Come√ßo ¬Ľ Zero Trust ¬Ľ Duo Failmodes

Modos de Operação Duo Security (Failmodes)

Duo Security failmodes

Uma das caracter√≠sticas do Cisco Duo Security menos documentadas √© o modo de opera√ß√£o em caso de falha ou tamb√©m conhecido como failmodes.

E por mais pouco conhecido que seja, é uma pergunta muito comum: O que acontece se o Duo cair?

√Č neste momento que entra no jogo os modos de funcionamento em fallas ou failmodes de Duo.

Os modos de funcionamento em caso de falha permitem definir o comportamento de in√≠cio de sess√£o de seus aplicativos que n√£o podem ser alcanzados com os servi√ßos Zero Trust de Duo Security.

Que é Failmodes en Duo Security?

Failmodes √© um par√Ęmetro de configura√ß√£o de algumas aplica√ß√Ķes integradas ao Duo Security

Este par√Ęmetro define o comportamento da aplica√ß√£o cuando por alguma circunstancia no se alcanzan los servicios de Duo.

Casos de Palha

Los cases que pueden considerouse como fallas del servicio son:

  • Fallas de conectividade entre o aplicativo integrado e o nube de Duo.
  • N√£o h√° disponibilidade de servi√ßo Cloud de Duo propiamente dicho.

Proxy de autenticação Falla Duo (DAP)

Se houver Duo Authentication Proxy on-Premises, a disponibilidade de este não está relacionada à disponibilidade do serviço Cluod de Duo porque é um equipamento interno .

Assim, se for este o caso, se pierde a autenticação sem importar o modo de operação, por lo que é importante termos na configuração redundante instalando ao menos dos DAP em modo redundante.


Failmodes de Duo Security

Modo Seguro (Secure o Fail Closed)

Este modo de opera√ß√£o que √© mais restritivo e seguro, o aplicativo n√£o permite o acesso a um usu√°rio sincronizado se n√£o houver acesso aos servi√ßos do Duo.

Melhor prática: Para o caso de integração do Duo Windows Logon RDP com a possibilidade de acesso à linha (offline), este modo deve ser escogido para que o modo offline funcione adequadamente.

Vantagens do Modo Seguro

  • Maior n√≠vel de seguran√ßa
  • Protege contra ataque de desvio de segundo fator causado pela remo√ß√£o da conectividade do servi√ßo ou dispositivo

Desvantagens do Modo Seguro

  • Existe o risco de perder o acesso ao dispositivo caso a falha de conectividade seja de origem intr√≠nseca do equipamento.

Modo Aberto (Safe o Fail Open)

Este modo de opera√ß√£o √© um pouco mais flex√≠vel e no caso de nenhum poder alcanzar os servi√ßos do Duo Security,¬†a aplica√ß√£o permite o acesso se o usu√°rio introduz corretamente as credenciais prim√°rias¬†(usu√°rio e contrase√Īa).

Vantagens do Modo Aberto

  • O acesso ao dispositivo ou servi√ßo √© mantido mesmo se houver falha de conectividade interna

Desvantagens do Modo Aberto

  • Existe o risco de um ataque de bypass do segundo fator ao remover a conectividade, seja causando falha na rede do servidor ou nos dispositivos que lhe d√£o acesso √† Internet (proxies, firewall, etc.)
Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Qual dos Failmodes de Duo Security Usar?

Todos os modos são totalmente válidos e funcionais, todos os protetores de suas políticas internas de segurança.

Como premissas iniciais podem ser consideradas:

  • A disponibilidade do servi√ßo de Duo Security √© muito alta, por SLA , de 99,9%.
  • A principal disponibilidade para considerar ser√≠a entonces la de la infraestructura associada a la aplicaci√≥n (servidores, DAP y redes)
  • Se voc√™ preferir o modo Secure ou Fail Closed por ser mais seguro, se o embargo n√£o for mais seguro √© o operacionalmente preferido.

Ac√° te dejo algunas preguntas cuyas respuestas te pueden servir para definir o modo de escolha:

  • ¬ŅQu√© tanprovable es que mi aplicaci√≥n pierda conectividad a la nube de Duo?
  • ¬ŅQu√© tan cr√≠tica es la aplicaci√≥n? ¬Ņpuedo permitir momentos de interrup√ß√£o por autenticaciones rechazadas?
  • ¬ŅPrefiro a disponibilidade do aplicativo que bajar meu n√≠vel de seguran√ßa?
  • ¬ŅAs pol√≠ticas de contraste s√£o suficientes para entrar robustas como para dejar no segundo fator?

Aplica√ß√Ķes Donde Puedo Configurar Failmodes

Há três grandes grupos de aplicativos nos que podemos configurar o modo de operação do Duo Security em caso de falha ou failmode

Integra√ß√Ķes via el Duo Authentication Proxy (DAP)

Neste caso, veja todas as aplica√ß√Ķes que derivam de autentica√ß√£o se realiza via RADIUS , LDAP ou LDAPS

Integra√ß√Ķes SSO via Duo Authentication Gateway (DAG)

Todas as integra√ß√Ķes via SAML que usam o DAG como provador de SSO

Integra√ß√Ķes Nativas

Ac√° tenemos aplicaciones que usa componentes de Duo para integrarse, como por exemplo:

  • Microsoft AD FS
  • Aplicativo da Web do Microsoft Outlook (OWA)
  • Microsoft RD Web
  • √Ārea de trabalho remota da Microsoft (RDP)
  • Gateway de √°rea de trabalho remota da Microsoft

Você pode obter uma lista completa na lista oficial de Duo

Conclus√Ķes

Determinar o modo de opera√ß√£o em caso de que melhor se adeque a sua organiza√ß√£o e seja individual de entender bem o funcionamento desta caracter√≠stica, analisando fatores de disponibilidade e opera√ß√£o. Contrastando os fatores, pode-se elegir adequadamente.

Também é importante indicar que este modo de configuração é modificável em todo momento como se não for necessário em um momento específico, você pode alterar o resultado do problema.

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Engenheiro de Solu√ß√Ķes Principal na ICT International MSP
Especialista em Ciberseguran√ßa ZeroTrust | Marketing de Conte√ļdo | Especialista em SEO |

Deixe um coment√°rio

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima