Die Gewährleistung der Gerätekonformität ist ein entscheidender Eckpfeiler für Organisationen, um ihre IT-Ressourcen zu schützen und kontrollierten, sicheren Zugriff auf wesentliche Ressourcen zu wahren. Verschiedene Anbieter und Lösungen bieten einzigartige Workflows und Funktionen zur Erreichung dieses Konformitätsstatus. Jamf bietet mehrere Integrationen – sei es Microsoft Entra Conditional Access, Okta Identity Threat Prevention, Google BeyondCorp Enterprise Context-Aware Policy oder AWS Verified Access – jede Integration zielt auf das wesentliche Bedürfnis ab, nur vertrauenswürdigen Benutzern von konformen Geräten Zugriff auf Organisationsressourcen zu ermöglichen.
Organisationen verlassen sich typischerweise auf plattformübergreifende Integration, um relevante Gerätestatus-Informationen auszutauschen. Basierend auf diesen Status erzwingen verschiedene Systeme Compliance-Kontrollen, um Zugriff auf spezifische Ressourcen zu ermöglichen oder zu beschränken.
Für Organisationen, die bereits in vorgenannte Gerätekonformitäts-Workflows involviert sind, kann die Ressourcenzugriffskontrolle weiter gestärkt werden, indem native Funktionen und Technologien innerhalb von Jamf Pro und Jamf Connect genutzt werden. Die folgende Lösung wird untersuchen, wie eine Gerätekonformitäts-Baseline mit Jamf Pro definiert wird und wie sichere Zugriffskontrolle mit appspezifischen Verbindungen zu SaaS- oder lokalen Ressourcen mithilfe von Jamf Connect automatisiert wird.
Etablierung einer Compliance-Baseline
Bei der Untersuchung der Gerätekonformität ist es wichtig zu erkennen, dass jede Organisation ihre eigenen eindeutigen Anforderungen und Bedürfnisse hat, die definieren, was ein konformes Gerät ausmacht. Folglich gibt es keine universelle Compliance-Baseline, die alle Kontrollen abdeckt.
Wir müssen jedoch grundlegende Faktoren berücksichtigen, die in Umgebungen vorhanden sind, die Best Practices für die Etablierung einer sicheren und konformen Baseline befolgen. Während keine einzelne Compliance-Baseline für jede Organisation geeignet ist, besteht ein grundlegender Konsens darüber, was Best Practices ausmacht. Für diese Anleitung verwenden wir die folgenden Kriterien als grundlegende Basis zur Etablierung des Gerätekonformitätsstatus:
| macOS | iOS/iPadOS |
|---|---|
| Installation einer AV/EDR-Lösung | Jailbreak erkannt |
| AV/EDR-Lösung ist aktiv und läuft | Passcode-Status |
| Letzter AV/EDR-Check-in | iOS/iPadOS-Version |
| FileVault-Status | Letztes Inventory-Update |
| OS-Version | Letzte Sicherung |
| Letzter Inventory-Check-in |
⚠️ WICHTIGER HINWEIS ⚠️
Bitte beachten Sie, dass die oben aufgeführten Kriterien lediglich Beispiele sind, die zu beachten sind. Andere innerhalb von Jamf erfasste Inventory-Werte können ebenfalls als Kriterien zur Formulierung einer auf Ihre Organisation zugeschnittenen Compliance-Baseline dienen. Betrachten Sie diese Liste daher als Referenz und nehmen Sie erforderliche Anpassungen vor, um sie an Ihre spezifischen Anforderungen der Gerätekonformität auszurichten.
- Beispiele:
Modell des Geräts
Definieren, ob eine bestimmte Konfiguration bereitgestellt ist
Definieren, ob eine bestimmte App installiert ist
Etc.
Für stärker regulierte Branchen und Behörden können Sie auch den Jamf Compliance Editor nutzen, um Sicherheits-Benchmarks oder Baselines einschließlich CIS, NIST 800-53 & 800-171, DISA STIG, CNSSI und CMMC zu etablieren.
Workflow-Übersicht
Die Jamf Pro Inventory-Informationen bilden die Grundlage des Gerätekonformitätsstatus.
Je nachdem, welche spezifischen Kriterien verwendet werden, fällt der macOS- oder iOS-Endpunkt in eine der konfigurierten Smart Groups und signalisiert ein Webhook-Event an Jamf Security Cloud zum Synchronisieren der Endpunkt- und Gruppenstatus-Zuordnung.
Der macOS- oder iOS-Endpunkt wird einer entsprechenden Gruppe in Jamf Security Cloud hinzugefügt, die begrenzten Zugriff auf die spezifische Ressource hat.
Die Access Policy von Jamf Security Cloud bildet die Grundlage der Netzwerkkonnektivität, indem Device Group Mapping verwendet wird. Geräte, die nicht zur Gruppenzuweisung gehören, werden nicht über Jamf Cloud Gateway weitergeleitet und verwenden den gewünschten Egress-Endpunkt.
SaaS - Bei Kombination mit IP-Lockdown-/Allow-Listing-Funktionen hat das Gerät eingeschränkten Zugriff auf den SaaS-Mandanten, als Ergebnis davon, dass das Gerät nicht von einer vertrauenswürdigen Egress-IP aufgelöst wird.
Lokal - Die Verbindung zum lokalen Netzwerk wird nicht hergestellt, wenn das Gerät nicht der Gruppe angehört.
Sobald die spezifische Konformitätsanforderung (z. B. OS-Update) behoben ist und Inventory-Informationen mit Jamf Pro synchronisiert werden, löst der Endpunkt das entsprechende Webhook aus, um das Gerät automatisch zurück in die konforme Gruppe zu versetzen und die vertraute Verbindung zur Unternehmensressource wiederherzustellen.
Anwendungsfälle
Bevor wir zum eigentlichen Workflow übergehen, werfen Sie zunächst einen Blick auf einige relevante Anwendungsfälle, die diesen Workflow involvieren könnten.
| Als Administrator möchte ich |
|---|
| Den Zugriff auf zentrale Unternehmensressourcen automatisch einschränken, bis das Gerät konform ist |
| Bestehende Gerätekonformitäts-Workflows wie Google BeyondCorp, Microsoft Entra Conditional Access, Okta Identity Threat Prevention und AWS Verified Access Integrationen verbessern und ergänzen, indem nahezu Echtzeit-kontinuierlicher Zugriff für bereitgestellt wird |
| Jede App, jeden Browser und jedes Protokoll |
| Kontrolle zwischen Anmeldungen anwenden |
| ZTNA-Framework übernehmen, um Sicherheitsmaßnahmen zu verbessern, die Angriffsfläche zu minimieren, strenge Zugriffskontrollrichtlinien zu erzwingen, das Drittanbieterrisiko zu senken und den Vermögensschutz zu verbessern. |
| Endbenutzern ermöglichen und ein nahtloseres und geführtes Erlebnis zur Behebung des Gerätekonformitätsstatus bieten. |
Workflow-Voraussetzungen
Zugriff auf Jamf Pro und Jamf Security Cloud
Berechtigungen in Jamf Pro zum Erstellen von macOS Extension Attributes
Berechtigungen in Jamf Protect (Jamf Security Cloud Portal) zum Bearbeiten der UEM Connect Integration und Bearbeiten der Access Policy
Konfigurierte UEM Connect zwischen Jamf Protect (Jamf Security Cloud) und Jamf Pro
Jamf Pro Webhook in UEM Connect Integration aktivieren
Zugriff auf SaaS-Mandant zur Erzwingung von IP-Lockdown/Allow-Listing
Workflow erstellen
⚠️ Bevor wir beginnen ⚠️
Diese Konfigurationsanleitung soll ein grundlegendes technisches Framework und Anleitung zur Etablierung einer grundlegenden Baseline für die Gerätekonformität bereitstellen.
Vor der Implementierung dieser Lösung außerhalb kontrolierter Testumgebungen sollten Sie die Anforderungen der Informationssicherheit Ihrer Organisation beachten. Wir empfehlen, mit internen Stakeholdern zusammenzuarbeiten, um Compliance-Kriterien-Definitionen für Ihre von Jamf verwalteten Geräte ordnungsgemäß zu definieren.
Jamf Pro: Erstellen eines macOS Extension Attribute in Jamf Pro
Die folgenden Einstellungen sind nur erforderlich, wenn Sie den Workflow für macOS konfigurieren
Als Teil der Gerätekonformitäts-Baseline erstellen wir Extension Attributes, um den Status von AV/EDR (z. B. in dieser Anleitung nutzen wir Jamf Protect) für macOS-Geräte zu erfassen.
Melden Sie sich bei der Jamf Pro Instanz an, die für diesen Workflow verwendet wird.
Navigieren Sie im Navigationsmenü zu Einstellungen.
Navigieren Sie zu Computer Management
Wählen Sie Extension Attributes aus und öffnen Sie diese.
Wählen Sie in der rechten oberen Ecke
+ Newaus.Geben Sie die folgenden Details ein:
Name: Jamf Protect Installed
Datentyp: String
Inventory-Anzeige: Extension Attribute
Eingabetyp: Script
`#!/bin/bash
Jamf Pro Extension Attribute which checks and validates the following:
Jamf Protect is installed and located under /Applications
ProtectStatus="/Applications/JamfProtect.app"
if [ -e "$ProtectStatus" ]; then echo "Installed" else echo "Not Installed" fi
exit 0` 
- Drücken Sie dann Speichern.
Wiederholen Sie die Schritte (1-5) und ändern Sie Schritt 4 mit den folgenden Parametern ab
Name: Jamf Protect Status
Datentyp: String
Inventory-Anzeige: Extension Attribute
Eingabetyp: Script
`#!/bin/bash
Jamf Pro Extension Attribute which checks and validates the following:
Ensure Jamf Protect is active and running by checking for Jamf Protect process
JPProcess=$( pgrep JamfProtect ) if [[ -n "$JPProcess" ]]; then echo "Active" else echo "Not Active" fi
exit 0` 
- Drücken Sie dann Speichern.
Verwandte Artikel
Automatische Netzwerk-Isolation mit Jamf Protect