Come√ßo ¬Ľ Zero Trust ¬Ľ O que √© o Cisco Duo Security?

O que é o Cisco Duo Security?

arquitetura duo security cisco

O Cisco Duo Security é um SaaS (Software as a Service) que pertence ao pacote Cisco Secure, produto de sua aquisição pela Cisco Systems em 2018.

Seu principal serviço é fornecer autenticação multifator (MFA) para vários aplicativos e com vários dispositivos 2FA.

No entanto, este Cisco MFA √© apenas a base de uma Arquitetura Zero Trust and Beyond Corp que √© realizada por meio de pol√≠ticas de acesso adapt√°veis ‚Äč‚Äčque o Duo oferece.

Neste artigo vou mostrar como funciona o Duo Security desde sua arquitetura at√© as principais integra√ß√Ķes que ele oferece.

Para que serve o Duo Security?

Integrar Zero Trust e MFA pode parecer algo muito dif√≠cil de implementar, de fato, existem muitas maneiras de faz√™-lo e cada fabricante oferece op√ß√Ķes para proteger seu produto.

O problema é que se você começar a implementar de forma independente (produto por produto) você acaba com uma infraestrutura heterogênea Zero Trust que torna praticamente impossível ou economicamente inviável gerenciar.

Imagine que você implementa de forma independente:

  • Microsoft Azure MFA
  • Cisco ASA VPN MFA
  • MFA para o Google Workspace
  • MFA para Office 365

No final do dia, seu usu√°rio final ter√°:

  • Diferentes m√©todos de MFA, dependendo do aplicativo que voc√™ deseja acessar
  • Diferentes experi√™ncias de usu√°rio de MFA
  • Aumento do atrito e desconforto

O Cisco Systems Duo Security integra todo o MFA em uma √ļnica plataforma onde:

  • Voc√™ ter√° a mesma experi√™ncia de usu√°rio de MFA, independentemente do aplicativo que acessar
  • Voc√™ pode escolher o m√©todo de MFA que lhe parecer mais confort√°vel ( Yubikey WebAuthn , Aplicativo de autentica√ß√£o, Push, Token, etc)
  • Os administradores t√™m apenas um console de administra√ß√£o para todas as MFAs.
Métodos de segundo fator suportados pelo Cisco Duo Security
M√ļltiples M√©todos de Segundo Factor

E isso é só o começo, depois do MFA normal que todos conhecemos, o Duo Security torna esse MFA adaptável

A MFA adapt√°vel significa que o acesso n√£o se limita apenas √† autentica√ß√£o de dois fatores bem-sucedida, mas tamb√©m s√£o avaliadas as posturas de seguran√ßa que ampliam a gama de a√ß√Ķes de seguran√ßa que voc√™ pode executar, por exemplo:

  • Restringir o uso de equipamentos pessoais
  • Limitar √°reas geogr√°ficas de acesso
  • Permitir acesso apenas de dispositivos √≠ntegros
Arquitectura Zero Trust de Duo Security
Arquitetura Zero Trust de Duo Security

Benefícios de ter o Cisco Duo Security

Já a mera possibilidade de fácil implementação do Zero Trust é fator determinante nos benefícios do Cisco Duo Security.

No entanto, aqui estão alguns outros benefícios colaterais:

  • Voc√™ mitiga 81% dos riscos de seguran√ßa: O roubo de identidade √© a maior das breach existentes
  • Implementa√ß√£o em dias: Integra√ß√Ķes j√° testadas e excelentemente documentadas. O que o torna uma implementa√ß√£o simples e r√°pida
  • M√≠nimo Custo Total de Propriedade (TCO): Sendo SaaS, praticamente n√£o h√° investimento em hardware, manuten√ß√£o, eletricidade, HVAC ou espa√ßo no local.
  • Beyond Corp e Zero Trust Dispon√≠veis a partir do dia 1: N√£o h√° longos tempos de instala√ß√£o, ao adquirir seu locat√°rio voc√™ j√° tem tudo o que precisa para implementar o Zero Trust
  • Possibilidade de Gest√£o atrav√©s de um MSP: O esquema natural do Duo Security contempla a exist√™ncia de MSPs (Managed Service Providers) que s√£o Parceiros especializados que podem lhe dar uma inst√Ęncia ou locat√°rio e at√© gerenci√°-lo para voc√™, se desejar.

Trabalho para um MSP e posso ajudar você a criar seu locatário e experimentar o Duo gratuitamente.

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

A Duo é uma Empresa 100% Dedicada à Segurança

Para Duo, MFA e Zero Trust n√£o s√£o um complemento, mas sim seu foco principal; √© a √ļnica coisa que eles fazem. Ent√£o, ao t√™-lo, voc√™ est√° nas m√£os de pessoas que s√£o realmente especialistas.

Cumprir os Regulamentos

PCI, NIST, HIPAA, GDPR, FFIEC s√£o apenas alguns dos padr√Ķes internacionais que recomendam o uso de MFA e Zero Trust para acesso de usu√°rios a ativos de TI.

