrollment — Il dipendente si collega al SSID dedicato, inserisce le sue credenziali AD e ClearPass configura automaticamente il dispositivo con il profilo Wi-Fi corretto e un certificato univoco. Nessun intervento IT necessario.
VLAN dedicata — I dispositivi BYOD vengono messi su una VLAN separata dalla rete aziendale. Hanno accesso a Internet e alle risorse autorizzate (es. portale intranet, email) ma non ai server, ai NAS o alle stampanti di rete.
Posture opzionale — Con ClearPass OnGuard (agent leggero) puoi verificare anche sui dispositivi BYOD se hanno antivirus, firewall attivo e OS aggiornato. Se non superano il check, vengono limitati a una rete di quarantena.

Il risultato: i dipendenti sono contenti perche possono usare il loro smartphone per Teams e email. L'IT e contento perche i dispositivi personali non possono accedere ai dati critici. Win-win.

Guest access: Wi-Fi ospiti professionale

ClearPass Guest trasforma il Wi-Fi ospiti da “la password e scritta sul post-it alla reception” a un sistema professionale con tracciabilita e sicurezza.

Le opzioni per gli ospiti:

Self-registration — L'ospite si collega al SSID guest, compila un modulo (nome, email, azienda) e riceve le credenziali via email o SMS. Nessun intervento della reception.
Sponsor approval — L'ospite si registra e la richiesta arriva al dipendente che lo ospita. Un clic per approvare. Piu sicuro della self-registration.
Accesso time-based — Le credenziali scadono dopo X ore (es. 8 ore, fine giornata, fine settimana). Niente accessi residui.
Captive portal branded — Il portale di login mostra il logo aziendale, i termini di utilizzo e l'informativa privacy. Professionale e GDPR-compliant.

Per studi professionali, aziende che ricevono fornitori e sale riunioni condivise, ClearPass Guest e la soluzione piu professionale sul mercato.

Device profiling e policy enforcement

Una delle funzionalita piu potenti di ClearPass e il profiling automatico. ClearPass analizza il traffico di rete di ogni dispositivo (DHCP fingerprint, HTTP user agent, DNS queries, LLDP/CDP) e lo classifica: laptop Windows, MacBook, iPhone, stampante HP, telecamera Hikvision, sensore IoT.

Perche e importante? Perche puoi creare policy basate sul tipo di dispositivo:

Laptop aziendali Windows → VLAN corporate, accesso completo, posture check obbligatorio
Smartphone personali → VLAN BYOD, solo Internet + email
Stampanti → VLAN IoT, accesso solo alla subnet di stampa
Dispositivi non riconosciuti → VLAN quarantena, notifica all'IT

Con Dynamic Segmentation (richiede switch Aruba CX), questa assegnazione avviene a livello di porta switch: non importa dove colleghi il cavo, il dispositivo finisce sempre sulla VLAN giusta. Zero configurazione manuale, zero errori.

Use case: ClearPass in una PMI italiana

Vediamo un caso concreto basato su un'installazione reale BullTech.

Azienda: societa di servizi con 45 dipendenti in Brianza. 2 sedi (Monza + Vimercate). Usano Microsoft 365, un gestionale in cloud, Teams per VoIP. Circa 80-90 dispositivi totali (portatili aziendali + smartphone personali + stampanti + qualche IoT).

Prima di ClearPass: una sola VLAN per tutto. Chiunque si collegava al Wi-Fi o a una porta switch aveva accesso a tutto: server, NAS, stampanti, Internet. Un visitatore poteva collegare il portatile e navigare nella rete. Nessun audit di chi accede e quando.

Dopo ClearPass:

4 VLAN: corporate, BYOD, IoT, guest
802.1X con Active Directory per i portatili aziendali → VLAN corporate
ClearPass Onboard per gli smartphone personali → VLAN BYOD (solo Internet + Teams)
MAC auth per stampanti e IoT → VLAN IoT isolata
ClearPass Guest per i visitatori → VLAN guest con captive portal branded
Posture check: ogni portatile aziendale deve avere Bitdefender aggiornato per accedere
Audit log completo per compliance NIS2

Risultato: da una rete piatta e insicura a una rete segmentata con controllo accessi granulare. Tempo di implementazione BullTech: 3 giorni (1 giorno design, 1 giorno installazione, 1 giorno testing e tuning). Costo: circa 5.000 EUR (licenze + configurazione).

BullTech per ClearPass

Esperienza diretta — Configuriamo ClearPass per PMI lombarde dal 2009
Integrazione completa — ClearPass + Active Directory + switch Aruba CX o misti
Supporto in italiano — Dalla sede di Vimercate (MB)
Assessment gratuito — Analizziamo la tua rete e ti diciamo se ClearPass ti serve

ClearPass si integra perfettamente nell'ecosistema HPE Aruba. Per una panoramica completa della piattaforma, leggi la nostra guida completa a HPE Aruba Networking.

Domande frequenti su Aruba ClearPass

Definizione

Fatti chiave — Aruba ClearPass 2026

Multi-vendor: funziona con qualsiasi switch, AP e firewall (non solo Aruba)
802.1X + RADIUS: autenticazione enterprise con Active Directory
Profiling: identifica automaticamente ogni dispositivo (laptop, smartphone, IoT, stampante)
BYOD: onboarding self-service con ClearPass Onboard
Guest: captive portal personalizzabile con self-registration e sponsor approval
Posture: verifica antivirus, patch e compliance prima di concedere l'accesso

Come funziona ClearPass: il flusso in 4 fasi

1. Identificazione

2. Autenticazione

3. Posture check

4. Autorizzazione

Autenticazione 802.1X con Active Directory

EAP-TLS — Il piu sicuro. Usa certificati digitali sia lato server che lato client. Nessuna password da rubare. Ideale per dispositivi aziendali gestiti con GPO o MDM.
PEAP-MSCHAPv2 — Usa username e password di Active Directory. Piu semplice da implementare di EAP-TLS, adatto quando non si vuole gestire un'infrastruttura PKI.
EAP-TTLS — Simile a PEAP, usato per dispositivi non-Windows (macOS, Linux, Android).
MAC Authentication — Per dispositivi che non supportano 802.1X (stampanti, telecamere, sensori IoT). ClearPass autorizza in base al MAC address registrato.

Perche 802.1X e importante

BYOD: gestire i dispositivi personali in azienda

ClearPass Onboard risolve il dilemma BYOD con un approccio a tre livelli:

Self-service enrollment — Il dipendente si collega al SSID dedicato, inserisce le sue credenziali AD e ClearPass configura automaticamente il dispositivo con il profilo Wi-Fi corretto e un certificato univoco. Nessun intervento IT necessario.
VLAN dedicata — I dispositivi BYOD vengono messi su una VLAN separata dalla rete aziendale. Hanno accesso a Internet e alle risorse autorizzate (es. portale intranet, email) ma non ai server, ai NAS o alle stampanti di rete.
Posture opzionale — Con ClearPass OnGuard (agent leggero) puoi verificare anche sui dispositivi BYOD se hanno antivirus, firewall attivo e OS aggiornato. Se non superano il check, vengono limitati a una rete di quarantena.

Il risultato: i dipendenti sono contenti perche possono usare il loro smartphone per Teams e email. L'IT e contento perche i dispositivi personali non possono accedere ai dati critici. Win-win.

Guest access: Wi-Fi ospiti professionale

ClearPass Guest trasforma il Wi-Fi ospiti da “la password e scritta sul post-it alla reception” a un sistema professionale con tracciabilita e sicurezza.

Le opzioni per gli ospiti:

Self-registration — L'ospite si collega al SSID guest, compila un modulo (nome, email, azienda) e riceve le credenziali via email o SMS. Nessun intervento della reception.
Sponsor approval — L'ospite si registra e la richiesta arriva al dipendente che lo ospita. Un clic per approvare. Piu sicuro della self-registration.
Accesso time-based — Le credenziali scadono dopo X ore (es. 8 ore, fine giornata, fine settimana). Niente accessi residui.
Captive portal branded — Il portale di login mostra il logo aziendale, i termini di utilizzo e l'informativa privacy. Professionale e GDPR-compliant.

Per studi professionali, aziende che ricevono fornitori e sale riunioni condivise, ClearPass Guest e la soluzione piu professionale sul mercato.

Device profiling e policy enforcement

Perche e importante? Perche puoi creare policy basate sul tipo di dispositivo:

Laptop aziendali Windows → VLAN corporate, accesso completo, posture check obbligatorio
Smartphone personali → VLAN BYOD, solo Internet + email
Stampanti → VLAN IoT, accesso solo alla subnet di stampa
Dispositivi non riconosciuti → VLAN quarantena, notifica all'IT

Use case: ClearPass in una PMI italiana

Vediamo un caso concreto basato su un'installazione reale BullTech.

Dopo ClearPass:

4 VLAN: corporate, BYOD, IoT, guest
802.1X con Active Directory per i portatili aziendali → VLAN corporate
ClearPass Onboard per gli smartphone personali → VLAN BYOD (solo Internet + Teams)
MAC auth per stampanti e IoT → VLAN IoT isolata
ClearPass Guest per i visitatori → VLAN guest con captive portal branded
Posture check: ogni portatile aziendale deve avere Bitdefender aggiornato per accedere
Audit log completo per compliance NIS2

BullTech per ClearPass

Esperienza diretta — Configuriamo ClearPass per PMI lombarde dal 2009
Integrazione completa — ClearPass + Active Directory + switch Aruba CX o misti
Supporto in italiano — Dalla sede di Vimercate (MB)
Assessment gratuito — Analizziamo la tua rete e ti diciamo se ClearPass ti serve

ClearPass si integra perfettamente nell'ecosistema HPE Aruba. Per una panoramica completa della piattaforma, leggi la nostra guida completa a HPE Aruba Networking.

Aruba ClearPass NAC: Guida Completa per Aziende [2026]

Come funziona ClearPass: il flusso in 4 fasi

Autenticazione 802.1X con Active Directory

Perche 802.1X e importante

BYOD: gestire i dispositivi personali in azienda

Guest access: Wi-Fi ospiti professionale

Device profiling e policy enforcement

Use case: ClearPass in una PMI italiana

BullTech per ClearPass

Domande frequenti su Aruba ClearPass

Vuoi controllare chi accede alla tua rete?

Articoli Correlati

HPE Aruba Networking: Guida Completa per Aziende

Aruba vs Meraki: Confronto Completo Wi-Fi Aziendale

Sicurezza Wi-Fi Aziendale: Guida Completa

Aruba ClearPass NAC: Guida Completa per Aziende [2026]

Come funziona ClearPass: il flusso in 4 fasi

Autenticazione 802.1X con Active Directory

Perche 802.1X e importante

BYOD: gestire i dispositivi personali in azienda

Guest access: Wi-Fi ospiti professionale

Device profiling e policy enforcement

Use case: ClearPass in una PMI italiana

BullTech per ClearPass

Domande frequenti su Aruba ClearPass

Vuoi controllare chi accede alla tua rete?

Articoli Correlati

HPE Aruba Networking: Guida Completa per Aziende

Aruba vs Meraki: Confronto Completo Wi-Fi Aziendale

Sicurezza Wi-Fi Aziendale: Guida Completa