Cisco Duo Security es un SaaS (Software as a Service) que pertenece a la suite Cisco Secure, producto de su adquisición por parte de Cisco Systems en el año 2018.
Su principal servicio es proveer Autenticación de Múltiples Factores (Multi-factor Authentication) a múltiples aplicaciones y con múltiples dispositivos 2FA.
Sin embargo este MFA de Cisco es solo el fundamento de una arquitectura Zero Trust y Beyond Corp que se lleva a cabo a través de polÃticas adaptativas de acceso que Duo ofrece.
En este artÃculo te mostraré cómo funciona Duo Security desde su arquitectura hasta las principales integraciones que provee.
Para qué Sirve Duo Security
Integrar Zero Trust y MFA puede sonar como algo muy difÃcil de implementar, y de hecho existen muchÃsimas maneras de hacerlo y cada fabricante ofrece opciones para asegurar su producto.
El problema radica en que si comienzas a implementar de forma independiente (producto por producto) terminas con una infraestructura Zero Trust heterogénea que hace prácticamente imposible o económicamente inviable de adminstrar.
Imagina que implementas de forma independiente:
- MFA de Microsoft Azure
- MFA para VPN Cisco ASA
- MFA para Google Workspace
- MFA para Office 365
Al final del dÃa, tu usuario final tendrá:
- Diferentes métodos MFA según la aplicación que quiera acceder
- Experiencias de usuario MFA diferentes
- Mayor fricción e incomodidad
Duo Security de Cisco Systems integra todos los MFA en una sola plataforma donde:
- Tendrá una misma experiencia de usuario MFA sin importar la aplicación a la cual acceda
- Podrá escoger el método MFA que le parezca más cómodo (Yubikey WebAuthn, Aplicación de Autenticación, Push, Token, etc)
- Los administradores solo tienen una consola de administración para todo el MFA.
Y esto es solo el comienzo, luego del MFA normal que todos conocemos, Duo Security hace que este MFA sea adaptativo
MFA Adaptativo significa que el acceso no solo se limita una autenticación de doble factor exitosa, sino que se evalúen posturas de seguridad que amplÃen el rango de acciones de seguridad que puedas ejecutar, por ejemplo:
- Restringir el uso de equipos personales
- Limitar las áreas geográficas de acceso
- Permitir el acceso sólo desde dispositivos saludables
Beneficios de Tener Duo Security de Cisco
Ya la mera posibilidad de fácil implementación de Zero Trust un factor determinante dentro de los beneficios de Cisco Duo Security.
Sin embargo, a continuación te enumero otros beneficios colaterales:
- Mitigas el 81% de los riesgos de seguridad
- La usurpación de identidad es la mayor de las brechas existentes
- Implementación en dÃas
- Integraciones ya probadas y excelentemente documentadas. Lo que lo hace una implementación sencilla y rápida
- MÃnimo Costo Total de Propiedad (TCO)
- Al ser SaaS, prácticamente no hay inversión en hardware On-Premises, ni en mantenimiento, electricidad, HVAC ni espacio
- Beyond Corp y Zero Trust disponibles desde el dÃa 1
- No existen largos tiempos de instalación, al adquirir tu tenant ya dispones de todo lo que necesitas para implementar Zero Trust
- Posibilidad de gestión vÃa un MSP
- El esquema natural de Duo Security contempla la existencia de MSP (Managed Service Providers) que son Partners especializados que pueden darte una instancia o tenant y hasta administrarlo por ti, si tu quisieras.
Yo trabajo para un MSP y puedo ayudarte a crear tu Tenant y Probar Duo sin costo.
Duo es una Empresa 100% Dedicada a la Seguridad
Para Duo, MFA y Zero Trust no son un Add-on, por el contrario son su foco primario; es lo único que hacen. Por lo que al tenerlo, estás en manos de gente que realmente es especialista.
Cumplir con Normativas
PCI, NIST, HIPAA, GDPR, FFIEC son solo algunas de las normas internacionales que recomiendan el uso de MFA y Zero Trust para el acceso de los usuarios a los activos de TI.
