Começo » Zero Trust » Políticas de Duo Security

Políticas de Duo Security

Políticas de Duo Security

Para Zero Trust , o aspecto fundamental se relaciona com as políticas que podem ser implementadas para permitir ou não o acesso ao usuário. O Duo Security oferece políticas muito granulares que você pode implementar de forma fácil e gradual

Neste artigo falarei sobre todas as políticas que você pode implementar no Cisco Duo Security .

Para melhor entendimento, preferi deixar alguns termos técnicos em seu idioma original, o inglês.

O que são Políticas Zero Trust?

As políticas em Zero Trust são todos os recursos de concesão ou não confiáveis .

As políticas permitem avaliar as posturas de segurança e, com base nessa avaliação, realizar ações destinadas a garantir o acesso aos ativos de TI solicitados.


Importância das Políticas na Zero Trust

Zero Trust se fundamenta na condição inicial de não confiar em ninguém até prova em contrário.

As políticas de acesso são precisamente aquelas ferramentas de avaliação que permitirão ao usuário avançar dentro do framework Zero Trust.

Você não pode pensar em uma implementação que não realiza políticas.


Políticas do Duo Security

Cada provedor Zero Trust disponibiliza um conjunto de políticas que podem ser implementadas

A Duo Security sempre esteve na vanguarda nesse tópico e oferece opções muito amplas de posturas que você pode implementar para proteger sua infraestrutura de TI.

Aqui está uma lista e mais tarde vou detalhar cada ponto:

  • Políticas do usuário: foco no usuário do Duo e no seu status no Duo Security ou na sua localização
  • Dispositivos: avaliam o dispositivo de acesso em termos de higiene (por exemplo, atualizações)
  • Políticas de Rede: Avaliam a rede na qual o dispositivo está conectado.
  • Métodos de Autenticação: Define os métodos disponíveis para o segundo fator.

Além disso, essas políticas podem ser aplicadas em diferentes escopos de operação:

  • Âmbito global
  • Específico para o aplicativo
  • Para um usuário ou grupos de usuários

Detalho-os abaixo:


Âmbitos das Políticas em Duo Security

Política Global

A política global é padrão do Duo Security. Não pode ser deletado, mas pode ser modificado de acordo com os padrões de segurança de cada organização.

Ela reflete as posições fundamentais que foram definidas como o mínimo necessário dentro da implementação.

Aplica-se a todas as integrações que sejam configuradas, a menos que seja aplicada uma política personalizada (consulte o próximo ponto).

Políticas Personalizadas

Essas políticas são criadas quando, por algum motivo específico, você deseja que um aplicativo tenha uma política diferente da política global.

Nessas políticas, são especificados apenas os parâmetros que você deseja que sejam diferentes da política global, ou seja, seu template base é a política global e a partir dela você faz as modificações necessárias.

De Aplicação

As políticas personalizadas são aplicadas diretamente no aplicativo

Grupo

Ao aplicar a política ao aplicativo, o Duo oferece a opção de ser um pouco mais granular e especificar o grupo de usuários desse aplicativo.

Desta forma cumpre-se uma das principais premissas da Zero Trust

Limite o acesso a cada usuário e a cada aplicativo

Zero Trust

Tipos de Políticas no Duo Security

É hora de entrar em detalhes, a seguir vai uma descrição detalhada de cada política

Do Usuário

Política de Novo Usuário – New User Policy

Esta política define o que fazer quando um usuário tenta se autenticar pela primeira vez por meio do Duo.

Política Duo Security: New User Policy
Política Duo Security: New User Policy
Condições:
  • O usuário ainda não existe no Duo ou,
  • Não tem um método de segundo fator registrado
Possíveis Ações:
  • Exigir inscrição : O usuário deverá inscrever pelo menos um método de dois fatores. Opção padrão
  • Permitir acesso sem 2FA : se as credenciais primárias estiverem corretas, o acesso será permitido sem solicitar um segundo fator de autenticação. Essa política é amplamente usada para iniciar implantações de integração, como MFA para Windows Logon RDP .
  • Negar acesso : o acesso ao aplicativo é negado

Política de Autenticação – Authentication Policy

Política Duo Security: Authentication Policy
Política Duo Security: Authentication Policy
Condições
  • Tentativa de login por qualquer usuário
Possíveis Ações
  • Aplicar 2FA : Requer autenticação de dois fatores. Opção padrão
  • Bypass 2FA : Permite acesso sem solicitar fator duplo.
  • Negar acesso : Negar acesso em qualquer caso

Localização do Usuário – User Location

Avalia o endereço IP atribuído ao dispositivo do usuário que está tentando autenticar-se

Política Duo Security: User Location
Política Duo Security: User Location
Condições
  • Direção IP
  • País
Possíveis Ações
  • Nenhuma ação : Permite o acesso a partir do local indicado. Opção padrão
  • Permitir acesso sem 2FA : Se as credenciais primárias estiverem corretas, o acesso é permitido sem solicitar um segundo fator de autenticação desse local
  • Exigir 2FA : Solicitar segundo fator de autenticação
  • Negar acesso : Negar acesso desse IP ou país.

Do Dispositivo

Endpoints Confiáveis – Trusted Endpoints

Esta política é utilizada em ambientes BYOD (Bring your own Device) nos quais é avaliado se o dispositivo de acesso é gerenciado pela organização ou de propriedade do colaborador (dispositivo pessoal)

Essa validação é feita pela avaliação da presença ou não de certificado duo especial para dispositivos, verificação do MDM ou do aplicativo móvel Duo.

Condição
  • Dispositivo confiável ou não
Ações
  • Permitir todos os endpoints : permite o acesso a todos os dispositivos. Opção padrão
  • Exigir que os endpoints sejam confiáveis : permitir acesso apenas a dispositivos confiáveis
  • Permitir que o AMP for Endpoints bloqueie os endpoints comprometidos : concede energia ao Cisco AMP.

Aplicativo da Integridade do Dispositivo – Duo Device Health Application

Device Health Application é um aplicativo fornecido pela Duo Security o qual permite aumentar a granularidade dos parâmetros de integridade do dispositivo, que podem ser avaliados.

Esses parâmetros são:

  • Status do Firewall do SO
  • Status de criptografia de disco
  • Existência de senha para fazer login no dispositivo
  • Existência de algum agente de segurança, por exemplo, antivírus

Para esta aplicação temos três modos de operação possíveis

  • Não exijir que os usuários tenham o aplicativo : a instalação do aplicativo não é necessária. Opção padrão
  • Exigir que os usuários tenham o aplicativo : é necessária a instalação do aplicativo, mas não há nenhum tipo de bloqueio
  • Exigir que os usuários tenham o aplicativo e opções de bloqueio: permite negar o acesso se algumas das condições avaliadas pelo aplicativo não forem atendidas.
Política Duo Security: Device Health Application
Política Duo Security: Device Health Application

Dispositivos Lembrados – Remembered Devices

Essa opção permite que o usuário habilite o acesso sem exigir autenticação de segundo fator quando a autenticação bem-sucedida já tiver sido realizada nesse dispositivo.

Aqui é definido o tempo em que o segundo fator não será solicitado.

Sob condições bem definidas que podem indicar riscos (mudança de rede, atualizações do sistema operacional), esse tempo pode ser ignorado e a autenticação completa será solicitada.

Política Duo Security: Remembered Devices
Política Duo Security: Remembered Devices

Sistemas Operacionais – Operating Systems

Essas políticas se aplicam aos sistemas operacionais dos PCs que executam a autenticação web Duo Security, ou seja, aqueles que utilizam o Duo Prompt via web e que podem ser avaliados por meio dele.

Também se aplica a dispositivos móveis que tenham o Duo Mobile App instalado.

Os seguintes sistemas operacionais podem ser testados: Android, BlackBerry, Chrome OS, iOS, Linux, macOS, Windows e Windows Phone

Esta política é baseada na determinação do nível de atualização do sistema operacional correspondente e, com base nestas informações:

  • Permitir acesso
  • solicitar atualização
  • negar acesso
Política Duo Security: Operating Systems
Política Duo Security: Operating Systems

Navegador – Browsers

Esta política avalia o navegador do qual está solicitando-se a autenticação e determina seu nível de atualização

Com esta política você pode:

  • Restringir ou permitir o uso de navegadores específicos
  • solicitar atualização
  • Recusar acesso a navegadores desatualizados
politica duo security: navegadores o browsers
Politica Duo Security: Navegadores

Plugins

Avalia as versões Flash ou Java e permite:

  • solicitar atualização
  • negar acesso
Política Duo Security: plugins
Política Duo Security: Plugins

Redes

Redes Autorizadas – Authorized Networks

Condição

O endereço IP da rede da qual está solicitando-se a autenticação

Política Duo Security: Redes Autorizadas
Política Duo Security: Redes Autorizadas
Possíveis Ações
  • Permitir acesso sem 2FA dessas redes : Permitir acesso sem fator duplo do Duo dessas redes
  • Exigir 2FA dessas redes – Requer autenticação de segundo fator dessas redes
  • Negar acesso de todas as outras redes : negar acesso de redes não especificadas nos pontos anteriores.

Redes Anônimas – Anonymous Networks

O Duo permite detectar conexões vindas de redes anônimas como TOR e I2P, proxies HTTP/HTTPS ou VPNs anônimas.

Com esta política, podem se rejeitar conexões dessas redes.

Doença

Rede de origem da conexão

Política Duo security: Redes anônimas
Política Duo Security: Redes Anônimas
Possíveis Ações
  • Manter os requisitos de autenticação, como se fosse uma conexão normal
  • Solicitar MFA ou sem senha
  • negar acesso

Dos Autenticadores

Esta seção define os métodos de autenticação 2FA e avalia os parâmetros de segurança dos dispositivos móveis usados ​​como métodos de segundo fator.

Autenticação baseada em risco

Novo esquema de autenticação baseada em risco lançado para Public Preview em 16 de setembro de 2022.

política de autenticação baseada em risco
Política de autenticação baseada em risco

Aqui permite ativar esta funcionalidade e mostra os autenticadores disponíveis caso o Duo detecte um alto nível de risco na autenticação.

Métodos de Autenticação

Nesta opção é definida a política dos métodos de autenticação que são aceitos, na lista temos:

  • Duo Push / Verified Duo Push
  • Duo Mobile Passcodes
  • Chamada telefônica
  • SMS
  • Chaves de segurança (U2F)
  • Dispositivos WebAuthn (FIDO2)
  • Tokens
Política de autenticadores de Duo Secoruty
Política Duo Security: Métodos MFA

Você pode selecionar um, vários ou todos, dependendo de suas políticas internas de implantação do Duo.

Duo Mobile App

Com esta política, você pode forçar a atualização do aplicativo móvel Duo para funcionar como um método de MFA

Condição

Versão instalada do aplicativo Duo Mobile

Politica Duo Security: Duo Mobile App
Politica Duo Security: Duo Mobile App
Possíveis ações

Exigir ou não acesso se o aplicativo Duo Mobile não estiver atualizado

Dispositivos Adulterados – Tampered Devices

Detecta se o sistema operacional do móvel não é o fornecido pelo fabricante (equipamento “rooted” ou “jailbreaking”)

Condição

Condição de manipulação do sistema operacional do móvel

Política Duo Securityu Dispositivos adulterados - Tampered Devices
Política Duo Security: Dispositivos Manipulados
Possíveis ações

Permitir ou não o acesso caso o sistema operacional do dispositivo tenha sido adulterado

Bloqueio de Tela – Screen Lock

Detecta se o dispositivo está com a opção de bloqueio de tela ativada

Condição

Status de bloqueio da tela do dispositivo

Bloqueio de tela - Screen Lock
Política Duo Security: Bloqueio de tela – Screen Lock
Possíveis ações

Permitir ou não o acesso a dispositivos sem bloqueio de tela.

Criptografia de disco completo – Full Disk Encryption

Detecta se o dispositivo móvel possui criptografia de disco interna.

Condição

Disco interno criptografado ou não, se aplica a dispositivos Android.

Política Duo Security: Criptografia de disco completo
Política Duo Security: Criptografia de disco completo
Possíveis ações

Permitir ou não autenticação com disco sem criptografia

Biometria de Dispositivos Móveis – Mobile Device Biometrics

Detecta se o dispositivo possui algum mecanismo de bloqueio biométrico ativo.

Condição

Status de ativação do Apple Touch ID ou impressão digital no Andoid.

Biometria de dispositivos móveis
Política Duo Security: Biometria
Possíveis ações

Você pode exigir ou desbloquear o dispositivo usando a biometria do móvel.


Políticas vs. Edição de Duo Security

Na tabela a seguir resumi as políticas disponíveis em cada versão ou edição do Duo Security.

PolíticaDuo FreeDuo EssentialsDuo AdvantageDuo Premier
New Userxxxx
Authentication Policyxxx
User Locationxx
Trusted Endpointsxxx
Device Health Applicationxx
Remembered Devicesxxx
Operating Systemsxx
Browsersxx
Pluginsxx
Authorized Networksxxx
Anonymous Networksxx
Authentication Methodsxxx
Duo Mobile Appxx
Tampered Devicesxx
Screen Lockxx
Full-Disk Encryptionxx
Mobile Device Biometricsxx
Políticas disponíveis segundo a edição de Duo


Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Dicas de Implementação de Políticas no Duo Security

  • Expresse as posições padrão de sua organização na política global
  • Permita acesso temporário sem MFA a usuários desconhecidos (Política de Novo Usuário)
  • Comece testando as políticas em um grupo reduzido e controlado de usuários
  • Implemente políticas que realmente façam sentido para sua organização e os aplicativos que você protege
  • Comece solicitando a instalação do Duo Device Health, mas não aplique políticas até que você tenha clareza sobre o cenário de saúde de todos os seus dispositivos e tome ações corretivas que permitam uma implantação com menos atrito.

Perguntas Frequentes

  1. Qual é a diferença entre as diferentes edições do Duo Security?

    A diferença está nas políticas que você pode implementar, quanto mais avançada a edição Duo, mais políticas você terá disponíveis.

  2. O aplicativo Duo Device Health é um agente?

    Não, tecnicamente falando não é um agente porque só é executado sob demanda em cada autenticação

  3. Por que devo avaliar a saúde do dispositivo?

    Os hackers aproveitam as vulnerabilidades mais recentes precisamente durante a janela de tempo entre o momento em que descobrem a existência da vulnerabilidade e quando o patch é aplicado.


    É nossa responsabilidade tornar essa janela de tempo a menor possível, mantendo os dispositivos atualizados.


    Permitir o acesso a aplicativos a partir de dispositivos não seguros compromete a integridade do aplicativo e seus dados.

  4. Como faço para evitar que a um usuário específico lhe seja solicitado o fornecimento de um segundo fator?

    Neste caso, as políticas não são utilizadas, o que se faz é inserir as propriedades desse usuário e ativar a opção Bypass.

    Embora a opção recomendada para os casos em que se faz necessário realizar esse desvio é a de gerar um código de desvio para evitar que o usuário fique nesse estado por mais tempo do que o desejado.

  5. Como o Duo determina o status de saúde de um dispositivo?

    Ele faz isso de 2 maneiras:

    1) O Duo Prompt web

    2) O aplicativo Device Health

  6. Qual é o método mais seguro de segundo fator?

    Sem dúvida, são as chaves FIDO do tipo Yubico Yubikey . Os outros mecanismos têm vulnerabilidades conhecidas que, embora seja verdade que são difíceis de explorar… a possibilidade é certa.



Conclusões

Espremer as funcionalidades do Duo Security baseia-se principalmente em: proteger o maior número possível de aplicativos e aplicar políticas de segurança que nos introduzam na estrutura Zero Trust

Só assim daremos acesso seguro aos nossos ativos de TI

Referências

Duo Security Policies

Vamos trabalhar juntos
Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |