Cisco DUO – uwierzytelnianie wieloskładnikowe

22 października 2020

Cisco DUO dla firm

Dodatkowy czynnik bezpieczeństwa

DUO Security w portfolio rozwiązań Cisco

Rozwiązanie DUO zostało włączone do portfolio Cisco, jako jedno z rozwiązań bezpieczeństwa proaktywnie zmniejszających ryzyko naruszeń. Cisco DUO doskonale sprawdza się w dużych organizacjach, gdzie względy bezpieczeństwa IT są kluczowym aspektem budowy i zarządzania środowiskiem IT.

DUO Security pozwala na wdrożenie adaptacyjnego uwierzytelniania wieloskładnikowego (MFA), które umożliwia nie tylko weryfikację tożsamości użytkowników, ale również wgląd w urządzenia i możliwość egzekwowania adaptacyjnych polityk związanych z bezpieczeństwem danej aplikacji.

DUO Cisco Exanet

Czynnik zaufania dla użytkowników

Rozwiązanie DUO służy do uwierzytelniania wieloskładnikowego, zapewniającego dodatkową ochronę użytkowników w organizacji. Cisco DUO pozwala na wprowadzenie dodatkowego czynnika bezpieczeństwa w kontekście ochrony aplikacji niezależnie od lokalizacji, widoczności urządzeń oraz bezpiecznego dostępu zdalnego.

Zabezpieczenia w postaci haseł

Częsta zmiana haseł przez użytkowników

Użytkownicy w firmach posiadają często kilka kont związanych z różnymi usługami, z których korzystają lub do których muszą mieć dostęp. Praktyka pokazuje, że nie zawsze ustawione są silne hasła do każdego konta.

W tym miejscu warto zwrócić uwagę na zmianę hasła, jako element składowy zdefiniowanej polityki bezpieczeństwa w firmie. Częstą zmianę hasła przez użytkowników dla wybranych usług można wymusić na poziomie narzędzi administracyjnych w organizacji.

Jednak regularna zmiana hasła, będąc powszechnym rozwiązaniem, nie gwarantuje bezpieczeństwa. Obserwacje pokazują, że zbyt częste zmiany haseł prowadzą do stosowania przez użytkowników kombinacji znaków, które tylko w nieznacznym stopniu różnią się od poprzednio stosowanych, a takie zachowanie osłabia poziom bezpieczeństwa.

Wdrożenie wyższego poziomu ochrony kont

Samo hasło nie jest zatem wystarczającą ochroną. Warto wprowadzić dodatkowe usprawnienia w zakresie bezpieczeństwa, by lepiej chronić konta użytkowników w firmie. W celu minimalizacji problemów związanych z wyciekiem informacji warto przyjrzeć się rozwiązaniu Cisco DUO.

DUO logotype

Znane sposoby podniesienia poziomu ochrony kont

Kody jednorazowe

Na rynku dostępnych jest kilka rozwiązań, które pozwalają podnieść poziom ochrony kont użytkowników. Jednym ze sposobów ochrony są kody jednorazowe przesyłane w formie sms, generowane w aplikacji lub w formie hardware tokenów.

Kody sms

Kody jednorazowe przekazywane użytkownikom w formie sms są od lat znanym i popularnym rozwiązaniem. Niestety, ze względu na odnotowane przypadki działań przestępców, które uwzględniały włamania na konto ofiary z wykorzystaniem sklonowanej karty sim telefonu komórkowego, obecnie uznaje się, że kody sms nie są rozwiązaniem gwarantującym pełne bezpieczeństwo użytkownikom.

Cisco DUO

Potwierdzenie logowania za pomocą jednego kliknięcia

Cisco DUO łączy w sobie wszystkie zalety dotychczas stosowanych sposobów na zabezpieczenie kont użytkowników w jednym rozwiązaniu, jednocześnie ułatwiając i przyspieszając pracę. DUO Security nie wymaga od użytkownika przepisywania kodów jednorazowych. Do potwierdzenia logowania wystarczy jedno kliknięcie – akceptacja powiadomienia push na ekranie smartfona.

Cisco DUO push smatphone

Adaptacyjna autoryzacja

DUO pozwala wdrażać i realizować polityki bezpieczeństwa dostępu, zależnie od użytkownika, urządzenia i ryzyka aplikacji. Administrator ma możliwość zdefiniowania, kto może mieć dostęp do czego i w jakim czasie. Wszystko w zależności od roli użytkownika w organizacji, wykorzystywanego urządzenia, lokalizacji oraz wielu innych parametrów kontekstowych.

Integracja z popularnymi aplikacjami

Większość popularnych aplikacji biznesowych można zintegrować z DUO, m.in.: Cisco, Dropbox, GSuite, DocuSign, Office365, OpenVPN, WordPress, Citrix, Oracle, LastPass, Box, Workday, AWS, GitHub, Barracuda, Salesforce i inne. DUO pozwala na integrację z logowaniem do Windows oraz macOS. Dzięki DUO możemy dodatkowo zabezpieczyć programy do zarządzania hasłami.

