Secure by Design bezieht sich auf eine Sicherheitsarchitektur und einen Ansatz, bei dem Sicherheitsergebnisse eine primäre Überlegung und Grundlage eines bestimmten Systems darstellen.
Beispielsweise sind moderne mobile Betriebssysteme durch Design sicher, indem ihre Apps in bewusst eingeschränkten und kontrollierten Sandbox-Umgebungen ausgeführt werden, die vom Betriebssystem und anderen Apps isoliert sind.
Secure by Design versus Secure by Configuration
Die meiste Enterprise IT heute ist nicht Secure by Design, sondern Secure by Configuration. Dies gilt besonders in Windows-basierten Umgebungen, in denen umfangreiche Legacy-Technologie und eine Vielzahl von Herstellern miteinander interoperieren müssen. Die Verwaltung dieser Systeme und ihrer praktisch unbegrenzten möglichen Kombinationen von Hardware, Software und Peripheriegeräten erfordert umfangreiche Konfiguration und Wartung, um bekannte Sicherheitslücken sowie solche, die unvermeidlich entstehen, wenn sich Tools, Softwareversionen und Anforderungen ändern, zu schließen.
Apple hingegen bietet einen streng kontrollierten und vertikal integrierten Technologie-Stack, der von Natur aus Secure by Design ist. Durch eine viel begrenztere Kombination von Hardware, Software und Peripheriegeräten – und mit strikten Interoperabilitätsstandards für Produkte von Drittanbietern – sind Sicherheitsergebnisse in die Konzeption, Entwicklung und Wartung ihrer Produkte eingebettet.
Secure by Design in der Enterprise
Während Secure by Design-Architekturen einige Funktionen in geschlossener, unveränderlicher Weise bieten (wie das oben erwähnte App-Sandboxing-Beispiel), kann ein Gerät nicht so abgeschottet sein, dass es nicht in andere Systeme integriert werden kann. Dafür werden gut definierte und durch Design sichere APIs bereitgestellt, die Drittanbieter übernehmen können und Funktionen bieten, die mit der Secure by Design-Architektur des Herstellers kompatibel sind.
Apple bietet eine umfangreiche Sammlung von APIs und Frameworks, die die wichtigsten IT-Funktionsbereiche abdecken, die erforderlich sind, damit ein Endpoint in einer Enterprise-Umgebung unterstützt und sicher ist:
Device Management - Registrierung von Endpoint-Assets in einem System, in dem Richtlinien durchgesetzt, Apps bereitgestellt und der Lebenszyklus verwaltet werden können.
Identity - Bereitstellung von hochsicherer und häufig kryptografischer Authentifizierung sowohl von Benutzer- als auch von Geräteidentitäten bei der Verbindung zu Enterprise-Systemen.
Connectivity - Bereitstellung von Funktionen für den Endpoint, um ubiquitäre und sichere Kommunikation mit öffentlichen und privaten Ressourcen zu ermöglichen.
Security - Frameworks, die es Sicherheitsfachleuten ermöglichen, Benutzer- und Systemverhalten zu überprüfen und darauf zu reagieren, das auf böswillige Aktivitäten hinweisen könnte, sowie Werkzeuge für Entwickler bereitzustellen, um sichere Apps auf ihrem Betriebssystem zu erstellen.
Apps - Eine sichere Laufzeitumgebung für Anwendungen von Drittanbietern sowie Verteilungs- und Attestierungsdienste.
Secure by Design und Jamf
Obwohl ursprünglich auf Endpoint-Verwaltung ausgerichtet, hat sich die Jamf-Plattform weiterentwickelt, um umfassendere Endpoint-Sicherheits- und Verwaltungsergebnisse zu unterstützen, indem viele der Secure by Design-APIs und Frameworks integriert werden, die Apple nun in seinen neuesten Betriebssystemen anbietet.
Durch die Kombination und Konzentration auf die Entwicklung von Management-, Identity-, Connectivity- und Security-APIs kann Jamf sicherstellen, dass Apple-Geräte in der Enterprise reibungslos und sicher funktionieren.
Beispielsweise ist eine kombinierte Secure by Design-Implementierung, die von Jamf angeboten wird, unser Network Relay-Service, der Folgendes umfasst:
Ein sicherer Cloud-Service für Datenverkehrslenkung, der das integrierte Network Relay Framework von Apple nutzt (Connectivity)
Das mit hochsicherer Authentifizierung unter Verwendung von ACME Device Attestation authentifiziert wird (Identity)
Mit Geräteintegrität und Compliance-Überprüfung durch Analyse der Endpoint Security API (Security)
Bereitgestellt zero-touch über MDM und DDM (Management)
Secure by Design und das Zero Trust Ecosystem
Jamf bietet diese Funktionen, um Kunden bei der Implementierung von Best-of-Apple Secure by Design-Optionen bei der Gestaltung einer Zero Trust-Architektur in ihrer Umgebung zu unterstützen.
Die meisten Organisationen – besonders Unternehmen – nutzen plattformübergreifende Tools, die von Natur aus Secure by Configuration sind. Während diese Tools umfassende Abdeckung und Sichtbarkeit über die gesamte Endpoint-Flotte einer Organisation bieten, lassen diese Lösungen Lücken bei Apple-Endpoints, da sie nicht mit Secure by Design-Prinzipien entwickelt wurden.
Jamf füllt diese Lücken, und durch Integrationen mit führenden IT- und Cybersecurity-Anbietern kann Jamf die Wirksamkeit und Funktionalität dieser Tools erweitern und verbessern.
Kombiniert kann Jamf umfassende Secure by Design-Ergebnisse bieten, die gut mit Apples Designprinzipien abgestimmt sind, während es Tools ergänzt, die entwickelt wurden, um Herausforderungen zu bewältigen, die eher funktionsübergreifend sind.