Kimlik avı, zayıf parola ve çalınan oturum bilgileri birçok ihlalin başlangıç noktasıdır. MFA bu riski azaltır; ancak tek başına "telefona bildirim gönder" yaklaşımı yeterli değildir. Cisco Duo projelerinde kullanıcı, cihaz, lokasyon, uygulama hassasiyeti ve risk seviyesi birlikte değerlendirilmelidir.
Kısa karar: Duo'yu en değerli sistemlerden başlatın: VPN, yönetici panelleri, Microsoft 365/Google Workspace, RDP/VDI ve finans uygulamaları. Sonra politikayı tüm kullanıcı gruplarına genişletin.
Duo Politika Tasarım Tablosu
| Senaryo | Risk | Önerilen Politika |
|---|---|---|
| VPN erişimi | Çalınan parola ile iç ağa giriş. | MFA zorunlu, cihaz sağlığı kontrolü ve ülke/IP kısıtı. |
| Yönetici hesapları | Yetki yükseltme ve kritik sistem yönetimi. | Daha sık doğrulama, phishing-resistant yöntemler ve ayrı admin grubu. |
| SaaS uygulamaları | Bulut veri sızıntısı. | SSO entegrasyonu, koşullu erişim ve riskli cihaz engeli. |
| Mobil kullanıcılar | Kayıp cihaz veya güncel olmayan işletim sistemi. | Cihaz güven durumu, ekran kilidi ve güncel OS kontrolü. |
Kullanıcı Deneyimini Bozmadan MFA Yaygınlaştırma
Başarılı MFA projelerinde iletişim planı teknik kurulum kadar önemlidir. Kullanıcıya hangi uygulamalarda Duo isteği geleceği, yeni telefon alınca ne yapılacağı ve push bildirimini yanlışlıkla onaylamaması gerektiği açıkça anlatılmalıdır.
- Pilot grup: IT ve küçük bir departmanla başlayın.
- Kurtarma planı: Telefon değişimi, kayıp cihaz ve yedek doğrulama yöntemleri belirlenir.
- Riskli bildirim: Kullanıcı beklemediği Duo isteğini reddetmeli ve IT'ye bildirmelidir.
- Raporlama: Başarısız denemeler, sıra dışı lokasyonlar ve riskli cihazlar düzenli incelenir.
Kaynak ve Güncel Not
Bu rehber Cisco Duo'nun resmi MFA ve access security yaklaşımı dikkate alınarak hazırlanmıştır. En doğru lisans ve politika kapsamı, korunacak uygulamalar ve kullanıcı grupları envanteriyle belirlenmelidir.