Inscripción Automática de Usuarios
El proceso de enroll de usuarios es automático y bajo filosofÃa de auto-servicio, lo que disminuye el trabajo administrativo de crear, configurar y asignar métodos 2FA
El usuario tiene la flexibilidad de escoger el método 2FA que le sea más conveniente.
Arquitectura de Funcionamiento de Duo Security de Cisco
Cómo Funciona Duo Security
Los módulos principales de Cisco Duo Security tienen funciones especÃficas que permiten:
- La creación, carga o sincronización usuarios
- Configuración de la Autenticación Duo 2FA usando métodos autenticadores de doble factor
- Integración con las aplicaciones (derivación de la autenticación)
- PolÃticas y control de acceso a nivel de usuarios, grupos, dispositivos y aplicaciones (Zero Trust)
En ese mismo orden es que se realiza la configuración de Duo Security y a continuación las detallo.
Integración con Directorios
Cisco Duo Security requiere conocer a todos los usuarios que son susceptibles a ser autenticados a través de sus servicios, para ello, hay diferentes métodos:
- Creación manual: puedes crear los usuarios uno a uno de forma local en Duo.
- Importación manual por lotes: vÃa archivo CSV puedes hacer subidas masivas de usuarios.
- Integración con Directorio Activo. LDAP, OpenLDAP: A través del Duo Authentication Proxy, puedes sincronizar usuarios o grupos desde un Directorio Activo de Microsoft o directorios LDAP estándar.
- Integración con Azure AD: vÃa autorizaciones, puedes leer un directorio Azure AD.
Gestión de Métodos MFA
Una vez que se conocen los usuarios, éstos pasan por un proceso de inscripción o enrollment donde ellos, a modo de autoservicio, se añaden al menos un autenticador o método 2FA.
Luego Duo te permite administrar esos dispositivos de forma unificada, asà que si, por ejemplo alguien pierde un token, solo entras a Duo y eliminas el token y ya queda deshabilitado para todas las aplicaciones aseguradas con Duo.
Protocolos de Autenticación
Ya tienes a los usuarios y a sus métodos de 2FA, ahora llega el momento de asegurar aplicaciones, para ello, lo único que necesitas es configurar en esa aplicación que la autenticación primaria (usuario y contraseña) la realizará un tercero, en este caso Cisco Duo Security.
Cisco Duo Security es multiprotocolo y es lo que hace factible que cualquier aplicación pueda autenticarse a través de él.
Tenemos, por ejemplo, autenticaciones vÃa:
- SAML
- OIDC
- LDAP / LDAPS
- RADIUS
- Duo Web SDK
Este nivel de estandarización es el que te permite que virtualmente toda aplicación moderna pueda derivar su autenticación hacia Duo.
Conexión con Cisco Duo Security
Una vez que la aplicación deriva su autenticación primaria y ésta es exitosa, es necesario solicitar a Cisco Duo que envÃe una solicitud de autenticación de segnudo factor.
Esto se realiza vÃa API’s que ya están fácilmente disponibles en las mismas aplicaciones integradas.
Al asegurar cualquier aplicación en Cisco Duo, tienes 3 parámetros fundamentales de conexión:
- API Hostame: nombre DNS del servidor o servidores con los cuales acceder al servicio de Cisco Duo Security
- Integration Key: Identificador de la aplicación dentro del tenant
- Secret Key: Contraseña especÃfica de la aplicación
Con estos 3 parámetros y bajo comunicación SSL se interactúa con Duo y éste entonces envÃa la autenticación de segundo factor.
en este punto es importante considerar que si no se alcanzan los servicios de Duo, existe la posibilidad de trabajar en dos modos de operación en caso de falla de Duo.
Motor de Control de Acceso
Una vez autenticado por completo (usuario+contraseña+2FA) el usuario y su dispositivo de acceso son enviados a un filtro de polÃticas de acceso que es donde nace la implementación Zero Trust y Beyond Corp que Duo ofrece.
Es acá donde puedes evaluar una gran cantidad de posturas de seguridad que te permiten un sin fin de controles de acceso que realmente asegurarán a tus activos de TI.
Integraciones Disponibles
Debido a su carácter abierto y multiprotocolo, son un sinfÃn las aplicaciones que pueden ser integradas o aseguradas por Duo.
A continuación un listado de las más importantes:
VPN (Virtual Private Networks)
- Cisco ASA
- Firewalls Juniper Networks
- VPN Palo Alto
- VPN Pulse Secure
Aplicaciones Cloud
- Google Workspace
- Salesforce
- Dropbox
- Box
Aplicaciones Microsoft
- Office 365
- Outlook
- Inicio de Sesión Windows o al Escritorio Remoto RDP
El listado completo y los procedimientos de configuración lo puedes conseguir en la página de documentación oficial
UX Homogénea
Ya conoces la arquitectura, ahora uno de los puntos más convenientes de Cisco Duo Security: La interfaz de autenticación o el Duo Universal Prompt.
Todas estas aplicaciones aseguradas con MFA, con múltiples métodos de autenticación, con una sola plataforma de gestión, tendrán y con una misma UX (experiencia de usuario).
Esto disminuye la fricción al usuario final y da una mayor garantÃa de éxito para tu proyecto Zero Trust
Cisco Duo Security y Single Sign-on (SSO)
Cuando integras una aplicación a Duo Security, por definición, se deriva la autenticación primaria a tu proveedor de identidades, llámese Directorio Activo u otro.
A medida que vas asegurando aplicaciones con Cisco Duo Security lo que vas logrando es un inicio de sesión único SSO, donde cada usuario tendrá solo un nombre de usuario y una sola contraseña.
SSO es una caracterÃstica que disminuye la fricción del usuario al no tener que recordar tantas contraseñas, disminuyendo asà el riesgo de exposición.
Duo ofrece el Duo Central que es un portal de acceso SSO donde cada usuario al ingresar se le despliega una ventana con todas las aplicaciones que tiene disponibles para Single Sign-On
Licenciamiento y Ediciones
Cisco Duo security es un SaaS cuyo licenciamiento es por usuario registrado en Duo, sin importar cuántas aplicaciones se aseguren.
Es decir un usuario con una aplicación vale lo mismo que un usuario con 20 aplicaciones aseguradas
De acá la importancia de contar con un MSP que te ayude a sacar el máximo provecho de Duo asegurando la mayor cantidad de aplicaciones posible.
Duo viene en 3 ediciones
- Duo Essentials (Antes Duo MFA)
- Duo Advantage ( Antes Duo Access)
- Duo Premier (Antes Duo Beyond)
Cada edición posee las mismas caracterÃsticas de la anterior, pero añade polÃticas adicionales que aumentan la granuralidad de las posturas de seguridad que quieras implementar.
Detalle completo de los precios de Duo Security en https://duo.com/pricing/
Preguntas Frecuentes
¿Puedo instalar Duo Security on-Premises?
No, Duo security es un SaaS netamente cloud. On-Premises solo se instala un Proxy de Autenticación para no tener que exponer tu Directorio Activo a la internet.
¿Puedo usar la aplicación Duo Mobile sin contratar el servicio de Duo?
Si, Duo Mobile funciona como cualquier Autenticador en tu móvil, sólo instálalo y configura el MFA de la cuenta que requieras.
¿Puede un usuario tener más de un método 2FA configurado en Duo?
Si, puede tener cualquier método (push, passcode, yubikey, token
De hecho, puede tener varios dispositivos de un mismo método, por ejemplo puede tenvarias yubikeys o varios teléfonos para recibir notificaciones push.¿Puedo asignar un dispositivo 2FA a múltiples usuarios de Duo Security?
Si, en Duo Security un dispositivo 2FA se puede asociar a varios usuarios aunque no es una práctica recomendada
¿Puedo integrar a Duo Security una aplicación web de desarrollada in house?
Si, Duo provee un Web SDK que te otorga funciones para conectarte a Duo desde cualquier aplicación web.
Conclusiones
Cisco Duo Security es sin lugar a Dudas el mejor servicio de ciberseguridad MFA y Zero Trust.
Su principal beneficio es la unificación de la administración de MFA para múltiples aplicaciones
El mejor esquema de trabajo es a través de un MSP especialista quien te ayudará con una Prueba de Concepto PoC y en solo dÃas podrás ver resultados.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