Aplikacje obslugiwane przez DUO

Integracja z własnymi aplikacjami

DUO Security doskonale sprawdza się w przypadku korzystania w firmie z dużych i popularnych aplikacji chmurowych. Dla wielu organizacji, które wykorzystują aplikacje własne, możliwość zastosowania DUO będzie doskonałym sposobem na zwiększenie bezpieczeństwa logowania się użytkowników. Taka integracja wykorzystuje API, co powoduje niski koszt wdrożenia polegającego na umieszczeniu odpowiedniego kodu we własnej aplikacji, by bez problemu korzystać z autoryzacji wieloskładnikowej.

Aplikacje firmowe wykorzystywane tyko we własnej sieci można również zintegrować z DUO. Przy łączeniu się z aplikacjami w sieci firmowej, wykorzystując DAG (DUO Access Gateway), jest możliwość wdrożenia SSO (single sign-on) w infrastrukturze (jeden typ poświadczeń do wszystkich aplikacji jednocześnie). DAG może komunikować się z AD lub innymi serwerami zawierającymi poświadczenia użytkowników z organizacji.

Cisco DUO SAML DAG API

Ochrona w modelu pracy zdalnej

DUO pozwala na uwierzytelnianie połączeń VPN, co wnosi wartość w kontekście środowiska do pracy zdalnej. Dzięki rozwiązaniu DUO możliwa jest ochrona własnych aplikacji firmy, aplikacji chmurowych oraz aplikacji na serwerach we własnej infrastrukturze.

Cisco DUO firewall

Widoczność urządzeń

DUO pozwala uzyskać widoczność wszystkich zarządzanych i niezarządzanych urządzeń w kontekście spełniania norm bezpieczeństwa przed otrzymaniem dostępu. Rozwiązanie DUO można integrować z narzędziami do zarządzania urządzeniami w organizacji. Identyfikacja urządzeń niespełniających wymogów bezpieczeństwa może być również realizowana bez dodatkowego oprogramowania. Wszystko to daje administratorowi systemu informatycznego w firmie możliwość cennego wglądu w stan urządzeń oraz eliminacji ewentualnych zagrożeń, jakie potencjalnie generują urządzenia niespełniające wymogów.

Poziom bezpieczeństwa przy akceptacji trendu BYOD

Widoczność urządzeń, jaką generuje Cisco DUO, jest szczególnie cenna w przypadku organizacji chcących osiągnąć zaawansowany poziom bezpieczeństwa przy akceptacji BYOD (bring your own device). W niektórych organizacjach cenne będą również funkcjonalności takie jak: Device Health, Security Checkup oraz Self-Remedation.

Użytkownicy mogą wziąć większą odpowiedzialność za przygotowanie własnych urządzeń do pracy, bez wsparcia lub monitów ze strony działu IT. Przypomnienia dotyczące aktualizacji oprogramowania mogą być wysyłane automatycznie do użytkowników, których laptopy lub smartfony stają się niebezpieczne. Dostępna jest również możliwość automatycznego blokowania dostępu do zasobów firmowych dla urządzeń z nieaktualnym oprogramowaniem.

DUO two factor authentication

Cisco DUO w praktyce

Po wybraniu konkretnej aplikacji przez użytkownika, np. znajdującej się na zewnętrznych serwerach, następuje logowanie się do aplikacji z wykorzystaniem znanych przez użytkownika poświadczeń. Przykładowa aplikacja, która jest zintegrowana z DUO za pomocą API lub SAML (w przypadku uruchomionego SSO), komunikuje się z firmową instancją DUO. Następnie użytkownik zostaje przekierowany do okna z prośbą o akceptację logowania w aplikacji DUO. Przypisana do firmowego konta instancja DUO wysyła powiadomienie push na telefon użytkownika.

Powiadomienie zawiera informacje o użytkowniku, terminie i miejscu logowania do konta. Po kliknięciu (zatwierdzeniu logowania) użytkownik będzie mógł rozpocząć korzystanie z aplikacji. Gdyby poświadczenia użytkownika zostały przechwycone i ktoś obcy próbowałby zalogować się na konto, informacje zawarte w powiadomieniu push dla użytkownika pozwolą na łatwą weryfikację takiego logowania i zgłoszenie wydarzenia do działu IT.

W przypadku odrzucenia logowania przez użytkownika, pojawi się prośba o podanie przyczyny odrzucenia. Odrzucenie przez przypadek nie powoduje alertu. Jeśli użytkownik podejrzewa, że poświadczenia do konta są wykorzystywane do próby nieautoryzowanego logowania, wówczas administrator IT w firmie zostanie o tym szybko powiadomiony.

Cisco DUO sposób działania

Panel administratora

Dostępny w ramach rozwiązania Cisco DUO panel administratora dostarcza wiele cennych informacji. Pokazane są statystyki dotyczące logowań, logowania odrzucone (pomyłki, opóźnienia w potwierdzeniu). Administrator otrzymuje wgląd w urządzenia używane przez użytkowników, z podziałem na systemy operacyjne (wraz z informacją o wersji OS oraz oceną aktualności).

Dla urządzeń, które posiadają nieaktualny system operacyjny lub przestarzałe przeglądarki internetowe, przedstawione są statystyki. Administrator posiada możliwość zdefiniowania polityk dostępowych, czyli określenia z jakich urządzeń i z jakich przeglądarek użytkownik z organizacji ma dostęp do zasobów firmowych.

Dodatkową zaletą panelu administratora jest wykaz urządzeń według aktualności wtyczek do przeglądarek (np. Java, Adobe Flash).