Começo » Zero Trust » O que é o Cisco Duo Security?

O que é o Cisco Duo Security?

arquitetura duo security cisco

O Cisco Duo Security é um SaaS (Software as a Service) que pertence ao pacote Cisco Secure, produto de sua aquisição pela Cisco Systems em 2018.

Seu principal serviço é fornecer autenticação multifator (MFA) para vários aplicativos e com vários dispositivos 2FA.

No entanto, este Cisco MFA é apenas a base de uma Arquitetura Zero TrustandBeyond Corpque é realizada por meiode políticas de acesso adaptáveis​​que o Duo oferece.

Neste artigo vou mostrar como funciona o Duo Security desde sua arquitetura até as principais integrações que ele oferece.

Para que serve o Duo Security?

Integrar Zero Trust e MFA pode parecer algo muito difícil de implementar, de fato, existem muitas maneiras de fazê-lo e cada fabricante oferece opções para proteger seu produto.

O problema é que se você começar a implementar de forma independente (produto por produto) você acaba com uma infraestrutura heterogênea Zero Trust que torna praticamente impossível ou economicamente inviável gerenciar.

Imagine que você implementa de forma independente:

  • Microsoft Azure MFA
  • Cisco ASA VPN MFA
  • MFA para o Google Workspace
  • MFA para Office 365

No final do dia, seu usuário final terá:

  • Diferentes métodos de MFA, dependendo do aplicativo que você deseja acessar
  • Diferentes experiências de usuário de MFA
  • Aumento do atrito e desconforto

O Cisco Systems Duo Securityintegra todo o MFA em uma única plataformaonde:

  • Você terá a mesma experiência de usuário de MFA, independentemente do aplicativo que acessar
  • Você pode escolher o método de MFA que lhe parecer mais confortável (Yubikey WebAuthn, Aplicativo de autenticação, Push, Token, etc)
  • Os administradores têm apenas um console de administração para todas as MFAs.
Métodos de segundo fator suportados pelo Cisco Duo Security
Múltiples Métodos de Segundo Factor

E isso é só o começo, depois do MFA normal que todos conhecemos, o Duo Security torna esse MFA adaptável

A MFA adaptável significa que o acesso não se limita apenas à autenticação de dois fatores bem-sucedida, mas também são avaliadas as posturas de segurança que ampliam a gama de ações de segurança que você pode executar, por exemplo:

  • Restringir o uso de equipamentos pessoais
  • Limitar áreas geográficas de acesso
  • Permitir acesso apenas de dispositivos íntegros
Arquitectura Zero Trust de Duo Security
Arquitetura Zero Trust de Duo Security

Benefícios de ter o Cisco Duo Security

Já a mera possibilidade de fácil implementação do Zero Trust é fator determinante nos benefícios do Cisco Duo Security.

No entanto, aqui estão alguns outros benefícios colaterais:

  • Você mitiga 81% dos riscos de segurança: O roubo de identidade é a maior das breach existentes
  • Implementação em dias: Integrações já testadas e excelentemente documentadas. O que o torna uma implementação simples e rápida
  • Mínimo Custo Total de Propriedade (TCO): Sendo SaaS, praticamente não há investimento em hardware, manutenção, eletricidade, HVAC ou espaço no local.
  • Beyond Corp e Zero Trust Disponíveis a partir do dia 1: Não há longos tempos de instalação, ao adquirir seu locatário você já tem tudo o que precisa para implementar o Zero Trust
  • Possibilidade de Gestão através de um MSP: O esquema natural do Duo Security contempla a existência de MSPs (Managed Service Providers) que são Parceiros especializados que podem lhe dar uma instância ou locatário e até gerenciá-lo para você, se desejar.

Trabalho para um MSP e posso ajudar você a criar seu locatário e experimentar o Duo gratuitamente.

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

A Duo é uma Empresa 100% Dedicada à Segurança

Para Duo, MFA e Zero Trust não são um complemento, mas sim seu foco principal; é a única coisa que eles fazem. Então, ao tê-lo, você está nas mãos de pessoas que são realmente especialistas.

Cumprir os Regulamentos

PCI, NIST, HIPAA, GDPR, FFIEC são apenas alguns dos padrões internacionais que recomendam o uso de MFA e Zero Trust para acesso de usuários a ativos de TI.

Inscrição automática de usuários

O processo de inscrição de usuários é automático e sob uma filosofia de autoatendimento, o que reduz o trabalho administrativo de criação, configuração e atribuição de métodos 2FA

O usuário tem a flexibilidade de escolher o método 2FA que for mais conveniente para ele.

Registro 2FA de autoatendimento no Duo Security
Registro 2FA de autoatendimento no Duo Security

Arquitetura Operacional de Duo Security de Cisco

Arquitetura cisco Duo Security
Arquitetura Duo Security

Como funciona a Duo Security

Os módulos principais do Cisco Duo Security têm recursos específicos que permitem:

Nessa mesma ordem, é realizada a configuração do Duo Security e detalharei abaixo.

Integração de diretórios

O Cisco Duo Securuty exige conhecer todos os usuários que provavelmente serão autenticados por meio de seus serviços, para isso existem diferentes métodos:

  • Criação manual:você pode criar usuários um por um localmente no Duo.
  • Importação manual em lote:via arquivo CSV você pode fazer uploads massivos de usuários.
  • Integração com o Active Directory. LDAP, OpenLDAP:Através doDuo Authentication Proxy, você pode sincronizar usuários ou grupos do Microsoft Active Directory ou diretórios LDAP padrão.
  • Integração com o Azure AD: pormeio de autorizações, você pode ler um diretório do Azure AD.
Painel do usuário no Cisco Duo
Painel do usuário no Cisco Duo

Gerenciamento de Métodos de MFA

Uma vez que os usuários são conhecidos, eles passam por um processo de registro em que, como autoatendimento, adicionam pelo menos um dispositivo 2FA.

O Duo permite que você gerencie esses dispositivos de maneira unificada, portanto, se, por exemplo, alguém perder um token, basta acessar o Duo e remover o token e ele será desativado para todos os aplicativos protegidos pelo Duo.

Painel de dispositivos MFA no Cisco duo security
Panel de Dispositivos MFA

Protocolos de autenticação

Você já tem os usuários e seus métodos 2FA, agora é hora de proteger as aplicações, para isso, basta configurar naquela aplicação que a autenticação primária (usuário e senha) será realizada por um terceiro, neste caso Cisco Duo Security.

O Cisco Duo Security é multiprotocolo e é isso que possibilita a autenticação de qualquer aplicativo por meio dele.

Temos, por exemplo, autenticações via:

  • SAML
  • OIDC
  • LDAP / LDAPS
  • RAIO
  • Duo Web SDK

É esse nível de padronização que permite que praticamente todos os aplicativos modernos obtenham sua autenticação do Duo.

Conexão com o Cisco Duo Security

Depois que o aplicativo obtém sua autenticação primária e é bem-sucedido, é necessário solicitar ao Cisco Duo que envie uma solicitação de autenticação de segundo fator.

Isso é feito por meio de APIs que já estão prontamente disponíveis nos próprios aplicativos integrados.

Ao proteger qualquer aplicativo no Cisco Duo, você tem 3 parâmetros de conexão fundamentais:

  • API Hostame:nome DNS do servidor ou servidores com os quais acessar o serviço Cisco Duo Security
  • Chave de integração:identificador do aplicativo no locatário
  • Chave secreta:senha específica do aplicativo

Com esses 3 parâmetros e em comunicação SSL, você interage com o Duo e ele envia a autenticação de segundo fator.

Neste ponto é importante considerar que caso os serviços do Duo não sejam alcançados, existe a possibilidade de trabalhar em doismodos de operação em caso de falha do Duo.

Mecanismo de controle de acesso

Uma vez totalmente autenticado (nome de usuário + senha + 2FA), o usuário e seu dispositivo de acesso são enviados para um filtro de política de acesso que é onde nasce a implementação Zero Trust and Beyond Corp que o Duo oferece.

É aqui que você pode avaliar um grande número de posturas de segurança que permitem controles de acesso infinitos que realmente protegerão seus ativos de TI.


Integrações disponíveis

Devido à sua natureza aberta e multiprotocolo, existem inúmeras aplicações que podem ser integradas ou protegidas pelo Duo.

Aqui está uma lista dos mais importantes:

VPN (Redes Privadas Virtuais)

  • Cisco ASA
  • Firewalls da Juniper Networks
  • VPN Palo Alto
  • VPN Pulse Secure

Aplicativos em nuvem

  • Espaço de trabalho do Google
  • Força de vendas
  • Dropbox
  • Caixa

Aplicativos da Microsoft

Principais aplicativos compatíveis com Duo
Principais aplicativos compatíveis com Duo

El listado completo y los procedimientos de configuración lo puedes conseguir en la página de documentación oficial


A lista completa e os procedimentos de configuração podem ser encontrados napágina de documentação oficial


UX homogênea

Você já conhece a arquitetura, agora um dos pontos mais convenientes do Cisco Duo Security: A interface de autenticação ou oDuo Universal Prompt.

Todas estas aplicações protegidas com MFA, com vários métodos de autenticação, com uma única plataforma de gestão, terão e com a mesma UX (user experience).

Isso reduz o atrito para o usuário final e oferece uma maior garantia de sucesso para seu projeto Zero Trust.

Cisco Duo Universal Prompt
Duo Universal Prompt

Cisco Duo Security e logon único (SSO)

Quando você integra um aplicativo com o Duo Security, por definição, a autenticação primária é derivada de seu provedor de identidade, seja ele chamado Active Directory ou outro.

À medida que você protege os aplicativos com o Cisco Duo Security, o que você obtém é o logon único de SSO, em que cada usuário terá apenas um nome de usuário e uma senha.

O SSO é um recurso que diminui o atrito do usuário por não precisar lembrar tantas senhas, diminuindo assim o risco de exposição.

O Duo oferece o Duo Central, que é um portal de acesso SSO onde cada usuário, ao entrar, é exibida uma janela com todos os aplicativos disponíveis para Single Sign-On

Exemplo do portal Duo Central
Exemplo do portal Duo Central

Licenciamento e Edições

A Cisco Duo Security é um SaaS licenciado por usuário registrado do Duo, não importa quantos aplicativos estejam protegidos.

Em outras palavras, um usuário com um aplicativo vale o mesmo que um usuário com 20 aplicativos segurados.

Daí a importância de ter um MSP para te ajudar a tirar o máximo do Duo, garantindo o maior número de aplicações possível.

Duo vem em 3 edições

  • Duo Essentials (Antes Duo MFA)
  • Duo Advantage ( Antes Duo Access)
  • Duo Premier (Antes Duo Beyond)

Cada edição tem os mesmos recursos que a anterior, mas adiciona políticas adicionais que aumentam a granularidade das posturas de segurança que você deseja implementar.

gráfico comparativo da edição duo security
Fuente: Duo Security

Detalhe completo dos preços do Duo Security em https://duo.com/pricing/

Perguntas frequentes

  1. Posso instalar o Duo Security no local?

    Não, Duo Security é um SaaS puramente em nuvem.
    No local, apenas um proxy de autenticação é instalado para que você não precise expor seu Active Directory à Internet.

  2. Posso usar o aplicativo Duo Mobile sem me inscrever no serviço Duo?

    Sim, o Duo Mobile funciona como qualquer Autenticador em seu celular, basta instalá-lo e configurar o MFA da conta que você deseja.

  3. Um usuário pode ter mais de um método 2FA configurado no Duo?

    Sim, você pode ter qualquer método (push, passcode, yubikey, token) .Na

    verdade, você pode ter vários dispositivos do mesmo método, por exemplo, você pode ter vários yubikeys ou vários telefones para receber notificações push.

  4. Posso atribuir um dispositivo 2FA a vários usuários do Duo Security?

    Sim, no Duo Security um dispositivo 2FA pode ser associado a vários usuários embora não seja uma prática recomendada

  5. Posso integrar uma aplicação web desenvolvida internamente com o Duo Security?

    im, o Duo fornece umSDK da Webque oferece recursos para se conectar ao Duo a partir de qualquer aplicativo da Web

Conclusões

O Cisco Duo Security é sem dúvida o melhor serviço de segurança cibernética MFA e Zero Trust.

Seu principal benefício é a unificação da administração do MFA para vários aplicativos

O melhor esquema de trabalho é através de um MSP especializado que o ajudará com uma Prova de Conceito PoC e em poucos dias você verá os resultados.

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |

Rolar para cima