cisco duo что это
Protect your workforce with simple, powerful access security.
We’re Duo. Our modern access security is designed to safeguard all users, devices, and applications — so you can stay focused on what you do best.
Secure access for any user and device, to any environment, from anywhere.
Get the peace-of-mind only complete device visibility and trust can bring.
Respond faster to threats with an easy‑to‑deploy, scalable SaaS solution that natively protects every application.
[. ] we see Duo serving as a core technology building block to enable our zero trust security philosophy. Read the Customer Story
— Vivian Ho, Software Engineer, Lyft
Designed for teams of all sizes. Engineered to protect your mission.
Duo’s access security shields any and every application from compromised credentials and devices, and its comprehensive coverage helps you meet compliance requirements with ease.
Intuitive authentication for users. Powerful flexibility for companies.
Duo natively integrates with applications to provide flexible, user-friendly security that’s quick to roll out and easy to manage. It’s a win, win, win for users, administrators, and IT teams alike.
Perimeterless workforce protection. Secure access worldwide.
Lay the foundation for your zero-trust journey with multi-factor authentication, dynamic device trust, adaptive authentication and secure single sign-on for every user and device.
The 2021 Duo Trusted Access Report is Here!
Get an in-depth look at access security trends and progress with our flagship report. We analyze data from across our customer base — 36 million+ devices, 400 thousand+ unique applications and roughly 800 million monthly authentications — and cover topics like devices and browsers, policy usage, and the momentum toward a passwordless future. Explore the interactive page and get the full report.
See what’s new at Duo.
Cybersecurity Executive Order Observations
On May 12, President Biden signed a cybersecurity Executive Order (EO) aimed at improving efforts to “identify, deter, protect against, detect, and respond to these actions and actors.» Advisory.
Passwordless: The Future of Authentication
Tech and security analysts predict enterprises will shift to passwordless authentication for their users to enable modern digital transformation. In this white paper, we discuss the passwordless.
Two-Factor Authentication Evaluation Guide
This guide walks through some of the key areas of differentiation between two-factor authentication solutions and provides some concrete criteria for evaluating technologies and vendors.
Безопасный доступ с Duo
Защитите своих сотрудников с помощью многофакторной аутентификации (MFA) и расширенного мониторинга оконечных устройств.
Cisco — лидер в области решений безопасности по модели «нулевого доверия»
«Cisco развивает концепцию «нулевого доверия» в нужном направлении». Узнайте, почему аналитики из Forrester в своем отчете Zero Trust eXtended Ecosystem Platform Providers, Q3 2020 («Поставщики платформ с расширенной экосистемой модели «нулевого доверия»», третий квартал 2020 г.) признали компанию Cisco лидером рынка.
Безопасность приложений и данных на любом уровне
Переход к модели безопасности «нулевого доверия» начинается с защиты сотрудников. Duo идентифицирует пользователей и определяет состояние устройств при каждой попытке входа в систему, предоставляя доверенный доступ для приложений. Duo предлагает следующие возможности:
Определение доверенности пользователей
Проверка личности пользователя перед предоставлением доступа к корпоративным приложениям.
Мониторинг устройств
Получение подробных данных об устройствах всех типов, которые обращаются к вашим приложениям, на любых платформах.
Определение доверенности устройств
Проверка статуса безопасности и доверенности всех корпоративных и личных устройств, которые обращаются к вашим приложениям.
Безопасный доступ ко всем приложениям
Предоставление пользователям единой безопасной системы входа в локальные и облачные приложения.
Успех неизбежен: проверенные решения для вашей программы безопасности
Просмотрите запись виртуальной встречи, на которой мы представляем результаты нашего опроса, проведенного среди 4800 специалистов по безопасности и ИТ.
Рекомендуемые ресурсы
Вебинар по модели «нулевого доверия» Duo
Познакомьтесь с основными вопросами, которыми должны задаваться руководители на начальном этапе перехода на систему безопасности по модели «нулевого доверия».
Руководство по оценке системы «нулевого доверия»
Оцените безопасность доступа на основании доверенности пользователей, возможности мониторинга устройств, доверенности устройств, политик и других факторов.
Попробовать Duo бесплатно
Обеспечьте безопасный доступ для своих приложений уже сегодня. Зарегистрируйтесь для бесплатного пробного использования Duo.
Оперативная защита удаленных сотрудников
Если вы ищете способ повысить уровень защиты удаленных сотрудников, чтобы они могли работать в любое время, где угодно и на любом устройстве, обратите внимание на решение Cisco Secure Remote Worker.
Истории успеха заказчиков
Sonic Automotive
«Мы выбрали Duo без колебаний. Эта платформа поможет реализовать наше видение безопасности по модели «нулевого доверия». Развертывание прошло слаженно и без проблем. Мы выбрали поэтапный запуск для важнейших приложений, а впоследствии подключили к системе все приложения и всех пользователей».
— Джефф Смит (Jeff Smith), ведущий специалист по информационной безопасности в Sonic Automotive
«Благодаря Duo Beyond мы смогли быстрее реализовать свою стратегию безопасности по модели «нулевого доверия», что позволило использовать клиентские системы (в частности, ChromeOS), которые прежде было трудно и дорого поддерживать. В результате потребовался минимум усилий для запуска новых служб и организации детализированного управления доступом».
— Майк Джонсон (Mike Johnson), директор по информационной безопасности Lyft
Больница университета Луисвилла
«Мы переходим на систему безопасности с нулевым доверием. Для начала нам потребовалось внедрить многофакторную аутентификацию. Сложностей с выбором решения у нас не возникло. Это первое решение безопасности, которое рекомендовали и пользователи, и врачи. Такое в здравоохранении встречается редко».
— Джон Зузяк (John Zuziak), директор по информационной безопасности в больнице университета Луисвилла
Access Security for Everyone, from Any Device, Anywhere
For organizations of all sizes that need to protect sensitive data at scale, Duo is the user-friendly zero-trust security platform for all users, all devices and all applications.
With Duo, you can:
Confirm user identities in a snap.
Monitor the health of managed and unmanaged devices.
Set adaptive security policies tailored for your business.
Secure remote access without a device agent.
Provide security-backed, user-friendly SSO.
Your Journey to Zero Trust Starts Here
Zero trust takes security beyond the corporate network perimeter, protecting your data at every access attempt, from any device, anywhere. It’s the future of information security — and Duo is your rock-solid foundation.
Verify User Trust
Ensure users are who they say they are at every access attempt, and regularly reaffirm their trustworthiness.
Establish Device Trust
See every device used to access your applications, and continuously verify device health and security posture.
Enforce Adaptive Policies
Assign granular and contextual access policies, limiting exposure of your information to as few users and devices as possible.
Secure Access for Every User
Provide appropriate permissions for every user accessing any application, anytime and from anywhere.
Secure Access to Every Application
Reduce the risk of credential theft by enabling users to securely access their applications with a single username and password.
Implementing Duo Security was the biggest bang-for-buck increase to our organization’s security posture in dealing with actual, real-world threats.
— Chris Gale, Lead Security Architect, DMI
Secure your workforce with Duo’s zero trust security platform:
Multi-Factor Authentication
MFA is the foundation for zero trust. Duo verifies that your users are who they say they are, before they access your data — and with multiple second-factor options, including one-touch Duo Push, users can easily authenticate in seconds.
Device Trust
Monitor the health of every device across your organization in real-time, whether it’s corporate-managed or not. With Duo’s device trust features, you can customize access requirements at the device level, and because it’s a cloud-based solution, you’ll stay ahead of the latest security threats.
Adaptive Access Policies
Grant your users just the right amount of access. Duo’s advanced policy enforcement capabilities let you define security requirements at the user, device, and application level, based on contextual factors like location and update status.
Remote Access
Enable your mobile workforce without compromising your company’s data. Duo provides modern remote access solutions and protects existing IT infrastructure, making it easy to onboard new employees and contractors and allowing employees to work on the go.
Single Sign-On
Duo’s cloud-based SSO grants users secure access to all protected applications (on-premises or cloud-based) through a uniform, frictionless interface that’s accessible from anywhere.
Реализация концепции высокозащищенного удаленного доступа
Продолжая серию статьей по теме организации Remote-Access VPN доступа не могу не поделиться интересным опытом развертывания высокозащищенной конфигурации VPN. Задачу нетривиальную подкинул один заказчик (есть выдумщики в Русских селениях), но Challenge Accepted и творчески реализован. В результате получился интересный концепт со следующими характеристиками:
Используемые компоненты решения:
Начнем с требований заказчика:
Для начала я предлагаю в обязательном порядке посмотреть на видео-демонстрацию получившейся реализации на Youtube (5 минут).
Теперь предлагаю рассмотреть детали реализации не освещенные в видео-ролике.
Подготовим профиль AnyConnect:
Пример создания профиля (в плане пункта меню в ASDM) я ранее приводил в своей статье по настройке VPN Load-Balancing кластера. Сейчас я отдельно хочу отметить те опции, что нам понадобятся:
В профиле укажем шлюз VPN и имя профиля для подключения на оконечном клиенте:
Проведем настройки автоматической выписки сертификата со стороны профиля, указав, в частности, параметры сертификата и что характерно, обратим внимание на поле Initials (I), где вручную забито конкретное значение UDID тестовой машины (Уникальный идентификатор устройства, который генерирует Cisco AnyConnect клиент).
Здесь я хочу сделать лирическое отступление, поскольку данная статья описывает концепцию, для демонстрационных целей здесь забит UDID для выписки сертификата в поле Initials профиля AnyConnect. Конечно же в реальной жизни если Вы так сделаете, то все клиенты получат сертификат с одинаковым UDID в данном поле и работать у них ничего не будет, поскольку им то нужен UDID конкретно своего ПК. AnyConnect к сожалению пока не реализует подстановку в профиль запроса сертификата поле UDID через переменную окружения, так как он например делает с переменной %USER%.
Стоит отметить что заказчик (данного сценария) изначально планирует самостоятельно выдавать сертификаты с заданным UDID в ручном режиме на такие Защищенные ПК, что не является для него какой-то проблемой. Однако для большинства из нас хочется автоматизации (ну для меня так точно=) ).
И вот что я могу предложить в плане автоматизации. Если выписать сертификат автоматически AnyСonnect динамически подставив UDID пока не в состоянии, то есть и другой способ, который потребует немного творческой мысли и умелых рук – расскажу концепцию. Для начала давайте рассмотрим, как формируется UDID на разных операционных системах агентом AnyConnect:
Соответственно изготавливаем скрипт для наших корпоративных ОС Windows, этим скриптом локально вычисляем UDID по известным вводным и формируем запрос на выдачу сертификата вписывая в нужное поле этот UDID, кстати можно и машинного сертификата, выданного AD (добавив в схему двойную аутентификацию по сертификату Multiple Certificate).
Подготовим настройки со стороны Cisco ASA:
Создадим TrustPoint для ISE CA сервера, именно он будет выписывать сертификаты клиентам. Процедуру импорта Key-Chain рассматривать не буду, пример описан в моей статье по настройке VPN Load-Balancing кластера.
Настраиваем распределение по Tunnel-Group на основании правил в соответствии с полями в сертификате, которым проводится аутентификация. Также здесь настраивается профиль AnyConnect, изготовленный нами на прошлом этапе. Обращаю внимание что я использую значение SECUREBANK-RA, для перевода пользователей с выданным сертификатом в туннельную группу SECURE-BANK-VPN, обратите внимание что данное поле у меня проставлено в графе запроса сертификата профиля AnyConnect.
Настраиваем сервера аутентификации. В моем случае это ISE для первой стадии аутентификации и DUO (Radius Proxy) как MFA.
Создаем групповые политики и туннельные группы и вспомогательные их компоненты:
Туннельная группа DefaultWEBVPNGroup будет использована первично для скачивания AnyConnect VPN клиента и выписки сертификата пользователя используя SCEP-Proxy функцию ASA, для этого у нас активированы соответствующие опции как на самой туннельной группе, так и на ассоциированной групповой политике AC-Download, так и на загружаемом профиле AnyConnect (поля выписки сертификата и т.д.). Также в данной групповой политике указываем на необходимость скачивания ISE Posture Module.
Туннельная группа SECURE-BANK-VPN будет автоматически использоваться клиентом при аутентификации выданным сертификатом в предыдущем этапе, поскольку в соответствии с Certificate Map, соединение ляжет именно на данную туннельную группу. Расскажу про интересные опции здесь:
Далее переходим к ISE:
Настраиваем локального пользователя (можно использовать и AD/LDAP/ODBC и т.д.), для простоты я сделал локального пользователя в самом ISE и назначил в поле description UDID ПК с которого ему разрешен вход по VPN. В случае использования локальной аутентификации на ISE я буду ограничен только одним устройством, поскольку полей не так много, но в сторонних базах аутентификации у меня таковых ограничений не будет.
Посмотрим на политику авторизации, она разделена на четыре этапа соединения:
Посмотрим на интересное условие UUID_VALIDATED, как раз оно и смотрит что аутентифицирующийся пользователь действительно пришел с ПК с разрешенным UDID ассоциированным в поле Description учетной записи, выглядит условия так:
Профиль авторизации, используемый на 1,2,3 этапах выглядит следующим образом:
Проверить как именно нам прилетает UDID от клиента AnyConnect можно посмотрев в ISE детали сессии клиента. В деталях мы увидим, что AnyConnect через механизм ACIDEX присылает не только данные о платформе, но и UDID устройства как Cisco-AV-PAIR:
Обратим внимание на выписанный пользователю сертификат и поле Initials (I), которое используется для того чтобы взять его в роли логина для вторичной аутентификации MFA на Cisco DUO:
На стороне DUO Radius Proxy в логе мы четко видим каким образом идет запрос на аутентификацию, он идет с использованием UDID как имени пользователя:
Со стороны портала DUO видим удачное событие аутентификации:
И в свойствах пользователя у меня установлен ALIAS, который я и использовал для логина, в свою очередь это и есть UDID разрешенного для логина ПК:
В результате мы получили:
Безопасный доступ
с помощью Сisco Duo
Возможности
Нет минимальных требований
Значимость для бизнеса
Сильные стороны
Самый широкий охват
Быстрая защита
Снижение совокупной стоимости владения
Простота использования
Выбор редакции
Политика в отношении обработки персональных данных
1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «ЭффекТек» (далее – Оператор).
Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
Cisco-Duo в процессе работы с веб-сайтом использует файлы cookie для хранения и управления пользовательскими настройками, таргетирования рекламы, включения контента, сбора аналитических данных и данные по использованию в целях улучшения пользовательского опыта.
Настоящая Политика закрепляет перечень всех типов файлов cookie, которые мы используем, способы их использования и методы вашего контроля и управления ими.
Что такое файлы cookie?
Файл cookie – это небольшой текстовый файл, который помещается на компьютер, мобильный телефон или другое устройство при посещении вами веб-сайта, и используется для идентификации устройства пользователя и сбора информации.
Помимо файлов cookie используются другие технологии отслеживания, которые аналогичны файлам cookie (например, веб-маяки, также называемые пиксельными тегами, веб-жучками или анимациями). Все указанные технологии в настоящей Политике далее обозначены как «файлы cookie».
Как мы используем файлы cookie?
Мы используем файлы cookie для получения с вашего устройства информации, такой как: тип вашего устройства, операционная система, IP-адрес, время посещения и другие технические данные, которые позволяют узнать, как вы взаимодействуете с нашим сайтом и электронными средствами связи. Мы распознаем ваше устройство, но не конкретное физическое лицо.
Использование файлов cookie помогает улучшить качество работы нашего веб-сайта, позволяет эффективно перемещаться между страницами, запоминать ваши предпочтения, повышать релевантность рекламы и улучшать пользовательский опыт.
Наши партнёры и иные сервисы, которые могут быть связаны с работой веб-сайта (список может дополняться):
Вы можете управлять файлами cookie в настройках своего браузера, у вас всегда есть возможность изменить эти параметры, принимая, отклоняя или удаляя файлы cookie.
Блокировка или удаление файлов cookie может помешать вам использовать наш веб-сайт. Настройки в разных браузерах могут различаться, для управления файлами cookie следует обратиться к соответствующему разделу в настройках браузера.
Большинство мобильных устройств позволяют изменять настройки файлов cookie в настройках операционной системы мобильного устройства.