Começo » Zero Trust » Duo Failmodes

Modos de Operação Duo Security (Failmodes)

Por / Actualizado al: 3 de março de 2024 / Duo, RADIUS, SAML
Duo Security failmodes

Uma das características doCisco Duo Securitymenos documentadas é o modo de operação em caso de falha ou também conhecido como failmodes.

E por mais pouco conhecido que seja, é uma pergunta muito comum: O que acontece se o Duo cair?

É neste momento que entra no jogo os modos de funcionamento em fallas ou failmodes de Duo.

Os modos de funcionamento em caso de falha permitem definir o comportamento de início de sessão de seus aplicativos que não podem ser alcanzados com os serviçosZero Trustde Duo Security.

Que é Failmodes en Duo Security?

Failmodes é um parâmetro de configuração de algumas aplicações integradas ao Duo Security

Este parâmetro define o comportamento da aplicação cuando por alguma circunstancia no se alcanzan los servicios de Duo.

Casos de Palha

Los cases que pueden considerouse como fallas del servicio son:

  • Fallas de conectividade entre o aplicativo integrado e o nube de Duo.
  • Não há disponibilidade de serviço Cloud de Duo propiamente dicho.

Proxy de autenticação Falla Duo (DAP)

Se houver Duo Authentication Proxyon-Premises, a disponibilidade de este não está relacionada à disponibilidade do serviço Cluod de Duo porque é um equipamento interno .

Assim, se for este o caso, se pierde a autenticação sem importar o modo de operação, por lo que é importante termos na configuração redundante instalando ao menos dos DAP em modo redundante.

Failmodes de Duo Security

Modo Seguro (Secure o Fail Closed)

Este modo de operação que é mais restritivo e seguro, o aplicativo não permiteo acesso a umusuário sincronizadose não houver acesso aos serviços do Duo.

Melhor prática: Para o caso de integração doDuo Windows Logon RDPcom a possibilidade de acesso à linha (offline), este modo deve ser escogido para que o modo offline funcione adequadamente.

Vantagens do Modo Seguro

  • Maior nível de segurança
  • Protege contra ataque de desvio de segundo fator causado pela remoção da conectividade do serviço ou dispositivo

Desvantagens do Modo Seguro

  • Existe o risco de perder o acesso ao dispositivo caso a falha de conectividade seja de origem intrínseca do equipamento.

Modo Aberto (Safe o Fail Open)

Este modo de operação é um pouco mais flexível e no caso de nenhum poder alcanzar os serviços do Duo Security,a aplicação permite o acesso se o usuário introduz corretamente as credenciais primárias(usuário e contraseña).

Vantagens do Modo Aberto

  • O acesso ao dispositivo ou serviço é mantido mesmo se houver falha de conectividade interna

Desvantagens do Modo Aberto

  • Existe o risco de um ataque de bypass do segundo fator ao remover a conectividade, seja causando falha na rede do servidor ou nos dispositivos que lhe dão acesso à Internet (proxies, firewall, etc.)
Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP
Contate-me

Qual dos Failmodes de Duo Security Usar?

Todos os modos são totalmente válidos e funcionais, todos os protetores de suas políticas internas de segurança.

Como premissas iniciais podem ser consideradas:

  • A disponibilidade do serviço de Duo Security é muito alta, porSLA, de 99,9%.
  • A principal disponibilidade para considerar sería entonces la de la infraestructura associada a la aplicación (servidores, DAP y redes)
  • Se você preferir o modo Secure ou Fail Closed por ser mais seguro, se o embargo não for mais seguro é o operacionalmente preferido.

Acá te dejo algunas preguntas cuyas respuestas te pueden servir para definir o modo de escolha:

  • ¿Qué tanprovable es que mi aplicación pierda conectividad a la nube de Duo?
  • ¿Qué tan crítica es la aplicación? ¿puedo permitir momentos de interrupção por autenticaciones rechazadas?
  • ¿Prefiro a disponibilidade do aplicativo que bajar meu nível de segurança?
  • ¿As políticas de contraste são suficientes para entrar robustas como para dejar no segundo fator?

Aplicações Donde Puedo Configurar Failmodes

Há três grandes grupos de aplicativos nos que podemos configurar o modo de operação do Duo Security em caso de falha ou failmode

Integrações via el Duo Authentication Proxy (DAP)

Neste caso, veja todas as aplicações que derivam de autenticação se realiza viaRADIUS,LDAPouLDAPS

Integrações SSO via Duo Authentication Gateway (DAG)

Todas as integrações viaSAMLque usam o DAG como provador de SSO

Integrações Nativas

Acá tenemos aplicaciones que usa componentes de Duo para integrarse, como por exemplo:

  • Microsoft AD FS
  • Aplicativo da Web do Microsoft Outlook (OWA)
  • Microsoft RD Web
  • Área de trabalho remota da Microsoft (RDP)
  • Gateway de área de trabalho remota da Microsoft

Você pode obter uma lista completa na lista oficial de Duo

Conclusões

Determinar o modo de operação em caso de que melhor se adeque a sua organização e seja individual de entender bem o funcionamento desta característica, analisando fatores de disponibilidade e operação. Contrastando os fatores, pode-se elegir adequadamente.

Também é importante indicar que este modo de configuração é modificável em todo momento como se não for necessário em um momento específico, você pode alterar o resultado do problema.

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP
Contate-me
( genuimentor )

Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |

Artigos relacionadas

Rolar para cima