Come√ßo ¬Ľ Zero Trust ¬Ľ Duo Failmodes

Modos de Operação Duo Security (Failmodes)

Duo Security failmodes

Uma das caracter√≠sticas do Cisco Duo Security menos documentadas √© o modo de opera√ß√£o em caso de falha ou tamb√©m conhecido como failmodes.

E por mais pouco conhecido que seja, é uma pergunta muito comum: O que acontece se o Duo cair?

√Č neste momento que entra no jogo os modos de funcionamento em fallas ou failmodes de Duo.

Os modos de funcionamento em caso de falha permitem definir o comportamento de in√≠cio de sess√£o de seus aplicativos que n√£o podem ser alcanzados com os servi√ßos Zero Trust de Duo Security.

Que é Failmodes en Duo Security?

Failmodes √© um par√Ęmetro de configura√ß√£o de algumas aplica√ß√Ķes integradas ao Duo Security

Este par√Ęmetro define o comportamento da aplica√ß√£o cuando por alguma circunstancia no se alcanzan los servicios de Duo.

Casos de Palha

Los cases que pueden considerouse como fallas del servicio son:

  • Fallas de conectividade entre o aplicativo integrado e o nube de Duo.
  • N√£o h√° disponibilidade de servi√ßo Cloud de Duo propiamente dicho.

Proxy de autenticação Falla Duo (DAP)

Se houver Duo Authentication Proxy on-Premises, a disponibilidade de este não está relacionada à disponibilidade do serviço Cluod de Duo porque é um equipamento interno .

Assim, se for este o caso, se pierde a autenticação sem importar o modo de operação, por lo que é importante termos na configuração redundante instalando ao menos dos DAP em modo redundante.


Failmodes de Duo Security

Modo Seguro (Secure o Fail Closed)

Este modo de opera√ß√£o que √© mais restritivo e seguro, o aplicativo n√£o permite o acesso a um usu√°rio sincronizado se n√£o houver acesso aos servi√ßos do Duo.

Para o caso de integra√ß√£o do Duo Windows Logon RDP com a possibilidade de acesso √† linha (offline), este modo deve ser escogido para que o modo offline funcione adequadamente.

Modo a Salvo (Safe o Fail Open)

Este modo de opera√ß√£o √© um pouco mais flex√≠vel e no caso de nenhum poder alcanzar os servi√ßos do Duo Security, a aplica√ß√£o permite o acesso se o usu√°rio introduz corretamente as credenciais prim√°rias (usu√°rio e contrase√Īa).

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Qual dos Failmodes de Duo Security Usar?

Todos os modos são totalmente válidos e funcionais, todos os protetores de suas políticas internas de segurança.

Como premissas iniciais podem ser consideradas:

  • A disponibilidade do servi√ßo de Duo Security √© muito alta, por SLA , de 99,9%.
  • A principal disponibilidade para considerar ser√≠a entonces la de la infraestructura associada a la aplicaci√≥n (servidores, DAP y redes)
  • Se voc√™ preferir o modo Secure ou Fail Closed por ser mais seguro, se o embargo n√£o for mais seguro √© o operacionalmente preferido.

Ac√° te dejo algunas preguntas cuyas respuestas te pueden servir para definir o modo de escolha:

  • ¬ŅQu√© tanprovable es que mi aplicaci√≥n pierda conectividad a la nube de Duo?
  • ¬ŅQu√© tan cr√≠tica es la aplicaci√≥n? ¬Ņpuedo permitir momentos de interrup√ß√£o por autenticaciones rechazadas?
  • ¬ŅPrefiro a disponibilidade do aplicativo que bajar meu n√≠vel de seguran√ßa?
  • ¬ŅAs pol√≠ticas de contraste s√£o suficientes para entrar robustas como para dejar no segundo fator?

Aplica√ß√Ķes Donde Puedo Configurar Failmodes

Há três grandes grupos de aplicativos nos que podemos configurar o modo de operação do Duo Security em caso de falha ou failmode

Integra√ß√Ķes via el Duo Authentication Proxy (DAP)

Neste caso, veja todas as aplica√ß√Ķes que derivam de autentica√ß√£o se realiza via RADIUS , LDAP ou LDAPS

Integra√ß√Ķes SSO via Duo Authentication Gateway (DAG)

Todas as integra√ß√Ķes via SAML que usam o DAG como provador de SSO

Integra√ß√Ķes Nativas

Ac√° tenemos aplicaciones que usa componentes de Duo para integrarse, como por exemplo:

  • Microsoft AD FS
  • Aplicativo da Web do Microsoft Outlook (OWA)
  • Microsoft RD Web
  • √Ārea de trabalho remota da Microsoft (RDP)
  • Gateway de √°rea de trabalho remota da Microsoft

Você pode obter uma lista completa na lista oficial de Duo

Conclus√Ķes

Determinar o modo de opera√ß√£o em caso de que melhor se adeque a sua organiza√ß√£o e seja individual de entender bem o funcionamento desta caracter√≠stica, analisando fatores de disponibilidade e opera√ß√£o. Contrastando os fatores, pode-se elegir adequadamente.

Também é importante indicar que este modo de configuração é modificável em todo momento como se não for necessário em um momento específico, você pode alterar o resultado do problema.

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Engenheiro de Solu√ß√Ķes Principal na ICT International MSP
Especialista em Ciberseguran√ßa ZeroTrust | Marketing de Conte√ļdo | Especialista em SEO |

Deixe um coment√°rio

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *