Jamf Concepts
Guías

Guías

Habilitación del acceso para dispositivos de confianza

~6 min read

Después de haber establecido la confianza del dispositivo y configurado sus políticas de amenaza y riesgo, está listo para proporcionar a esos dispositivos "autorizados y asegurados" acceso seguro a los recursos de su empresa.

La solución Trusted Access requiere el uso de Jamf Connect, el producto nativo en la nube de Jamf para Acceso a Red Zero Trust, para facilitar conectividad de alto rendimiento y fácil de usar mientras se entregan capacidades avanzadas de seguridad de red para cualquier aplicación SaaS, nube privada o local.

También puede usar integraciones de partners que utilizan señalización de API para indicar el estado de gestión y cumplimiento de un dispositivo determinado. Estas integraciones solo se aplican a un subconjunto de aplicaciones y se pueden usar en lugar de o además de Jamf Connect según sus requisitos.

Info: ¿Qué pasa con mi VPN existente?

Jamf Connect no debe confundirse con otros productos de VPN y ZTNA. Aunque proporciona acceso remoto seguro a recursos como un VPN, habilita de manera única el Acceso de Confianza de formas muy significativas:

  • Es nativo en la nube, utiliza tecnología de túnel Wireguard de próxima generación y adopta integraciones de identidad avanzadas, que en conjunto proporcionan una experiencia de usuario casi invisible pero apreciada.
  • Está diseñado desde cero con base en principios de acceso de menor privilegio, asegurando que los usuarios autorizados solo puedan acceder a los datos que necesitan, no a todo en la red interna.
  • Se integra de forma nativa con los productos de gestión y seguridad de Jamf para asegurar que solo los dispositivos autorizados y seguros puedan acceder a los recursos en función de su propia definición de política basada en riesgos.

Como resultado, el uso de una solución VPN de terceros no puede satisfacer los requisitos necesarios para realizar el Acceso de Confianza.

Para dispositivos macOS, puede configurar además el Acceso Condicional de Partners a través de Jamf Pro para permitir que esos servicios de partners permitan o denieguen el acceso en función del estado de cumplimiento del dispositivo (p. ej., pertenencia a Grupo Inteligente).

Implementación de Jamf Connect

Al implementar Jamf Connect, está creando una ruta de red confiada y privada entre puntos finales gestionados y todas las aplicaciones de su organización.

Info: Nota

Necesitará acceso a una cuenta de Jamf Security Cloud (RADAR) que esté licenciada para Jamf Connect para completar estos pasos.

Si no tiene una cuenta, comuníquese con su equipo de Cuenta de Jamf para que puedan configurar una cuenta de demostración gratuita para usted.

Siga estos pasos para que Jamf Connect esté en funcionamiento en su entorno y establezca conectividad rápida y segura:

  1. Revise y comprenda la Arquitectura de Jamf Connect, o vea este video de JNUC'21 de 20 minutos que le presenta una introducción.

  2. Inicie sesión en su cuenta de Jamf Security Cloud y vincule su proveedor de identidad para permitir que los usuarios finales activen Private Access a través de la aplicación Jamf Trust usando sus credenciales corporativas.

  3. Cree un Perfil de Activación que configure las capacidades de servicio de Acceso a Red, Controles de Contenido y Seguridad y utilice su proveedor de identidad para la autenticación. JSC-ActivationProfile-TA.png

    1. Asegúrese de deshabilitar el Aprovisionamiento Basado en Identidad para su perfil de activación recién creado. Esto asegurará que solo los dispositivos gestionados puedan activarlo.
    2. Puede crear otros Perfiles de Activación que utilicen esta característica para cubrir dispositivos de contratistas u otros dispositivos que no pueden inscribirse en MDM, pero que deberían tener solo acceso muy limitado.

  4. Defina grupos de dispositivos que se utilizarán para asignar usuarios y sus dispositivos a aplicaciones específicas a las que deberían (o no deberían) poder acceder (p. ej., "Ejecutivos", "Ingeniería", "Ventas")

  5. Configure la integración con Jamf Pro.

    1. Configure la asignación de grupos para asignar Grupos Inteligentes de Jamf Pro a los grupos apropiados que definió anteriormente.
    2. (Opcional) Defina las asignaciones de campos de dispositivo según corresponda.

  6. Establezca acceso seguro a sus aplicaciones y recursos de datos mediante la configuración de uno o más gateways de interconexión privada entre Jamf Security Cloud y su(s) centro(s) de datos y nube(s) privada(s).

  7. Configure zona(s) de DNS Personalizada si utiliza un servidor de nombres de dominio interno o DNS split-brain para acceder a recursos internos.

  8. Configure Políticas de Acceso que definan las aplicaciones de su organización, sus políticas de acceso y alcanzabilidad (ya sea a través de Internet público o un gateway de interconexión privada configurado).

    1. Si la aplicación que está definiendo contiene datos sensibles, asegúrese de limitar el acceso solo a los grupos que necesitan acceder en la pestaña Usuarios y Grupos, y defina el nivel de riesgo máximo tolerable en la pestaña Seguridad de la política de acceso.
    2. Nota: puede personalizar la gravedad de cada categoría de amenaza que determina la puntuación de riesgo de un dispositivo usando la configuración de política de seguridad de RADAR.

  9. Implemente Jamf Trust en Dispositivos (el agente de punto final de Jamf Connect) usando Jamf Pro u otras herramientas de gestión de dispositivos aplicables para las plataformas de sus dispositivos inscritos.

    1. Para dispositivos iOS/iPadOS BYOD, asegúrese de seguir las instrucciones específicas de "Implementar Jamf Trust" para User Enrollment.

Cuando Jamf Connect se implementa y configura correctamente, toda la conectividad de aplicaciones empresariales se cifra a Jamf Security Cloud y está sujeta a políticas de acceso que se han definido.

Para una explicación técnica y detallada de cómo funciona Private Access, consulte nuestra Guía del Ingeniero de Red para Private Access.

Integraciones de Estado de Gestión de Partners

Aunque Jamf Connect se utiliza para habilitar conectividad basada en red y control de acceso a cualquier aplicación TCP o UDP (incluyendo aplicaciones SaaS y locales privadas), es posible señalar el estado de gestión de un dispositivo y otros metadatos a través de integraciones con partners seleccionados.

Esto permite que la plataforma del partner determine si un dispositivo determinado está gestionado por Jamf Pro y cumple con requisitos específicos. También se puede usar para señalar el estado de cumplimiento o nivel de riesgo del dispositivo para impulsar el Acceso Basado en Riesgos a los datos de la empresa. Estas señales se utilizan para informar políticas tal como se definen en la plataforma de acceso del partner.

Las integraciones de gestión de partners de Jamf incluyen:

Restricción de Acceso para Dispositivos Anónimos

Después de implementar una o ambas estrategias anteriores para identificar dispositivos de confianza, su próximo paso es configurar aplicaciones para permitir solo conexiones de estos dispositivos "de confianza".

Consulte Restricción de Acceso para Dispositivos Anónimos para más detalles.