Inicio » Zero Trust » ¿Qué es Duo Security de Cisco?

¿Qué es Duo Security de Cisco?

Cisco Duo Security Funcionamiento

Cisco Duo Security es un SaaS (Software as a Service) que pertenece a la suite Cisco Secure, producto de su adquisición por parte de Cisco Systems en el año 2018.

Su principal servicio es proveer Autenticación de Múltiples Factores (Multi-factor Authentication) a múltiples aplicaciones y con múltiples dispositivos 2FA.

Sin embargo este MFA de Cisco es solo el fundamento de una arquitectura Zero Trust y Beyond Corp que se lleva a cabo a través de políticas adaptativas de acceso que Duo ofrece.

En este artículo te mostraré cómo funciona Duo Security desde su arquitectura hasta las principales integraciones que provee.

Para qué Sirve Duo Security

Integrar Zero Trust y MFA puede sonar como algo muy difícil de implementar, y de hecho existen muchísimas maneras de hacerlo y cada fabricante ofrece opciones para asegurar su producto.

El problema radica en que si comienzas a implementar de forma independiente (producto por producto) terminas con una infraestructura Zero Trust heterogénea que hace prácticamente imposible o económicamente inviable de adminstrar.

Imagina que implementas de forma independiente:

  • MFA de Microsoft Azure
  • MFA para VPN Cisco ASA
  • MFA para Google Workspace
  • MFA para Office 365

Al final del día, tu usuario final tendrá:

  • Diferentes métodos MFA según la aplicación que quiera acceder
  • Experiencias de usuario MFA diferentes
  • Mayor fricción e incomodidad

Duo Security de Cisco Systems integra todos los MFA en una sola plataforma donde:

  • Tendrá una misma experiencia de usuario MFA sin importar la aplicación a la cual acceda
  • Podrá escoger el método MFA que le parezca más cómodo (Yubikey WebAuthn, Aplicación de Autenticación, Push, Token, etc)
  • Los administradores solo tienen una consola de administración para todo el MFA.
Métodos de Segundo Factor compatibles con Cisco Duo Security
Múltiples Métodos de Segundo Factor

Y esto es solo el comienzo, luego del MFA normal que todos conocemos, Duo Security hace que este MFA sea adaptativo

MFA Adaptativo significa que el acceso no solo se limita una autenticación de doble factor exitosa, sino que se evalúen posturas de seguridad que amplíen el rango de acciones de seguridad que puedas ejecutar, por ejemplo:

  • Restringir el uso de equipos personales
  • Limitar las áreas geográficas de acceso
  • Permitir el acceso sólo desde dispositivos saludables
Arquitectura Zero Trust de Duo Security
Arquitectura Zero Trust de Duo Security

Beneficios de Tener Duo Security de Cisco

Ya la mera posibilidad de fácil implementación de Zero Trust un factor determinante dentro de los beneficios de Cisco Duo Security.

Sin embargo, a continuación te enumero otros beneficios colaterales:

  • Mitigas el 81% de los riesgos de seguridad
    • La usurpación de identidad es la mayor de las brechas existentes
  • Implementación en días
    • Integraciones ya probadas y excelentemente documentadas. Lo que lo hace una implementación sencilla y rápida
  • Mínimo Costo Total de Propiedad (TCO)
    • Al ser SaaS, prácticamente no hay inversión en hardware On-Premises, ni en mantenimiento, electricidad, HVAC ni espacio
  • Beyond Corp y Zero Trust disponibles desde el día 1
    • No existen largos tiempos de instalación, al adquirir tu tenant ya dispones de todo lo que necesitas para implementar Zero Trust
  • Posibilidad de gestión vía un MSP
    • El esquema natural de Duo Security contempla la existencia de MSP (Managed Service Providers) que son Partners especializados que pueden darte una instancia o tenant y hasta administrarlo por ti, si tu quisieras.

Yo trabajo para un MSP y puedo ayudarte a crear tu Tenant y Probar Duo sin costo.

Especialista en Ciberseguridad Zero Trust y Duo Cisco MFA
Abramos tu Tenant Gratuito de Duo Security y Hagamos una Prueba de Concepto

Duo es una Empresa 100% Dedicada a la Seguridad

Para Duo, MFA y Zero Trust no son un Add-on, por el contrario son su foco primario; es lo único que hacen. Por lo que al tenerlo, estás en manos de gente que realmente es especialista.

Cumplir con Normativas

PCI, NIST, HIPAA, GDPR, FFIEC son solo algunas de las normas internacionales que recomiendan el uso de MFA y Zero Trust para el acceso de los usuarios a los activos de TI.

Inscripción Automática de Usuarios

El proceso de enroll de usuarios es automático y bajo filosofía de auto-servicio, lo que disminuye el trabajo administrativo de crear, configurar y asignar métodos 2FA

El usuario tiene la flexibilidad de escoger el método 2FA que le sea más conveniente.

Autoservicio de inscripción 2FA en Duo Security
Autoservicio de inscripción 2FA en Duo Security

Arquitectura de Funcionamiento de Duo Security de Cisco

Diagrama funcional de Duo Security
Arquitectura de Duo Security de Cisco

Cómo Funciona Duo Security

Los módulos principales de Cisco Duo Security tienen funciones específicas que permiten:

En ese mismo orden es que se realiza la configuración de Duo Security y a continuación las detallo.

Integración con Directorios

Cisco Duo Security requiere conocer a todos los usuarios que son susceptibles a ser autenticados a través de sus servicios, para ello, hay diferentes métodos:

  • Creación manual: puedes crear los usuarios uno a uno de forma local en Duo.
  • Importación manual por lotes: vía archivo CSV puedes hacer subidas masivas de usuarios.
  • Integración con Directorio Activo. LDAP, OpenLDAP: A través del Duo Authentication Proxy, puedes sincronizar usuarios o grupos desde un Directorio Activo de Microsoft o directorios LDAP estándar.
  • Integración con Azure AD: vía autorizaciones, puedes leer un directorio Azure AD.
Panel de Usuarios en Cisco Duo
Panel de Usuarios en Duo

Gestión de Métodos MFA

Una vez que se conocen los usuarios, éstos pasan por un proceso de inscripción o enrollment donde ellos, a modo de autoservicio, se añaden al menos un autenticador o método 2FA.

Luego Duo te permite administrar esos dispositivos de forma unificada, así que si, por ejemplo alguien pierde un token, solo entras a Duo y eliminas el token y ya queda deshabilitado para todas las aplicaciones aseguradas con Duo.

Panel de Dispositivos MFA en Cisco duos ecurity
Panel de Dispositivos MFA

Protocolos de Autenticación

Ya tienes a los usuarios y a sus métodos de 2FA, ahora llega el momento de asegurar aplicaciones, para ello, lo único que necesitas es configurar en esa aplicación que la autenticación primaria (usuario y contraseña) la realizará un tercero, en este caso Cisco Duo Security.

Cisco Duo Security es multiprotocolo y es lo que hace factible que cualquier aplicación pueda autenticarse a través de él.

Tenemos, por ejemplo, autenticaciones vía:

  • SAML
  • OIDC
  • LDAP / LDAPS
  • RADIUS
  • Duo Web SDK

Este nivel de estandarización es el que te permite que virtualmente toda aplicación moderna pueda derivar su autenticación hacia Duo.

Conexión con Cisco Duo Security

Una vez que la aplicación deriva su autenticación primaria y ésta es exitosa, es necesario solicitar a Cisco Duo que envíe una solicitud de autenticación de segnudo factor.

Esto se realiza vía API’s que ya están fácilmente disponibles en las mismas aplicaciones integradas.

Al asegurar cualquier aplicación en Cisco Duo, tienes 3 parámetros fundamentales de conexión:

  • API Hostame: nombre DNS del servidor o servidores con los cuales acceder al servicio de Cisco Duo Security
  • Integration Key: Identificador de la aplicación dentro del tenant
  • Secret Key: Contraseña específica de la aplicación

Con estos 3 parámetros y bajo comunicación SSL se interactúa con Duo y éste entonces envía la autenticación de segundo factor.

en este punto es importante considerar que si no se alcanzan los servicios de Duo, existe la posibilidad de trabajar en dos modos de operación en caso de falla de Duo.

Motor de Control de Acceso

Una vez autenticado por completo (usuario+contraseña+2FA) el usuario y su dispositivo de acceso son enviados a un filtro de políticas de acceso que es donde nace la implementación Zero Trust y Beyond Corp que Duo ofrece.

Es acá donde puedes evaluar una gran cantidad de posturas de seguridad que te permiten un sin fin de controles de acceso que realmente asegurarán a tus activos de TI.


Integraciones Disponibles

Debido a su carácter abierto y multiprotocolo, son un sinfín las aplicaciones que pueden ser integradas o aseguradas por Duo.

A continuación un listado de las más importantes:

VPN (Virtual Private Networks)

  • Cisco ASA
  • Firewalls Juniper Networks
  • VPN Palo Alto
  • VPN Pulse Secure

Aplicaciones Cloud

  • Google Workspace
  • Salesforce
  • Dropbox
  • Box

Aplicaciones Microsoft

Principales Aplicaciones Compatibles con Duo
Principales Aplicaciones Compatibles con Duo

El listado completo y los procedimientos de configuración lo puedes conseguir en la página de documentación oficial


UX Homogénea

Ya conoces la arquitectura, ahora uno de los puntos más convenientes de Cisco Duo Security: La interfaz de autenticación o el Duo Universal Prompt.

Todas estas aplicaciones aseguradas con MFA, con múltiples métodos de autenticación, con una sola plataforma de gestión, tendrán y con una misma UX (experiencia de usuario).

Esto disminuye la fricción al usuario final y da una mayor garantía de éxito para tu proyecto Zero Trust

Cisco Duo Universal Prompt
Duo Universal Prompt

Cisco Duo Security y Single Sign-on (SSO)

Cuando integras una aplicación a Duo Security, por definición, se deriva la autenticación primaria a tu proveedor de identidades, llámese Directorio Activo u otro.

A medida que vas asegurando aplicaciones con Cisco Duo Security lo que vas logrando es un inicio de sesión único SSO, donde cada usuario tendrá solo un nombre de usuario y una sola contraseña.

SSO es una característica que disminuye la fricción del usuario al no tener que recordar tantas contraseñas, disminuyendo así el riesgo de exposición.

Duo ofrece el Duo Central que es un portal de acceso SSO donde cada usuario al ingresar se le despliega una ventana con todas las aplicaciones que tiene disponibles para Single Sign-On

Ejemplo del portal Duo Central
Ejemplo del portal Duo Central

Licenciamiento y Ediciones

Cisco Duo security es un SaaS cuyo licenciamiento es por usuario registrado en Duo, sin importar cuántas aplicaciones se aseguren.

Es decir un usuario con una aplicación vale lo mismo que un usuario con 20 aplicaciones aseguradas

De acá la importancia de contar con un MSP que te ayude a sacar el máximo provecho de Duo asegurando la mayor cantidad de aplicaciones posible.

Duo viene en 3 ediciones

  • Duo Essentials (Antes Duo MFA)
  • Duo Advantage ( Antes Duo Access)
  • Duo Premier (Antes Duo Beyond)

Cada edición posee las mismas características de la anterior, pero añade políticas adicionales que aumentan la granuralidad de las posturas de seguridad que quieras implementar.

Cuadro comparativo de ediciones de duo security
Fuente: Duo Security

Detalle completo de los precios de Duo Security en https://duo.com/pricing/

Preguntas Frecuentes

  1. ¿Puedo instalar Duo Security on-Premises?

    No, Duo security es un SaaS netamente cloud. On-Premises solo se instala un Proxy de Autenticación para no tener que exponer tu Directorio Activo a la internet.

  2. ¿Puedo usar la aplicación Duo Mobile sin contratar el servicio de Duo?

    Si, Duo Mobile funciona como cualquier Autenticador en tu móvil, sólo instálalo y configura el MFA de la cuenta que requieras.

  3. ¿Puede un usuario tener más de un método 2FA configurado en Duo?

    Si, puede tener cualquier método (push, passcode, yubikey, token
    De hecho, puede tener varios dispositivos de un mismo método, por ejemplo puede tenvarias yubikeys o varios teléfonos para recibir notificaciones push.

  4. ¿Puedo asignar un dispositivo 2FA a múltiples usuarios de Duo Security?

    Si, en Duo Security un dispositivo 2FA se puede asociar a varios usuarios aunque no es una práctica recomendada

  5. ¿Puedo integrar a Duo Security una aplicación web de desarrollada in house?

    Si, Duo provee un Web SDK que te otorga funciones para conectarte a Duo desde cualquier aplicación web.

Conclusiones

Cisco Duo Security es sin lugar a Dudas el mejor servicio de ciberseguridad MFA y Zero Trust.

Su principal beneficio es la unificación de la administración de MFA para múltiples aplicaciones

El mejor esquema de trabajo es a través de un MSP especialista quien te ayudará con una Prueba de Concepto PoC y en solo días podrás ver resultados.

Especialista en Ciberseguridad Zero Trust y Duo Cisco MFA
Abramos tu Tenant Gratuito de Duo Security y Hagamos una Prueba de Concepto

Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *