Cisco DUO Security

  • Tipologia: SaaS
  • ID Scheda: SA-1217
  • Stato corrente: QUALIFICATA
  • Azienda fornitrice: Cisco Systems Italy S.r.l.
  • Referente commerciale: Donatella Sanzone
  • Data di qualificazione: 15-07-2020 12:30

Descrizione generale del servizio

Duo è una piattaforma di sicurezza basata su cloud che protegge l'accesso alle applicazioni sia cloud che presenti all’interno del perimetro aziendale, per qualsiasi utente e dispositivo, da qualsiasi luogo. Duo verifica l’identità degli utenti con un’autenticazione a due fattori ed inoltre abbina informazioni approfondite sui dispositivi con cui gli utenti accedono alle applicazioni per implementare politiche di controllo condizionando l'accesso sulla base della postura di sicurezza del device utente.DUO è integrato con moltissime applicazioni sia di tipo “on premise” (es. VPN) che in cloud (es. O365, Webex), documentazione al seguente link https://duo.com/docs. Esistono tre diversi modelli di licenze in funzione delle funzionalità abilitate: DUO MFA ,DUO Access e DUO Beyond.

Caratteristiche funzionali del servizio

  • Autenticazione a 2 fattori: sono supportati vari metodi per autenticazione a due fattori come DUO Push One Time Password, SMS, chiamate telefoniche di callback, Cisco DUO Security. Esistono tre diversi modelli di licenze in funzione delle funzionalità abilitate: DUO MFA ,DUO Access e DUO Beyond. tokenhardware, U2F. I vari metodi disponibili sono al seguente link. https://duo.com/product/multi-factor-authentication-mfa/authentication-methods . Il DUO push, richiede un app da installare sullo smartphone (iOS, Android) e semplifica l’utilizzo del secondo fattore di autenticazione tramite approvazione della propria identità su base notifica sullo smart-phone
  • Visibilità degli endpoint: DUO utilizza differenti metodologie per avere visibilità sugli endpoint sia senza agent che con uno specifico agent.In tal modo è possibile verificare parametri quali:oVersione Sistema OperativooTipo di browser e relativa versioneoTipologie di plugin Flash o Java utilzzateoUtilizzo di Crittografia del disco oAbilitazione del Firewall oUtilizzo di AV or Anti-Malware
  • Funzionalità di TrustedEndpoint: DUO permette di analizzare se un endpoint è di tipo gestito (managed) oppure personale (unmnaged) tramite utilizzo di un certificato (https://duo.com/docs/trusted-endpoints)
  • Applicazione di politiche granulari di accesso alle applicazioni protette da DUO
  • Duo fornisce una piattaforma di gestione per la gestione degli utenti (DUO Admin) fornita in CLOUD da dove è possibile inserire gli utenti (enrollment), configurare i metodi di accesso alle applicazioni protette, configurare le policy di accesso alle applicazioni, reportistica e log
  • DUO inoltre fornisce una reportistica completa per identificare utenti connessi, con quale metodo di 2FA, posizione, orari di accesso, postura del device

Benefici offerti dal servizio

  • User Trust:Autenticazione a due fattori (2FA) per utenza che accede all’applicazione presente sia all’interno del perimetro aziendale che in cloud. In tal modo è possibile proteggere l’accesso alle applicazioni con una password forte.
  • Device Visibility: visibilità del device con cui l’utente accede ottenendo versione del sistema operativo, browser e plug-in come Flash/Java. Inoltre tramite un agent installato su laptop o desktop (Windows 10 o macOS 10.13+) è possibile verificare se l’utente ha abilitato sul proprio dispositivo il firewall, encryption del disco fisso,la password di sistema e l’ultizzo di agenti per la sicurezza del endpoint (sono supportati AMP EP, Crowdstrike Falcon,Symantec Endpoint, Windows Defender). Con DUO è possibile avere un insieme di informazioni sul device con cui utente accede all’applicazione, tale informazioni sono fondamentali per profilare l’utenza e creare politiche di accesso alle applicazioni utilizzando tali paramentri.
  • Trusted Endpoint: identificazione di apparati di tipo “gestito”(trusted) tramite utilizzo di un certificato DUO installato sull'endpoint.
  • Device Trust: definizione politiche di accesso all’applicazione protetta da DUO basandosi sulla visibilità degli endpoint (es. versione del OS, browser etc),localizzazione degli utenti(es. accesso solo dall’Italia) o tramite apparati gestiti. In tal modo è possibile selezionare l’accesso alle applicazioni basandosi sulla postura di sicurezza degli endpoint.
  • Soluzione senza la necessità di hardware e che abilita un modello di tipo Zero Trust per le amministrazioni

Piattaforma Cloud attraverso la quale è erogato il servizio

Amazon AWS

Cloud Deployment Model

Public Cloud

Specificare altra rete pubblica

  • Altra rete pubblica (specificare) (NA)

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
  • AMAZON WEB SERVICES EMEA SARL

Eventuali servizi correlati NON qualificati nel Marketplace

Cisco AMP for Endpoint (in corso di qualificazione - sottomesso come SaaS)

Sono richiesti prerequisiti?

I prerequisiti riguardano altri servizi Cloud?

No

Eventuali altri prerequisiti

  • DUO Access Gateway che abilita l’integrazione di DUO con applicazioni cloud ed il database utenti (come Microsoft Active Directory, OpenLDAP o Descrizione SAML 2.0 Identity Provider) tramite SAML (Security Assertion Markup Language) 2.0
  • DUO Authentication Proxy è un servizio software che riceve le richieste di autenticazione dalle applicazioni via RADIUS o LDAP ed opzionalmente effettua la richiesta di autenticazione primaria dell’utente su un database LDAP o RADIUS e successivamente contatta DUO per effettuare l’autenticazione secondaria (2FA)
  • DUO Network Gateway abilita l’accesso alle applicazioni web interne (on premise) da qualsiasi device, browser senza dover installare o configurare un software per accesso remoto. DUO Network Gateway effettua autenticazione primaria dell’utente tramite un SAML 2.0 IdP, abilita utente all'autenticazione secondaria per poi dare accesso alle applicazioni
  • Duo Mobile App che abilita su smartphone (iOS ed Android) il secondo fattore di autenticazione

Esistono dipendenze?

No

Eventuali standard e certificazioni

I processi operativi di DUO Security sono compliant con SOC2(AICPA) -DUO è compliant con FIPS 140-2 per DUO Mobile Push e Mobile Passcodecon nessuna richiesta di configurazione aggiuntiva -NIST 800, ISO 27001 -GDPR compliance

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: 24x7
  • Telefono: Disponibile
  • Ore supporto: 24x7
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: 24x7
  • Web chat: Disponibile
  • Ore supporto: 24x7
  • Assistenza on-site: Disponibile
  • Ore supporto: 24x7 (tramite Partner)
  • Assistenza remota: Disponibile
  • Ore supporto: 24x7
  • Eventuale altro canale (specificare): Non disponibile

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 1 ora
  • Tempo di disattivazione: 1 giorno

Modalità e processo di attivazione

Il servizio viene attivato automaticamente a fronte della conferma dell’ordine del cliente. Il cliente riceverà un link per la creazione dell’account sul suo tenant in Cloud.

Modalità e processo di disattivazione

Il servizio verrà disattivato al termine contrattuale od alla richiesta esplicita da parte del cliente di disattivazione del servizio. DUO usa tecniche dettagliate in NIST 800-88 (“Guidelines for Media Sanitization”) come parte del processo di decomissioning del servizio.

Estrazione dei dati a seguito di disattivazione

Al termine della sottoscrizione, il tempo di retention dei dati/logs è di un anno mentre i log di backup sono mantenuti per 3 anni. Nel caso in cui il cliente chiede in maniera esplicita la cancellazione inviandone richiesta a privacy@cisco.com, Cisco DUO procederà con la cancellazione dei dati (il processo può richiedere circa un mese).

Dati esportabili

  • Formato dei dati esportabili: JSON, CSV
  • Dati derivati (configurazioni, template, log, ecc.): Configurazione e log

Formati in cui è possibile estrarre i dati

JSON, CSV

Estrazione e formati di altri asset (in seguito a disattivazione)

Non sono presenti altri asseta meno di utilizzo dei software per integrare DUO con le applicazioni da proteggere ossia DUO Access Gateway, DUO Network Gateway, DUO Authentication Proxy

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser
  • App Mobile

Specificare i browser supportati

  • Explorer (8)
  • Firefox (6.0+ su MacOs o Windows)
  • Chrome (7.0+ su MacOs o Windows)
  • Safari (13+ su MAcOs)
  • Microsoft Edge 7.9+

Differenze nella fruizione del servizio tra la versione Mobile e la versione Desktop

nessuna

Documentazione tecnica

La documentazione tecnica pubblica è presente al seguente link: https://duo.com/docs

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile e navigabile su Web (https://duo.com/docs)

Elenco delle lingue in cui è disponibile la documentazione

  • Inglese

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (https://api-XXXXXXXX.duosecurity.com. (XXXXXX indica l'API Host name))
  • Sono presenti meccanismi di autenticazione per le API (http basic authentication )
  • Viene fornita la documentazione delle API in formato Web (https://duo.com/docs/adminapi https://duo.com/docs/authapi)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

Le DUO API consentono agli sviluppatori di integrarsi con la piattaforma di Duo Security per creare, recuperare, aggiornare ed eliminare gli oggetti principali nel sistema di gestione DUO: utenti, telefoni, token hardware, amministratori e integrazioni. Inoltre, tramite API è possibile ottenere i logs di autenticazione degli account DUO, recuperare report e altre informazioni.

Specificare le piattaforme abilitanti supportate dal servizio

  • Altro (specificare) (NA)

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • Duo è una piattaforma SaaS multi-tenant e non è disponibile ”on-premise”. Alla risoluzione del contratto SaaS od alla scadenza del periodo di sottoscrizione del servizio, Duo cesserà immediatamente di fornire i servizi SaaS e tutti i diritti di utilizzo concessi ai sensi del contratto. Dopo la notifica della risoluzione del contratto, il servizio viene disattivato. Duo mantiene un processo di disattivazione progettato per impedire che i dati sensibili vengano esposti a persone non autorizzate. Duo utilizza le tecniche dettagliate nel NIST 800-88 ("Guidelines for Media Sanitization ") come parte del processo di disattivazione. Tutti i dati di registro possono essere estratti tramite la console di amministrazione basata sul web.

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

Deve essere richiesta l'aggiunta di licenze qualora non fossero sufficienti per il Cliente. I modelli di licensing di tipo Enterprise Agreement, che comprendono almeno due soluzioni di sicurezza Cisco, includono già il 20% di crescita all'interno della subscription. Scalabilità superiori non sono automatiche e devono essere richieste mediante variazione delle condizioni contrattuali.

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

DUO, tramite la sua console di gestione, consente di ottenere lo stato dell’implementazione della soluzione (deployment progress). Il report relativo allo stato d’implementazione della soluzione permette di capire quanti utenti stanno usando DUO in base alle licenze comprate, quanti utenti hanno implementato la 2FA e la percentuale di utenti autenticati con successo.

Metriche e statistiche disponibili

DUO, tramite la sua console di gestione, consente di ottenere la seguente tipologia di report: -Autenticazioni utente effettuate con successo -Autenticazioni utente negate -Stato dell’implementazione della soluzione (deployment progress) https://duo.com/blog/enhanced-duo-dashboard-reports-and-logs-for-better-visibility-into-authentications Cisco DUO fornisce informazioni sull’operatività dei propri servizi (Authentication Service, Admin Panel, DUO Push, Phone and SMS Delivery) e l’amministratore può configurare allarmi sullo stato dei servizi https://status.duo.com/

Report disponibili

DUO, tramite la sua console di gestione, consente di ottenere la seguente tipologia di report: -Autenticazioni utente effettuate con successo -Autenticazioni utente negate -Stato dell’implementazione della soluzione (deployment progress)

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99,9%
  • Maximum First Support Response Time (in minuti): 480 minuti

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?:

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?:
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?:

Meccanismi di autenticazione degli utenti supportati

L’autenticazione a due fattori è disponibile per gli amministratori della soluzione

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

  • Descrizione: E' possibile effettuare autenticazione a livello locale oppure federata (tramite SAML)

Disponibilità di autenticazione a 2 fattori

Politiche di accesso alle informazioni in audit

  • In tempo reale:
  • Differenziata tra utilizzatori e fornitore:
  • Tempo minimo di conservazione delle informazioni di audit: 1 giorno
  • Tempo massimo di conservazione delle informazioni di audit: illimitato
  • Tempo minimo di conservazione dei log di servizio: 1 giorno
  • Tempo massimo di conservazione dei log di servizio: illimitato

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 Numero di utenti utenti 10
Parametro 2 Tipologia di licenza utenti 10

Prezzo base del servizio

  • Prezzo base in euro (in euro): 2,63 euro/mese (prezzo listino Cisco)
  • Eventuale costo di attivazione (in euro): Non previsto

Altre condizioni

Sono disponibili tre possibili tipologie di servizio: MFA Edition, Access Edition e Beyond Edition. Il prezzo indicato per la licenza MFA Edition è ad utente/mese a listino. E’ previsto un supporto di tipo premium “Duo Care Premium Support” in cui sono presenti servizi di consulenza dedicati al cliente per indirizzare le seguenti tematiche: .Strategia di implementazione per DUO .Pianificazione delle politiche di sicurezza .Servizi di trainings .Condivisione dei piani di sviluppo di prodotto .Condivisione di “best practice” Il servizio Premium comporta un miglioramento negli SLA del servizio (99.95%) e dei tempi di risposta del supporto. Ulteriori dettagli sono al seguente link https://duo.com/support/duo-care. Il costo del servizio Duo Care Premium Support dipendono dal numero di utenti per cui si è acquisito il servizio.

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?:
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità:

Tempistiche per la presa in carico e gestione delle segnalazioni

Il tempo per la presa in carico e la gestione delle segnalazioni dipende dal livello di servizio di supporto e dalla gravità del caso e può variare tra un'ora ed un giorno.

Localizzazione dei data center

Localizzazione (anche parziale) in territori extra UE

Elenco degli stati esteri extra UE in cui sono localizzati i data centers che costituiscono l'infrastruttura Cloud

  • Canada
  • Stati Uniti d'America

Rispetto alle nazioni extra UE di cui al punto precedente, sono in essere accordi bilaterali con l'Italia (o con l'UE) volti alla salvaguardia della riservatezza e proprietà dei dati?