Inscrição automática de usuários

O processo de inscrição de usuários é automático e sob uma filosofia de autoatendimento, o que reduz o trabalho administrativo de criação, configuração e atribuição de métodos 2FA

O usuário tem a flexibilidade de escolher o método 2FA que for mais conveniente para ele.

Registro 2FA de autoatendimento no Duo Security
Registro 2FA de autoatendimento no Duo Security

Arquitetura Operacional de Duo Security de Cisco

Arquitetura cisco Duo Security
Arquitetura Duo Security

Como funciona a Duo Security

Os módulos principais do Cisco Duo Security têm recursos específicos que permitem:

Nessa mesma ordem, é realizada a configuração do Duo Security e detalharei abaixo.

Integração de diretórios

O Cisco Duo Securuty exige conhecer todos os usuários que provavelmente serão autenticados por meio de seus serviços, para isso existem diferentes métodos:

  • Cria√ß√£o manual: voc√™ pode criar usu√°rios um por um localmente no Duo.
  • Importa√ß√£o manual em lote: via arquivo CSV voc√™ pode fazer uploads massivos de usu√°rios.
  • Integra√ß√£o com o Active Directory. LDAP, OpenLDAP: Atrav√©s do Duo Authentication Proxy , voc√™ pode sincronizar usu√°rios ou grupos do Microsoft Active Directory ou diret√≥rios LDAP padr√£o.
  • Integra√ß√£o com o Azure AD: por meio de autoriza√ß√Ķes, voc√™ pode ler um diret√≥rio do Azure AD.
Painel do usu√°rio no Cisco Duo
Painel do usu√°rio no Cisco Duo

Gerenciamento de Métodos de MFA

Uma vez que os usu√°rios s√£o conhecidos, eles passam por um processo de registro em que, como autoatendimento, adicionam pelo menos um dispositivo 2FA.

O Duo permite que você gerencie esses dispositivos de maneira unificada, portanto, se, por exemplo, alguém perder um token, basta acessar o Duo e remover o token e ele será desativado para todos os aplicativos protegidos pelo Duo.

Painel de dispositivos MFA no Cisco duo security
Panel de Dispositivos MFA

Protocolos de autenticação

Voc√™ j√° tem os usu√°rios e seus m√©todos 2FA, agora √© hora de proteger as aplica√ß√Ķes, para isso, basta configurar naquela aplica√ß√£o que a autentica√ß√£o prim√°ria (usu√°rio e senha) ser√° realizada por um terceiro, neste caso Cisco Duo Security.

O Cisco Duo Security é multiprotocolo e é isso que possibilita a autenticação de qualquer aplicativo por meio dele.

Temos, por exemplo, autentica√ß√Ķes via:

  • SAML
  • OIDC
  • LDAP / LDAPS
  • RAIO
  • Duo Web SDK

√Č esse n√≠vel de padroniza√ß√£o que permite que praticamente todos os aplicativos modernos obtenham sua autentica√ß√£o do Duo.

Conex√£o com o Cisco Duo Security

Depois que o aplicativo obtém sua autenticação primária e é bem-sucedido, é necessário solicitar ao Cisco Duo que envie uma solicitação de autenticação de segundo fator.

Isso é feito por meio de APIs que já estão prontamente disponíveis nos próprios aplicativos integrados.

Ao proteger qualquer aplicativo no Cisco Duo, voc√™ tem 3 par√Ęmetros de conex√£o fundamentais:

  • API Hostame: nome DNS do servidor ou servidores com os quais acessar o servi√ßo Cisco Duo Security
  • Chave de integra√ß√£o: identificador do aplicativo no locat√°rio
  • Chave secreta: senha espec√≠fica do aplicativo

Com esses 3 par√Ęmetros e em comunica√ß√£o SSL, voc√™ interage com o Duo e ele envia a autentica√ß√£o de segundo fator.

Neste ponto √© importante considerar que caso os servi√ßos do Duo n√£o sejam alcan√ßados, existe a possibilidade de trabalhar em dois modos de opera√ß√£o em caso de falha do Duo .

Mecanismo de controle de acesso

Uma vez totalmente autenticado (nome de usuário + senha + 2FA), o usuário e seu dispositivo de acesso são enviados para um filtro de política de acesso que é onde nasce a implementação Zero Trust and Beyond Corp que o Duo oferece.

√Č aqui que voc√™ pode avaliar um grande n√ļmero de posturas de seguran√ßa que permitem controles de acesso infinitos que realmente proteger√£o seus ativos de TI.


Integra√ß√Ķes dispon√≠veis

Devido √† sua natureza aberta e multiprotocolo, existem in√ļmeras aplica√ß√Ķes que podem ser integradas ou protegidas pelo Duo.

Aqui est√° uma lista dos mais importantes:

VPN (Redes Privadas Virtuais)

  • Cisco ASA
  • Firewalls da Juniper Networks
  • VPN Palo Alto
  • VPN Pulse Secure

Aplicativos em nuvem

  • Espa√ßo de trabalho do Google
  • For√ßa de vendas
  • Dropbox
  • Caixa

Aplicativos da Microsoft

Principais aplicativos compatíveis com Duo
Principais aplicativos compatíveis com Duo

El listado completo y los procedimientos de configuración lo puedes conseguir en la página de documentación oficial


A lista completa e os procedimentos de configura√ß√£o podem ser encontrados na p√°gina de documenta√ß√£o oficial


UX homogênea

Voc√™ j√° conhece a arquitetura, agora um dos pontos mais convenientes do Cisco Duo Security: A interface de autentica√ß√£o ou o Duo Universal Prompt .

Todas estas aplica√ß√Ķes protegidas com MFA, com v√°rios m√©todos de autentica√ß√£o, com uma √ļnica plataforma de gest√£o, ter√£o e com a mesma UX (user experience).

Isso reduz o atrito para o usu√°rio final e oferece uma maior garantia de sucesso para seu projeto Zero Trust.

Cisco Duo Universal Prompt
Duo Universal Prompt

Cisco Duo Security e logon √ļnico (SSO)

Quando você integra um aplicativo com o Duo Security, por definição, a autenticação primária é derivada de seu provedor de identidade, seja ele chamado Active Directory ou outro.

√Ä medida que voc√™ protege os aplicativos com o Cisco Duo Security, o que voc√™ obt√©m √© o logon √ļnico de SSO, em que cada usu√°rio ter√° apenas um nome de usu√°rio e uma senha.

O SSO é um recurso que diminui o atrito do usuário por não precisar lembrar tantas senhas, diminuindo assim o risco de exposição.

O Duo oferece o Duo Central, que é um portal de acesso SSO onde cada usuário, ao entrar, é exibida uma janela com todos os aplicativos disponíveis para Single Sign-On

Exemplo do portal Duo Central
Exemplo do portal Duo Central

Licenciamento e Edi√ß√Ķes

A Cisco Duo Security é um SaaS licenciado por usuário registrado do Duo, não importa quantos aplicativos estejam protegidos.

Em outras palavras, um usu√°rio com um aplicativo vale o mesmo que um usu√°rio com 20 aplicativos segurados.

Da√≠ a import√Ęncia de ter um MSP para te ajudar a tirar o m√°ximo do Duo, garantindo o maior n√ļmero de aplica√ß√Ķes poss√≠vel.

Duo vem em 3 edi√ß√Ķes

  • Duo Essentials (Antes Duo MFA)
  • Duo Advantage ( Antes Duo Access)
  • Duo Premier (Antes Duo Beyond)

Cada edição tem os mesmos recursos que a anterior, mas adiciona políticas adicionais que aumentam a granularidade das posturas de segurança que você deseja implementar.

gráfico comparativo da edição duo security
Fuente: Duo Security

Detalhe completo dos preços do Duo Security em https://duo.com/pricing/

Perguntas frequentes

  1. Posso instalar o Duo Security no local?

    Não, Duo Security é um SaaS puramente em nuvem. 
    No local, apenas um proxy de autenticação é instalado para que você não precise expor seu Active Directory à Internet.

  2. Posso usar o aplicativo Duo Mobile sem me inscrever no serviço Duo?

    Sim, o Duo Mobile funciona como qualquer Autenticador em seu celular, basta instalá-lo e configurar o MFA da conta que você deseja.

  3. Um usuário pode ter mais de um método 2FA configurado no Duo?

    Sim, você pode ter qualquer método (push, passcode, yubikey, token) .Na

    verdade, voc√™ pode ter v√°rios dispositivos do mesmo m√©todo, por exemplo, voc√™ pode ter v√°rios yubikeys ou v√°rios telefones para receber notifica√ß√Ķes push.

  4. Posso atribuir um dispositivo 2FA a v√°rios usu√°rios do Duo Security?

    Sim, no Duo Security um dispositivo 2FA pode ser associado a v√°rios usu√°rios embora n√£o seja uma pr√°tica recomendada

  5. Posso integrar uma aplicação web desenvolvida internamente com o Duo Security?

    im, o Duo fornece um SDK da Web que oferece recursos para se conectar ao Duo a partir de qualquer aplicativo da Web

Conclus√Ķes

O Cisco Duo Security √© sem d√ļvida o melhor servi√ßo de seguran√ßa cibern√©tica MFA e Zero Trust.

Seu principal benefício é a unificação da administração do MFA para vários aplicativos

O melhor esquema de trabalho é através de um MSP especializado que o ajudará com uma Prova de Conceito PoC e em poucos dias você verá os resultados.

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Engenheiro de Solu√ß√Ķes Principal na ICT International MSP
Especialista em Ciberseguran√ßa ZeroTrust | Marketing de Conte√ļdo | Especialista em SEO |

Deixe um coment√°rio

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima