O Cisco Duo Security é um SaaS (Software as a Service) que pertence ao pacote Cisco Secure, produto de sua aquisição pela Cisco Systems em 2018.
Seu principal serviço é fornecer autenticação multifator (MFA) para vários aplicativos e com vários dispositivos 2FA.
No entanto, este Cisco MFA é apenas a base de uma Arquitetura Zero Trust and Beyond Corp que é realizada por meio de políticas de acesso adaptáveis que o Duo oferece.
Neste artigo vou mostrar como funciona o Duo Security desde sua arquitetura até as principais integrações que ele oferece.
Para que serve o Duo Security?
Integrar Zero Trust e MFA pode parecer algo muito difícil de implementar, de fato, existem muitas maneiras de fazê-lo e cada fabricante oferece opções para proteger seu produto.
O problema é que se você começar a implementar de forma independente (produto por produto) você acaba com uma infraestrutura heterogênea Zero Trust que torna praticamente impossível ou economicamente inviável gerenciar.
Imagine que você implementa de forma independente:
- Microsoft Azure MFA
- Cisco ASA VPN MFA
- MFA para o Google Workspace
- MFA para Office 365
No final do dia, seu usuário final terá:
- Diferentes métodos de MFA, dependendo do aplicativo que você deseja acessar
- Diferentes experiências de usuário de MFA
- Aumento do atrito e desconforto
O Cisco Systems Duo Security integra todo o MFA em uma única plataforma onde:
- Você terá a mesma experiência de usuário de MFA, independentemente do aplicativo que acessar
- Você pode escolher o método de MFA que lhe parecer mais confortável ( Yubikey WebAuthn , Aplicativo de autenticação, Push, Token, etc)
- Os administradores têm apenas um console de administração para todas as MFAs.
E isso é só o começo, depois do MFA normal que todos conhecemos, o Duo Security torna esse MFA adaptável
A MFA adaptável significa que o acesso não se limita apenas à autenticação de dois fatores bem-sucedida, mas também são avaliadas as posturas de segurança que ampliam a gama de ações de segurança que você pode executar, por exemplo:
- Restringir o uso de equipamentos pessoais
- Limitar áreas geográficas de acesso
- Permitir acesso apenas de dispositivos íntegros
Benefícios de ter o Cisco Duo Security
Já a mera possibilidade de fácil implementação do Zero Trust é fator determinante nos benefícios do Cisco Duo Security.
No entanto, aqui estão alguns outros benefícios colaterais:
- Você mitiga 81% dos riscos de segurança: O roubo de identidade é a maior das breach existentes
- Implementação em dias: Integrações já testadas e excelentemente documentadas. O que o torna uma implementação simples e rápida
- Mínimo Custo Total de Propriedade (TCO): Sendo SaaS, praticamente não há investimento em hardware, manutenção, eletricidade, HVAC ou espaço no local.
- Beyond Corp e Zero Trust Disponíveis a partir do dia 1: Não há longos tempos de instalação, ao adquirir seu locatário você já tem tudo o que precisa para implementar o Zero Trust
- Possibilidade de Gestão através de um MSP: O esquema natural do Duo Security contempla a existência de MSPs (Managed Service Providers) que são Parceiros especializados que podem lhe dar uma instância ou locatário e até gerenciá-lo para você, se desejar.
Trabalho para um MSP e posso ajudar você a criar seu locatário e experimentar o Duo gratuitamente.
A Duo é uma Empresa 100% Dedicada à Segurança
Para Duo, MFA e Zero Trust não são um complemento, mas sim seu foco principal; é a única coisa que eles fazem. Então, ao tê-lo, você está nas mãos de pessoas que são realmente especialistas.
Cumprir os Regulamentos
PCI, NIST, HIPAA, GDPR, FFIEC são apenas alguns dos padrões internacionais que recomendam o uso de MFA e Zero Trust para acesso de usuários a ativos de TI.
Inscrição automática de usuários
O processo de inscrição de usuários é automático e sob uma filosofia de autoatendimento, o que reduz o trabalho administrativo de criação, configuração e atribuição de métodos 2FA
O usuário tem a flexibilidade de escolher o método 2FA que for mais conveniente para ele.
Arquitetura Operacional de Duo Security de Cisco
Como funciona a Duo Security
Os módulos principais do Cisco Duo Security têm recursos específicos que permitem:
- Criação , upload ou sincronização de usuários com o Duo Security
- Configurando a autenticação Duo 2FA usando métodos de autenticação de dois fatores
- Integração com aplicativos (bypass de autenticação)
- Políticas e controle de acesso ao nível de usuários, grupos, dispositivos e aplicativos (Zero Trust)
Nessa mesma ordem, é realizada a configuração do Duo Security e detalharei abaixo.
Integração de diretórios
O Cisco Duo Securuty exige conhecer todos os usuários que provavelmente serão autenticados por meio de seus serviços, para isso existem diferentes métodos:
- Criação manual: você pode criar usuários um por um localmente no Duo.
- Importação manual em lote: via arquivo CSV você pode fazer uploads massivos de usuários.
- Integração com o Active Directory. LDAP, OpenLDAP: Através do Duo Authentication Proxy , você pode sincronizar usuários ou grupos do Microsoft Active Directory ou diretórios LDAP padrão.
- Integração com o Azure AD: por meio de autorizações, você pode ler um diretório do Azure AD.
Gerenciamento de Métodos de MFA
Uma vez que os usuários são conhecidos, eles passam por um processo de registro em que, como autoatendimento, adicionam pelo menos um dispositivo 2FA.
O Duo permite que você gerencie esses dispositivos de maneira unificada, portanto, se, por exemplo, alguém perder um token, basta acessar o Duo e remover o token e ele será desativado para todos os aplicativos protegidos pelo Duo.
Protocolos de autenticação
Você já tem os usuários e seus métodos 2FA, agora é hora de proteger as aplicações, para isso, basta configurar naquela aplicação que a autenticação primária (usuário e senha) será realizada por um terceiro, neste caso Cisco Duo Security.
O Cisco Duo Security é multiprotocolo e é isso que possibilita a autenticação de qualquer aplicativo por meio dele.
Temos, por exemplo, autenticações via:
- SAML
- OIDC
- LDAP / LDAPS
- RAIO
- Duo Web SDK
É esse nível de padronização que permite que praticamente todos os aplicativos modernos obtenham sua autenticação do Duo.
Conexão com o Cisco Duo Security
Depois que o aplicativo obtém sua autenticação primária e é bem-sucedido, é necessário solicitar ao Cisco Duo que envie uma solicitação de autenticação de segundo fator.
Isso é feito por meio de APIs que já estão prontamente disponíveis nos próprios aplicativos integrados.
Ao proteger qualquer aplicativo no Cisco Duo, você tem 3 parâmetros de conexão fundamentais:
- API Hostame: nome DNS do servidor ou servidores com os quais acessar o serviço Cisco Duo Security
- Chave de integração: identificador do aplicativo no locatário
- Chave secreta: senha específica do aplicativo
Com esses 3 parâmetros e em comunicação SSL, você interage com o Duo e ele envia a autenticação de segundo fator.
Neste ponto é importante considerar que caso os serviços do Duo não sejam alcançados, existe a possibilidade de trabalhar em dois modos de operação em caso de falha do Duo .
Mecanismo de controle de acesso
Uma vez totalmente autenticado (nome de usuário + senha + 2FA), o usuário e seu dispositivo de acesso são enviados para um filtro de política de acesso que é onde nasce a implementação Zero Trust and Beyond Corp que o Duo oferece.
É aqui que você pode avaliar um grande número de posturas de segurança que permitem controles de acesso infinitos que realmente protegerão seus ativos de TI.
Integrações disponíveis
Devido à sua natureza aberta e multiprotocolo, existem inúmeras aplicações que podem ser integradas ou protegidas pelo Duo.
Aqui está uma lista dos mais importantes:
VPN (Redes Privadas Virtuais)
- Cisco ASA
- Firewalls da Juniper Networks
- VPN Palo Alto
- VPN Pulse Secure
Aplicativos em nuvem
- Espaço de trabalho do Google
- Força de vendas
- Dropbox
- Caixa
Aplicativos da Microsoft
- escritório 365
- Panorama
- Login do Windows ou Desktop Remoto RDP
El listado completo y los procedimientos de configuración lo puedes conseguir en la página de documentación oficial
A lista completa e os procedimentos de configuração podem ser encontrados na página de documentação oficial
UX homogênea
Você já conhece a arquitetura, agora um dos pontos mais convenientes do Cisco Duo Security: A interface de autenticação ou o Duo Universal Prompt .
Todas estas aplicações protegidas com MFA, com vários métodos de autenticação, com uma única plataforma de gestão, terão e com a mesma UX (user experience).
Isso reduz o atrito para o usuário final e oferece uma maior garantia de sucesso para seu projeto Zero Trust.
Cisco Duo Security e logon único (SSO)
Quando você integra um aplicativo com o Duo Security, por definição, a autenticação primária é derivada de seu provedor de identidade, seja ele chamado Active Directory ou outro.
À medida que você protege os aplicativos com o Cisco Duo Security, o que você obtém é o logon único de SSO, em que cada usuário terá apenas um nome de usuário e uma senha.
O SSO é um recurso que diminui o atrito do usuário por não precisar lembrar tantas senhas, diminuindo assim o risco de exposição.
O Duo oferece o Duo Central, que é um portal de acesso SSO onde cada usuário, ao entrar, é exibida uma janela com todos os aplicativos disponíveis para Single Sign-On
Licenciamento e Edições
A Cisco Duo Security é um SaaS licenciado por usuário registrado do Duo, não importa quantos aplicativos estejam protegidos.
Em outras palavras, um usuário com um aplicativo vale o mesmo que um usuário com 20 aplicativos segurados.
Daí a importância de ter um MSP para te ajudar a tirar o máximo do Duo, garantindo o maior número de aplicações possível.
Duo vem em 3 edições
- Duo Essentials (Antes Duo MFA)
- Duo Advantage ( Antes Duo Access)
- Duo Premier (Antes Duo Beyond)
Cada edição tem os mesmos recursos que a anterior, mas adiciona políticas adicionais que aumentam a granularidade das posturas de segurança que você deseja implementar.
Detalhe completo dos preços do Duo Security em https://duo.com/pricing/
Perguntas frequentes
Posso instalar o Duo Security no local?
Não, Duo Security é um SaaS puramente em nuvem.
No local, apenas um proxy de autenticação é instalado para que você não precise expor seu Active Directory à Internet.Posso usar o aplicativo Duo Mobile sem me inscrever no serviço Duo?
Sim, o Duo Mobile funciona como qualquer Autenticador em seu celular, basta instalá-lo e configurar o MFA da conta que você deseja.
Um usuário pode ter mais de um método 2FA configurado no Duo?
Sim, você pode ter qualquer método (push, passcode, yubikey, token) .Na
verdade, você pode ter vários dispositivos do mesmo método, por exemplo, você pode ter vários yubikeys ou vários telefones para receber notificações push.Posso atribuir um dispositivo 2FA a vários usuários do Duo Security?
Sim, no Duo Security um dispositivo 2FA pode ser associado a vários usuários embora não seja uma prática recomendada
Posso integrar uma aplicação web desenvolvida internamente com o Duo Security?
im, o Duo fornece um SDK da Web que oferece recursos para se conectar ao Duo a partir de qualquer aplicativo da Web
Conclusões
O Cisco Duo Security é sem dúvida o melhor serviço de segurança cibernética MFA e Zero Trust.
Seu principal benefício é a unificação da administração do MFA para vários aplicativos
O melhor esquema de trabalho é através de um MSP especializado que o ajudará com uma Prova de Conceito PoC e em poucos dias você verá os resultados.
Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |