Cisco DUO – uwierzytelnianie wieloskładnikowe
22 października 2020
Dodatkowy czynnik bezpieczeństwa
DUO Security w portfolio rozwiązań Cisco
Rozwiązanie DUO zostało włączone do portfolio Cisco, jako jedno z rozwiązań bezpieczeństwa proaktywnie zmniejszających ryzyko naruszeń. Cisco DUO doskonale sprawdza się w dużych organizacjach, gdzie względy bezpieczeństwa IT są kluczowym aspektem budowy i zarządzania środowiskiem IT.
DUO Security pozwala na wdrożenie adaptacyjnego uwierzytelniania wieloskładnikowego (MFA), które umożliwia nie tylko weryfikację tożsamości użytkowników, ale również wgląd w urządzenia i możliwość egzekwowania adaptacyjnych polityk związanych z bezpieczeństwem danej aplikacji.
Czynnik zaufania dla użytkowników
Rozwiązanie DUO służy do uwierzytelniania wieloskładnikowego, zapewniającego dodatkową ochronę użytkowników w organizacji. Cisco DUO pozwala na wprowadzenie dodatkowego czynnika bezpieczeństwa w kontekście ochrony aplikacji niezależnie od lokalizacji, widoczności urządzeń oraz bezpiecznego dostępu zdalnego.
Zabezpieczenia w postaci haseł
Częsta zmiana haseł przez użytkowników
Użytkownicy w firmach posiadają często kilka kont związanych z różnymi usługami, z których korzystają lub do których muszą mieć dostęp. Praktyka pokazuje, że nie zawsze ustawione są silne hasła do każdego konta.
W tym miejscu warto zwrócić uwagę na zmianę hasła, jako element składowy zdefiniowanej polityki bezpieczeństwa w firmie. Częstą zmianę hasła przez użytkowników dla wybranych usług można wymusić na poziomie narzędzi administracyjnych w organizacji.
Jednak regularna zmiana hasła, będąc powszechnym rozwiązaniem, nie gwarantuje bezpieczeństwa. Obserwacje pokazują, że zbyt częste zmiany haseł prowadzą do stosowania przez użytkowników kombinacji znaków, które tylko w nieznacznym stopniu różnią się od poprzednio stosowanych, a takie zachowanie osłabia poziom bezpieczeństwa.
Wdrożenie wyższego poziomu ochrony kont
Samo hasło nie jest zatem wystarczającą ochroną. Warto wprowadzić dodatkowe usprawnienia w zakresie bezpieczeństwa, by lepiej chronić konta użytkowników w firmie. W celu minimalizacji problemów związanych z wyciekiem informacji warto przyjrzeć się rozwiązaniu Cisco DUO.
Znane sposoby podniesienia poziomu ochrony kont
Kody jednorazowe
Na rynku dostępnych jest kilka rozwiązań, które pozwalają podnieść poziom ochrony kont użytkowników. Jednym ze sposobów ochrony są kody jednorazowe przesyłane w formie sms, generowane w aplikacji lub w formie hardware tokenów.
Kody sms
Kody jednorazowe przekazywane użytkownikom w formie sms są od lat znanym i popularnym rozwiązaniem. Niestety, ze względu na odnotowane przypadki działań przestępców, które uwzględniały włamania na konto ofiary z wykorzystaniem sklonowanej karty sim telefonu komórkowego, obecnie uznaje się, że kody sms nie są rozwiązaniem gwarantującym pełne bezpieczeństwo użytkownikom.
Cisco DUO
Potwierdzenie logowania za pomocą jednego kliknięcia
Cisco DUO łączy w sobie wszystkie zalety dotychczas stosowanych sposobów na zabezpieczenie kont użytkowników w jednym rozwiązaniu, jednocześnie ułatwiając i przyspieszając pracę. DUO Security nie wymaga od użytkownika przepisywania kodów jednorazowych. Do potwierdzenia logowania wystarczy jedno kliknięcie – akceptacja powiadomienia push na ekranie smartfona.
Adaptacyjna autoryzacja
DUO pozwala wdrażać i realizować polityki bezpieczeństwa dostępu, zależnie od użytkownika, urządzenia i ryzyka aplikacji. Administrator ma możliwość zdefiniowania, kto może mieć dostęp do czego i w jakim czasie. Wszystko w zależności od roli użytkownika w organizacji, wykorzystywanego urządzenia, lokalizacji oraz wielu innych parametrów kontekstowych.
Integracja z popularnymi aplikacjami
Większość popularnych aplikacji biznesowych można zintegrować z DUO, m.in.: Cisco, Dropbox, GSuite, DocuSign, Office365, OpenVPN, WordPress, Citrix, Oracle, LastPass, Box, Workday, AWS, GitHub, Barracuda, Salesforce i inne. DUO pozwala na integrację z logowaniem do Windows oraz macOS. Dzięki DUO możemy dodatkowo zabezpieczyć programy do zarządzania hasłami.
Integracja z własnymi aplikacjami
DUO Security doskonale sprawdza się w przypadku korzystania w firmie z dużych i popularnych aplikacji chmurowych. Dla wielu organizacji, które wykorzystują aplikacje własne, możliwość zastosowania DUO będzie doskonałym sposobem na zwiększenie bezpieczeństwa logowania się użytkowników. Taka integracja wykorzystuje API, co powoduje niski koszt wdrożenia polegającego na umieszczeniu odpowiedniego kodu we własnej aplikacji, by bez problemu korzystać z autoryzacji wieloskładnikowej.
Aplikacje firmowe wykorzystywane tyko we własnej sieci można również zintegrować z DUO. Przy łączeniu się z aplikacjami w sieci firmowej, wykorzystując DAG (DUO Access Gateway), jest możliwość wdrożenia SSO (single sign-on) w infrastrukturze (jeden typ poświadczeń do wszystkich aplikacji jednocześnie). DAG może komunikować się z AD lub innymi serwerami zawierającymi poświadczenia użytkowników z organizacji.
Ochrona w modelu pracy zdalnej
DUO pozwala na uwierzytelnianie połączeń VPN, co wnosi wartość w kontekście środowiska do pracy zdalnej. Dzięki rozwiązaniu DUO możliwa jest ochrona własnych aplikacji firmy, aplikacji chmurowych oraz aplikacji na serwerach we własnej infrastrukturze.
Widoczność urządzeń
DUO pozwala uzyskać widoczność wszystkich zarządzanych i niezarządzanych urządzeń w kontekście spełniania norm bezpieczeństwa przed otrzymaniem dostępu. Rozwiązanie DUO można integrować z narzędziami do zarządzania urządzeniami w organizacji. Identyfikacja urządzeń niespełniających wymogów bezpieczeństwa może być również realizowana bez dodatkowego oprogramowania. Wszystko to daje administratorowi systemu informatycznego w firmie możliwość cennego wglądu w stan urządzeń oraz eliminacji ewentualnych zagrożeń, jakie potencjalnie generują urządzenia niespełniające wymogów.
Poziom bezpieczeństwa przy akceptacji trendu BYOD
Widoczność urządzeń, jaką generuje Cisco DUO, jest szczególnie cenna w przypadku organizacji chcących osiągnąć zaawansowany poziom bezpieczeństwa przy akceptacji BYOD (bring your own device). W niektórych organizacjach cenne będą również funkcjonalności takie jak: Device Health, Security Checkup oraz Self-Remedation.
Użytkownicy mogą wziąć większą odpowiedzialność za przygotowanie własnych urządzeń do pracy, bez wsparcia lub monitów ze strony działu IT. Przypomnienia dotyczące aktualizacji oprogramowania mogą być wysyłane automatycznie do użytkowników, których laptopy lub smartfony stają się niebezpieczne. Dostępna jest również możliwość automatycznego blokowania dostępu do zasobów firmowych dla urządzeń z nieaktualnym oprogramowaniem.
Cisco DUO w praktyce
Po wybraniu konkretnej aplikacji przez użytkownika, np. znajdującej się na zewnętrznych serwerach, następuje logowanie się do aplikacji z wykorzystaniem znanych przez użytkownika poświadczeń. Przykładowa aplikacja, która jest zintegrowana z DUO za pomocą API lub SAML (w przypadku uruchomionego SSO), komunikuje się z firmową instancją DUO. Następnie użytkownik zostaje przekierowany do okna z prośbą o akceptację logowania w aplikacji DUO. Przypisana do firmowego konta instancja DUO wysyła powiadomienie push na telefon użytkownika.
Powiadomienie zawiera informacje o użytkowniku, terminie i miejscu logowania do konta. Po kliknięciu (zatwierdzeniu logowania) użytkownik będzie mógł rozpocząć korzystanie z aplikacji. Gdyby poświadczenia użytkownika zostały przechwycone i ktoś obcy próbowałby zalogować się na konto, informacje zawarte w powiadomieniu push dla użytkownika pozwolą na łatwą weryfikację takiego logowania i zgłoszenie wydarzenia do działu IT.
W przypadku odrzucenia logowania przez użytkownika, pojawi się prośba o podanie przyczyny odrzucenia. Odrzucenie przez przypadek nie powoduje alertu. Jeśli użytkownik podejrzewa, że poświadczenia do konta są wykorzystywane do próby nieautoryzowanego logowania, wówczas administrator IT w firmie zostanie o tym szybko powiadomiony.
Panel administratora
Dostępny w ramach rozwiązania Cisco DUO panel administratora dostarcza wiele cennych informacji. Pokazane są statystyki dotyczące logowań, logowania odrzucone (pomyłki, opóźnienia w potwierdzeniu). Administrator otrzymuje wgląd w urządzenia używane przez użytkowników, z podziałem na systemy operacyjne (wraz z informacją o wersji OS oraz oceną aktualności).
Dla urządzeń, które posiadają nieaktualny system operacyjny lub przestarzałe przeglądarki internetowe, przedstawione są statystyki. Administrator posiada możliwość zdefiniowania polityk dostępowych, czyli określenia z jakich urządzeń i z jakich przeglądarek użytkownik z organizacji ma dostęp do zasobów firmowych.
Dodatkową zaletą panelu administratora jest wykaz urządzeń według aktualności wtyczek do przeglądarek (np. Java, Adobe Flash).