Come√ßo ¬Ľ Zero Trust ¬Ľ Duo Failmodes

Modos de Operação Duo Security (Failmodes)

Duo Security failmodes

Uma das características doCisco Duo Securitymenos documentadas é o modo de operação em caso de falha ou também conhecido como failmodes.

E por mais pouco conhecido que seja, é uma pergunta muito comum: O que acontece se o Duo cair?

√Č neste momento que entra no jogo os modos de funcionamento em fallas ou failmodes de Duo.

Os modos de funcionamento em caso de falha permitem definir o comportamento de início de sessão de seus aplicativos que não podem ser alcanzados com os serviçosZero Trustde Duo Security.

Que é Failmodes en Duo Security?

Failmodes √© um par√Ęmetro de configura√ß√£o de algumas aplica√ß√Ķes integradas ao Duo Security

Este par√Ęmetro define o comportamento da aplica√ß√£o cuando por alguma circunstancia no se alcanzan los servicios de Duo.

Casos de Palha

Los cases que pueden considerouse como fallas del servicio son:

  • Fallas de conectividade entre o aplicativo integrado e o nube de Duo.
  • N√£o h√° disponibilidade de servi√ßo Cloud de Duo propiamente dicho.

Proxy de autenticação Falla Duo (DAP)

Se houver Duo Authentication Proxyon-Premises, a disponibilidade de este não está relacionada à disponibilidade do serviço Cluod de Duo porque é um equipamento interno .

Assim, se for este o caso, se pierde a autenticação sem importar o modo de operação, por lo que é importante termos na configuração redundante instalando ao menos dos DAP em modo redundante.


Failmodes de Duo Security

Modo Seguro (Secure o Fail Closed)

Este modo de operação que é mais restritivo e seguro, o aplicativo não permiteo acesso a umusuário sincronizadose não houver acesso aos serviços do Duo.

Melhor prática: Para o caso de integração doDuo Windows Logon RDPcom a possibilidade de acesso à linha (offline), este modo deve ser escogido para que o modo offline funcione adequadamente.

Vantagens do Modo Seguro

  • Maior n√≠vel de seguran√ßa
  • Protege contra ataque de desvio de segundo fator causado pela remo√ß√£o da conectividade do servi√ßo ou dispositivo

Desvantagens do Modo Seguro

  • Existe o risco de perder o acesso ao dispositivo caso a falha de conectividade seja de origem intr√≠nseca do equipamento.

Modo Aberto (Safe o Fail Open)

Este modo de opera√ß√£o √© um pouco mais flex√≠vel e no caso de nenhum poder alcanzar os servi√ßos do Duo Security,a aplica√ß√£o permite o acesso se o usu√°rio introduz corretamente as credenciais prim√°rias(usu√°rio e contrase√Īa).

Vantagens do Modo Aberto

  • O acesso ao dispositivo ou servi√ßo √© mantido mesmo se houver falha de conectividade interna

Desvantagens do Modo Aberto

  • Existe o risco de um ataque de bypass do segundo fator ao remover a conectividade, seja causando falha na rede do servidor ou nos dispositivos que lhe d√£o acesso √† Internet (proxies, firewall, etc.)
Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Qual dos Failmodes de Duo Security Usar?

Todos os modos são totalmente válidos e funcionais, todos os protetores de suas políticas internas de segurança.

Como premissas iniciais podem ser consideradas:

  • A disponibilidade do servi√ßo de Duo Security √© muito alta, porSLA, de 99,9%.
  • A principal disponibilidade para considerar ser√≠a entonces la de la infraestructura associada a la aplicaci√≥n (servidores, DAP y redes)
  • Se voc√™ preferir o modo Secure ou Fail Closed por ser mais seguro, se o embargo n√£o for mais seguro √© o operacionalmente preferido.

Ac√° te dejo algunas preguntas cuyas respuestas te pueden servir para definir o modo de escolha:

  • ¬ŅQu√© tanprovable es que mi aplicaci√≥n pierda conectividad a la nube de Duo?
  • ¬ŅQu√© tan cr√≠tica es la aplicaci√≥n?¬†¬Ņpuedo permitir momentos de interrup√ß√£o por autenticaciones rechazadas?
  • ¬ŅPrefiro a disponibilidade do aplicativo que bajar meu n√≠vel de seguran√ßa?
  • ¬ŅAs pol√≠ticas de contraste s√£o suficientes para entrar robustas como para dejar no segundo fator?

Aplica√ß√Ķes Donde Puedo Configurar Failmodes

Há três grandes grupos de aplicativos nos que podemos configurar o modo de operação do Duo Security em caso de falha ou failmode

Integra√ß√Ķes via el Duo Authentication Proxy (DAP)

Neste caso, veja todas as aplica√ß√Ķes que derivam de autentica√ß√£o se realiza viaRADIUS,LDAPouLDAPS

Integra√ß√Ķes SSO via Duo Authentication Gateway (DAG)

Todas as integra√ß√Ķes viaSAMLque usam o DAG como provador de SSO

Integra√ß√Ķes Nativas

Ac√° tenemos aplicaciones que usa componentes de Duo para integrarse, como por exemplo:

  • Microsoft AD FS
  • Aplicativo da Web do Microsoft Outlook (OWA)
  • Microsoft RD Web
  • √Ārea de trabalho remota da Microsoft (RDP)
  • Gateway de √°rea de trabalho remota da Microsoft

Você pode obter uma lista completa na lista oficial de Duo

Conclus√Ķes

Determinar o modo de operação em caso de que melhor se adeque a sua organização e seja individual de entender bem o funcionamento desta característica, analisando fatores de disponibilidade e operação. Contrastando os fatores, pode-se elegir adequadamente.

Também é importante indicar que este modo de configuração é modificável em todo momento como se não for necessário em um momento específico, você pode alterar o resultado do problema.

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Engenheiro de Solu√ß√Ķes Principal na ICT International MSP
Especialista em Ciberseguran√ßa ZeroTrust | Marketing de Conte√ļdo | Especialista em SEO |

Rolar para cima