Cisco Duo Security es un SaaS (Software as a Service) que pertenece a la suite Cisco Secure, producto de su adquisición por parte de Cisco Systems en el año 2018.
Su principal servicio es proveer Autenticación de Múltiples Factores (Multi-factor Authentication) a múltiples aplicaciones y con múltiples dispositivos 2FA.
Sin embargo este MFA de Cisco es solo el fundamento de una arquitectura Zero Trust y Beyond Corp que se lleva a cabo a través de políticas adaptativas de acceso que Duo ofrece.
En este artículo te mostraré cómo funciona Duo Security desde su arquitectura hasta las principales integraciones que provee.
Tabla de Contenidos
Integrar Zero Trust y MFA puede sonar como algo muy difícil de implementar, y de hecho existen muchísimas maneras de hacerlo y cada fabricante ofrece opciones para asegurar su producto.
El problema radica en que si comienzas a implementar de forma independiente (producto por producto) terminas con una infraestructura Zero Trust heterogénea que hace prácticamente imposible o económicamente inviable de adminstrar.
Imagina que implementas de forma independiente:
Al final del día, tu usuario final tendrá:
Duo Security de Cisco Systems integra todos los MFA en una sola plataforma donde:
Y esto es solo el comienzo, luego del MFA normal que todos conocemos, Duo Security hace que este MFA sea adaptativo
MFA Adaptativo significa que el acceso no solo se limita una autenticación de doble factor exitosa, sino que se evalúen posturas de seguridad que amplíen el rango de acciones de seguridad que puedas ejecutar, por ejemplo:
Ya la mera posibilidad de fácil implementación de Zero Trust un factor determinante dentro de los beneficios de Cisco Duo Security.
Sin embargo, a continuación te enumero otros beneficios colaterales:
Yo trabajo para un MSP y puedo ayudarte a crear tu Tenant y Probar Duo sin costo.
Para Duo, MFA y Zero Trust no son un Add-on, por el contrario son su foco primario; es lo único que hacen. Por lo que al tenerlo, estás en manos de gente que realmente es especialista.
PCI, NIST, HIPAA, GDPR, FFIEC son solo algunas de las normas internacionales que recomiendan el uso de MFA y Zero Trust para el acceso de los usuarios a los activos de TI.
El proceso de enroll de usuarios es automático y bajo filosofía de auto-servicio, lo que disminuye el trabajo administrativo de crear, configurar y asignar métodos 2FA
El usuario tiene la flexibilidad de escoger el método 2FA que le sea más conveniente.
Los módulos principales de Cisco Duo Security tienen funciones específicas que permiten:
En ese mismo orden es que se realiza la configuración de Duo Security y a continuación las detallo.
Cisco Duo Security requiere conocer a todos los usuarios que son susceptibles a ser autenticados a través de sus servicios, para ello, hay diferentes métodos:
Una vez que se conocen los usuarios, éstos pasan por un proceso de inscripción o enrollment donde ellos, a modo de autoservicio, se añaden al menos un autenticador o método 2FA.
Luego Duo te permite administrar esos dispositivos de forma unificada, así que si, por ejemplo alguien pierde un token, solo entras a Duo y eliminas el token y ya queda deshabilitado para todas las aplicaciones aseguradas con Duo.
Ya tienes a los usuarios y a sus métodos de 2FA, ahora llega el momento de asegurar aplicaciones, para ello, lo único que necesitas es configurar en esa aplicación que la autenticación primaria (usuario y contraseña) la realizará un tercero, en este caso Cisco Duo Security.
Cisco Duo Security es multiprotocolo y es lo que hace factible que cualquier aplicación pueda autenticarse a través de él.
Tenemos, por ejemplo, autenticaciones vía:
Este nivel de estandarización es el que te permite que virtualmente toda aplicación moderna pueda derivar su autenticación hacia Duo.
Una vez que la aplicación deriva su autenticación primaria y ésta es exitosa, es necesario solicitar a Cisco Duo que envíe una solicitud de autenticación de segnudo factor.
Esto se realiza vía API’s que ya están fácilmente disponibles en las mismas aplicaciones integradas.
Al asegurar cualquier aplicación en Cisco Duo, tienes 3 parámetros fundamentales de conexión:
Con estos 3 parámetros y bajo comunicación SSL se interactúa con Duo y éste entonces envía la autenticación de segundo factor.
en este punto es importante considerar que si no se alcanzan los servicios de Duo, existe la posibilidad de trabajar en dos modos de operación en caso de falla de Duo.
Una vez autenticado por completo (usuario+contraseña+2FA) el usuario y su dispositivo de acceso son enviados a un filtro de políticas de acceso que es donde nace la implementación Zero Trust y Beyond Corp que Duo ofrece.
Es acá donde puedes evaluar una gran cantidad de posturas de seguridad que te permiten un sin fin de controles de acceso que realmente asegurarán a tus activos de TI.
Debido a su carácter abierto y multiprotocolo, son un sinfín las aplicaciones que pueden ser integradas o aseguradas por Duo.
A continuación un listado de las más importantes:
El listado completo y los procedimientos de configuración lo puedes conseguir en la página de documentación oficial
Ya conoces la arquitectura, ahora uno de los puntos más convenientes de Cisco Duo Security: La interfaz de autenticación o el Duo Universal Prompt.
Todas estas aplicaciones aseguradas con MFA, con múltiples métodos de autenticación, con una sola plataforma de gestión, tendrán y con una misma UX (experiencia de usuario).
Esto disminuye la fricción al usuario final y da una mayor garantía de éxito para tu proyecto Zero Trust
Cuando integras una aplicación a Duo Security, por definición, se deriva la autenticación primaria a tu proveedor de identidades, llámese Directorio Activo u otro.
A medida que vas asegurando aplicaciones con Cisco Duo Security lo que vas logrando es un inicio de sesión único SSO, donde cada usuario tendrá solo un nombre de usuario y una sola contraseña.
SSO es una característica que disminuye la fricción del usuario al no tener que recordar tantas contraseñas, disminuyendo así el riesgo de exposición.
Duo ofrece el Duo Central que es un portal de acceso SSO donde cada usuario al ingresar se le despliega una ventana con todas las aplicaciones que tiene disponibles para Single Sign-On
Cisco Duo security es un SaaS cuyo licenciamiento es por usuario registrado en Duo, sin importar cuántas aplicaciones se aseguren.
Es decir un usuario con una aplicación vale lo mismo que un usuario con 20 aplicaciones aseguradas
De acá la importancia de contar con un MSP que te ayude a sacar el máximo provecho de Duo asegurando la mayor cantidad de aplicaciones posible.
Duo viene en 3 ediciones
Cada edición posee las mismas características de la anterior, pero añade políticas adicionales que aumentan la granuralidad de las posturas de seguridad que quieras implementar.
Detalle completo de los precios de Duo Security en https://duo.com/pricing/
No, Duo security es un SaaS netamente cloud. On-Premises solo se instala un Proxy de Autenticación para no tener que exponer tu Directorio Activo a la internet.
Si, Duo Mobile funciona como cualquier Autenticador en tu móvil, sólo instálalo y configura el MFA de la cuenta que requieras.
Si, puede tener cualquier método (push, passcode, yubikey, token
De hecho, puede tener varios dispositivos de un mismo método, por ejemplo puede tenvarias yubikeys o varios teléfonos para recibir notificaciones push.
Si, en Duo Security un dispositivo 2FA se puede asociar a varios usuarios aunque no es una práctica recomendada
Si, Duo provee un Web SDK que te otorga funciones para conectarte a Duo desde cualquier aplicación web.
Cisco Duo Security es sin lugar a Dudas el mejor servicio de ciberseguridad MFA y Zero Trust.
Su principal beneficio es la unificación de la administración de MFA para múltiples aplicaciones
El mejor esquema de trabajo es a través de un MSP especialista quien te ayudará con una Prueba de Concepto PoC y en solo días podrás ver resultados.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
Esta entrada ha sido publicada el 23 de julio de 2022
Trabajemos Juntos, Hagamos una PoC Gratis a través de un MSP
Esta web usa cookies.
Leer más...
