Para Zero Trust , o aspecto fundamental se relaciona com as políticas que podem ser implementadas para permitir ou não o acesso ao usuário. O Duo Security oferece políticas muito granulares que você pode implementar de forma fácil e gradual
Neste artigo falarei sobre todas as políticas que você pode implementar no Cisco Duo Security .
Para melhor entendimento, preferi deixar alguns termos técnicos em seu idioma original, o inglês.
Tabela de Conteúdo
As políticas em Zero Trust são todos os recursos de concesão ou não confiáveis .
As políticas permitem avaliar as posturas de segurança e, com base nessa avaliação, realizar ações destinadas a garantir o acesso aos ativos de TI solicitados.
Zero Trust se fundamenta na condição inicial de não confiar em ninguém até prova em contrário.
As políticas de acesso são precisamente aquelas ferramentas de avaliação que permitirão ao usuário avançar dentro do framework Zero Trust.
Você não pode pensar em uma implementação que não realiza políticas.
Cada provedor Zero Trust disponibiliza um conjunto de políticas que podem ser implementadas
A Duo Security sempre esteve na vanguarda nesse tópico e oferece opções muito amplas de posturas que você pode implementar para proteger sua infraestrutura de TI.
Aqui está uma lista e mais tarde vou detalhar cada ponto:
Além disso, essas políticas podem ser aplicadas em diferentes escopos de operação:
Detalho-os abaixo:
Política Global
A política global é padrão do Duo Security. Não pode ser deletado, mas pode ser modificado de acordo com os padrões de segurança de cada organização.
Ela reflete as posições fundamentais que foram definidas como o mínimo necessário dentro da implementação.
Aplica-se a todas as integrações que sejam configuradas, a menos que seja aplicada uma política personalizada (consulte o próximo ponto).
Essas políticas são criadas quando, por algum motivo específico, você deseja que um aplicativo tenha uma política diferente da política global.
Nessas políticas, são especificados apenas os parâmetros que você deseja que sejam diferentes da política global, ou seja, seu template base é a política global e a partir dela você faz as modificações necessárias.
As políticas personalizadas são aplicadas diretamente no aplicativo
Ao aplicar a política ao aplicativo, o Duo oferece a opção de ser um pouco mais granular e especificar o grupo de usuários desse aplicativo.
Desta forma cumpre-se uma das principais premissas da Zero Trust
Limite o acesso a cada usuário e a cada aplicativo
Zero Trust
É hora de entrar em detalhes, a seguir vai uma descrição detalhada de cada política
Esta política define o que fazer quando um usuário tenta se autenticar pela primeira vez por meio do Duo.
Avalia o endereço IP atribuído ao dispositivo do usuário que está tentando autenticar-se
Esta política é utilizada em ambientes BYOD (Bring your own Device) nos quais é avaliado se o dispositivo de acesso é gerenciado pela organização ou de propriedade do colaborador (dispositivo pessoal)
Essa validação é feita pela avaliação da presença ou não de certificado duo especial para dispositivos, verificação do MDM ou do aplicativo móvel Duo.
O Device Health Application é um aplicativo fornecido pela Duo Security o qual permite aumentar a granularidade dos parâmetros de integridade do dispositivo, que podem ser avaliados.
Esses parâmetros são:
Para esta aplicação temos três modos de operação possíveis
Essa opção permite que o usuário habilite o acesso sem exigir autenticação de segundo fator quando a autenticação bem-sucedida já tiver sido realizada nesse dispositivo.
Aqui é definido o tempo em que o segundo fator não será solicitado.
Sob condições bem definidas que podem indicar riscos (mudança de rede, atualizações do sistema operacional), esse tempo pode ser ignorado e a autenticação completa será solicitada.
Essas políticas se aplicam aos sistemas operacionais dos PCs que executam a autenticação web Duo Security, ou seja, aqueles que utilizam o Duo Prompt via web e que podem ser avaliados por meio dele.
Também se aplica a dispositivos móveis que tenham o Duo Mobile App instalado.
Os seguintes sistemas operacionais podem ser testados: Android, BlackBerry, Chrome OS, iOS, Linux, macOS, Windows e Windows Phone
Esta política é baseada na determinação do nível de atualização do sistema operacional correspondente e, com base nestas informações:
Esta política avalia o navegador do qual está solicitando-se a autenticação e determina seu nível de atualização
Com esta política você pode:
Avalia as versões Flash ou Java e permite:
O endereço IP da rede da qual está solicitando-se a autenticação
O Duo permite detectar conexões vindas de redes anônimas como TOR e I2P, proxies HTTP/HTTPS ou VPNs anônimas.
Com esta política, podem se rejeitar conexões dessas redes.
Rede de origem da conexão
Esta seção define os métodos de autenticação 2FA e avalia os parâmetros de segurança dos dispositivos móveis usados como métodos de segundo fator.
Novo esquema de autenticação baseada em risco lançado para Public Preview em 16 de setembro de 2022.
Aqui permite ativar esta funcionalidade e mostra os autenticadores disponíveis caso o Duo detecte um alto nível de risco na autenticação.
Nesta opção é definida a política dos métodos de autenticação que são aceitos, na lista temos:
Você pode selecionar um, vários ou todos, dependendo de suas políticas internas de implantação do Duo.
Com esta política, você pode forçar a atualização do aplicativo móvel Duo para funcionar como um método de MFA
Versão instalada do aplicativo Duo Mobile
Exigir ou não acesso se o aplicativo Duo Mobile não estiver atualizado
Detecta se o sistema operacional do móvel não é o fornecido pelo fabricante (equipamento “rooted” ou “jailbreaking”)
Condição de manipulação do sistema operacional do móvel
Permitir ou não o acesso caso o sistema operacional do dispositivo tenha sido adulterado
Detecta se o dispositivo está com a opção de bloqueio de tela ativada
Status de bloqueio da tela do dispositivo
Permitir ou não o acesso a dispositivos sem bloqueio de tela.
Detecta se o dispositivo móvel possui criptografia de disco interna.
Disco interno criptografado ou não, se aplica a dispositivos Android.
Permitir ou não autenticação com disco sem criptografia
Detecta se o dispositivo possui algum mecanismo de bloqueio biométrico ativo.
Status de ativação do Apple Touch ID ou impressão digital no Andoid.
Você pode exigir ou desbloquear o dispositivo usando a biometria do móvel.
Na tabela a seguir resumi as políticas disponíveis em cada versão ou edição do Duo Security.
| Política | Duo Free | Duo Essentials | Duo Advantage | Duo Premier |
| New User | x | x | x | x |
| Authentication Policy | x | x | x | |
| User Location | x | x | ||
| Trusted Endpoints | x | x | x | |
| Device Health Application | x | x | ||
| Remembered Devices | x | x | x | |
| Operating Systems | x | x | ||
| Browsers | x | x | ||
| Plugins | x | x | ||
| Authorized Networks | x | x | x | |
| Anonymous Networks | x | x | ||
| Authentication Methods | x | x | x | |
| Duo Mobile App | x | x | ||
| Tampered Devices | x | x | ||
| Screen Lock | x | x | ||
| Full-Disk Encryption | x | x | ||
| Mobile Device Biometrics | x | x |
A diferença está nas políticas que você pode implementar, quanto mais avançada a edição Duo, mais políticas você terá disponíveis.
Não, tecnicamente falando não é um agente porque só é executado sob demanda em cada autenticação
Os hackers aproveitam as vulnerabilidades mais recentes precisamente durante a janela de tempo entre o momento em que descobrem a existência da vulnerabilidade e quando o patch é aplicado.
É nossa responsabilidade tornar essa janela de tempo a menor possível, mantendo os dispositivos atualizados.
Permitir o acesso a aplicativos a partir de dispositivos não seguros compromete a integridade do aplicativo e seus dados.
Neste caso, as políticas não são utilizadas, o que se faz é inserir as propriedades desse usuário e ativar a opção Bypass.
Embora a opção recomendada para os casos em que se faz necessário realizar esse desvio é a de gerar um código de desvio para evitar que o usuário fique nesse estado por mais tempo do que o desejado.
Ele faz isso de 2 maneiras:
1) O Duo Prompt web
2) O aplicativo Device Health
Sem dúvida, são as chaves FIDO do tipo Yubico Yubikey . Os outros mecanismos têm vulnerabilidades conhecidas que, embora seja verdade que são difíceis de explorar… a possibilidade é certa.
Espremer as funcionalidades do Duo Security baseia-se principalmente em: proteger o maior número possível de aplicativos e aplicar políticas de segurança que nos introduzam na estrutura Zero Trust
Só assim daremos acesso seguro aos nossos ativos de TI
Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |
Esta entrada ha sido publicada el 20 de agosto de 2022
Vamos trabalhar juntos, fazer um PoC gratuito por meio de um MSP
Esta web usa cookies.
Leer más...
