Una de las características de Cisco Duo Security menos documentadas es el modo de operación en caso de fallas o también conocidos como failmode.
Y así como es de poco conocida, es una pregunta muy común: ¿Qué pasa si Duo se cae?
Es en este momento donde entran en juego los modos de funcionamiento en fallas o failmodes de Duo.
Los modos de funcionamiento en caso de falla te permiten definir el comportamiento de inicio de sesión de tus aplicaciones cuando no se alcanzan a los servicios Zero Trust de Duo Security.
Tabla de Contenidos
Un failmode es un parámetro de configuración de algunas aplicaciones integradas a Duo Security
Este parámetro define el comportamiento de la aplicación cuando por alguna circunstancia no se alcanzan los servicios de Duo.
Los casos que pueden considerarse como fallas del servicio son:
Si tienes Duo Authentication Proxy on-Premises, la disponibilidad de éste no cuenta como disponibilidad del servicio Cluod de Duo porque es un equipo interno.
De hecho, si éste se cae, se pierde la autenticación sin importar el modo de operación, por lo que es importante tenerlos en configuración redundante instalando al menos dos DAP en modo redundante.
Este modo de operación que es el más restrictivo y seguro, la aplicación no permite el acceso a ningún usuario sincronizado si no alcanza a los servicios de Duo.
Este modo de operación es un poco más flexible y en caso de no poder alcanzar a los servicios de Duo Security, la aplicación permite el acceso si el usuario introdujo correctamente las credenciales primarias (usuario y contraseña).
Los dos modos son totalmente válidos y funcionales, todo dependerá de tus políticas internas de seguridad.
Como premisas iniciales puedes considerar:
Acá te dejo algunas preguntas cuyas respuestas te pueden servir para definir el modo a elegir:
Hay tres grandes grupos de aplicaciones en las que podemos configurar el modo de operación de Duo Security en caso de falla o failmode
En este caso se cuentan todas las aplicaciones cuya derivación de autenticación se realiza vía RADIUS, LDAP o LDAPS
Todas las integraciones vía SAML que usen el DAG como proveedor de SSO
Acá tenemos aplicaciones que usan componentes de Duo para integrarse, como por ejemplo:
Puedes conseguir un listado completo en el listado oficial de Duo
Determinar el modo de operación en falla que mejor se adecúe a tu organización es solo cuestión de entender bien el funcionamiento de esta característica, analizar factores de disponibilidad y de operación. Contrastando estos factores, podrás elegir adecuadamente.
También es importante indicar que este modo de configuración es modificable en todo momento así que si no te sirve en un momento en específico, lo puedes cambiar y problema resuelto.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
Esta entrada ha sido publicada el 27 de julio de 2022
Trabajemos Juntos, Hagamos una PoC Gratis a través de un MSP
Esta web usa cookies.
Leer más...