Cisco DUO - od viacfaktorovej autentifikácie po Zero Trust

Prvá fáza implementácie Cisco DUO sa zameriava na potvrdenie dôvery používateľom na sekundárnom zariadení. To sa najčastejšie vykoná potvrdením druhého faktora na zariadení, ktorým používateľ disponuje. Kameň úrazu, ktorý však môže celý projekt ukončiť sú námietky samotných používateľov - či už je to ich neochota k zmene alebo potenciálne obavy z prerušení pri výkone ich pracovných úloh. Zameranie sa na užšie vybranú skupinu zamestnancov, ktorých navyše spája používanie rovnakej sady aplikácií, uľahčuje nasadenie do produkcie. Väčšina organizácií začínajú s aplikáciami ako vzdialený prístup pomocou VPN klienta alebo vzdialený prístup pomocou protokolu RDP a až následne postupne pridávajú SaaS aplikácie.

Sekundárne zariadenie použité užívateľom ako druhý faktor na potvrdenie svojej identity pri prihlasovaní do chránenej aplikácie je najčastejšie v podobe mobilného zariadenia s nainštalovanou aplikáciou DUO Mobile. Zaregistrovanie aplikácie v zariadení je možné viacerými spôsobmi – priamo administrátorom alebo používateľom v tzv. "self-enrollment" postupe v štyroch jednoduchých krokoch.

Druhá fáza implementácie Cisco DUO je zameraná na viditeľnosť. Aby sme splnili požiadavky Zero Trust na neustále vyhodnocovanie dôveryhodnosti používateľov a ich zariadení, DUO portál určený pre administrátora disponuje podrobným inventárom zariadení, ktoré užívatelia používajú na plnenie svojich pracovných povinností.

Inventár zariadení okrem iného slúži na zodpovedanie otázok, aké primárne zariadenie používateľ použil na prístup k chránenej aplikácii, aké sekundárne zariadenie použil na potvrdenie svojej identity počas prihlásenia ako aj v akom bezpečnostnom stave sa jeho zariadenia nachádzajú. Funkcia DUO Trust Monitor spája informácie z inventára s automatizovaným vyhodnocovaním správania používateľa a takto vie upozorniť administrátora na vážne bezpečnostné incidenty ako sú útoky hrubou silou a kompromitované účty, ktoré môžu viesť k registrácii neautorizovaných zariadení. Náhľad na konkrétne zariadenie je preto celkom podrobný.

V tretej fáze je potrebné začať uvažovať nad implementáciou dodatočných podmienok, ktoré musí používateľ splniť, aby mu organizácia umožnila pracovať s chránenou aplikáciou. Či sa už budú vyžadovať organizáciou manažované zariadenia alebo vyžadovať splnenie dodatočných atribútov bezpečnostnej previerky zariadenia (napr. šifrovaný disk, aktuálna verzia operačného systému a prehliadača, biometria spolu s PIN, atď.), Cisco DUO umožňuje tvorbu takýchto politík granulárne až na úroveň konkrétnej aplikácie.

Štvrtá fáza sa zameriava na pokročilé funkcie, ktoré Cisco DUO ponúka. Pre pracovníkov s kritickými aplikáciami a privilegovanými účtami povolíme len organizáciou manažované zariadenia, ktoré spĺňajú podmienky stanovené počas bezpečnostnej previerky zariadení. Pre vyhodnotenie týchto parametrov používame mobilnú aplikáciu DUO Mobile pre Android a Apple iOS, pre Windows a MAC OS používame DUO Device Health. DUO Passwordless umožňuje nahradiť zadávanie mena a hesla počas primárnej autentifikácie biometriou v spojení s dvojicou verejného a privátneho šifrovacieho kľúča na báze FIDO2®.

Cisco DUO je možné integrovať s nástrojom Cisco Secure Endpoint na ochranu pred malvérom a kompromitáciami rôzneho charakteru (ransomvér, trójske kone, C2/botnet servery, atď.). V prípade, že Cisco Secure Endpoint vyhodnotí, že k takejto kompromitácii došlo, informuje o tejto situácii DUO, ktoré následne zablokuje prístup z toho zariadenia na chránené aplikácie. Toto je jedna z možností, ktoré vzájomná integrácia produktov v portfóliu Cisco Secure umožňuje, aby sme splnili ďalšiu z podmienok Zero Trust - neustálu verifikáciu úrovne dôvery vrátane automatizovaného prehodnotenia prístupových práv k chráneným aplikáciám.

V záverečnej piatej fáze sa povolí používateľom pracovať s chránenými aplikáciami aj cez nedôveryhodnú infraštruktúru a to bez nutnosti používať vzdialené pripojenie typu VPN. Pre takto sprístupnené aplikácie je ale potrebné splniť tri podmienky - integrácia so silnou autentifikáciou (min. 2 faktory), prístup na aplikáciu odkiaľkoľvek a jednotný spôsob prihlasovania do aplikácie (typicky SSO login/portál).

Implementácia Cisco DUO v týchto piatich fázach predstavuje praktický prístup pri napĺňaní požiadaviek Zero Trust architektúry pre používateľov pristupujúcich k chráneným aplikáciám. Takto rozfázovaný postup je interaktívny - na ceste k úspešnej implementácii je potrebné byť špecifický. Začať treba s konkrétnou skupinou ľudí, následne rozšíriť pokrytie pre ich aplikácie a rozšíriť pokrytie pre ich zariadenia. Buďte konkrétni v scenároch, ktoré potrebujete vynútiť na minimalizáciu rizika vyplývajúceho zo zneužitia identity. Ďalším kľúčom k úspechu je opakovanie. Organizácie majú desiatky aj stovky aplikácií, dynamicky vznikajú a zanikajú, ich identifikácia a integrácia do Zero Trust modelu tak bude pretrvávajúcou aktivitou, ktorá sa odvďačí zvýšením bezpečnosti a minimalizáciou rizík.

V prípade vášho záujmu na danú tému sa obráťte na nášho špecialistu: Igor Ftáček, igor.ftacek@aricoma.com. Pokiaľ ešte nepatríte k našim zákazníkom, použite pre dopyt náš formulár či vyhľadajte kontaktné údaje nášho najbližšieho regionálneho obchodného centra.

Sme nablízku v každom kraji a radi vám pomôžeme s akoukoľvek IT potrebou vašej organizácie.