Garantizar el cumplimiento de los dispositivos se erige como una piedra angular crucial para las organizaciones, salvaguardando sus activos de TI y manteniendo un acceso controlado y seguro a recursos esenciales. Diversos proveedores y soluciones ofrecen flujos de trabajo y capacidades únicos para lograr este estado de cumplimiento. Jamf ofrece múltiples integraciones, ya sea con Microsoft Entra Conditional Access, Okta Identity Threat Prevention, Google BeyondCorp Enterprise Context-Aware Policy o AWS Verified Access, cada integración se enfoca en la necesidad esencial de permitir que solo usuarios de confianza desde dispositivos compatibles accedan a los recursos organizacionales.

Las organizaciones típicamente dependen de integración multiplataforma para intercambiar información relevante sobre el estado del dispositivo. Basándose en estos estados, diversos sistemas aplican controles de cumplimiento para permitir o restringir el acceso a recursos específicos.

Para aquellos ya comprometidos en los flujos de trabajo de cumplimiento de dispositivos mencionados anteriormente, el control de acceso a recursos puede fortalecerse aún más aprovechando características y tecnologías nativas dentro de Jamf Pro y Jamf Connect. La siguiente solución explorará cómo definir una línea base de Cumplimiento de Dispositivos usando Jamf Pro, y cómo automatizar el control de acceso seguro con conexión por aplicación a recursos SaaS o locales usando Jamf Connect.

Establecimiento de una Línea Base de Cumplimiento

Al examinar el cumplimiento de dispositivos, es importante reconocer que cada organización tendrá su propio conjunto único de necesidades y requisitos que dicten qué constituye un dispositivo compatible. En consecuencia, no existe una línea base de cumplimiento única que cubra todos los controles.

Sin embargo, debemos considerar factores fundamentales presentes en entornos que se adhieren a las mejores prácticas para establecer una línea base segura y compatible. Aunque ninguna línea base de cumplimiento única puede satisfacer a todas las organizaciones, existe un consenso fundamental sobre qué constituye las mejores prácticas. Para los propósitos de esta guía, utilizaremos los siguientes criterios como una línea base fundamental para establecer el estado de cumplimiento del dispositivo:

⚠️ NOTA IMPORTANTE ⚠️

Tenga en cuenta que los criterios enumerados anteriormente son solo ejemplos a considerar. Otros valores de inventario capturados dentro de Jamf también pueden servir como criterios para formular una línea base de cumplimiento adaptada a su organización. Por lo tanto, considere esta lista como una referencia y realice los ajustes necesarios para alinearse con sus requisitos específicos de cumplimiento de dispositivos.

• Ejemplos:

Modelo del Dispositivo

• Definir si se implementó una Configuración específica

• Definir si se instaló una Aplicación específica

• Etc

Para industrias más reguladas y agencias gubernamentales, también puede aprovechar el Editor de Cumplimiento de Jamf para establecer puntos de referencia de seguridad o líneas base incluyendo CIS, NIST 800-53 & 800-171, DISA STIG, CNSSI, y CMMC.

Descripción General del Flujo de Trabajo

• La información de inventario de Jamf Pro formará la base del estado de cumplimiento del Dispositivo.

• Dependiendo de qué criterios específicos se utilicen, el endpoint macOS o iOS caerá en uno de los Grupos Inteligentes configurados e indicará un evento Webhook en Jamf Security Cloud para sincronizar la asignación de estado de endpoint y grupo.

• El endpoint macOS o iOS se agrega a un grupo correspondiente en Jamf Security Cloud que tiene acceso limitado al recurso específico

• La Política de Acceso de Jamf Security Cloud forma la base de la conectividad de red, utilizando la asignación de Grupo de Dispositivos, los Dispositivos que no pertenecen a la Asignación de Grupo no se enrutarán a través de Jamf Cloud Gateway y utilizarán el endpoint de Egreso deseado.

SaaS - cuando se combina con capacidades de IP Lockdown/Allow-Listing, el dispositivo tendrá acceso restringido al arrendatario SaaS, como resultado de que el Dispositivo no se resuelve desde una IP de Egreso de confianza.

• On-prem - la conexión a la red on-prem no se establecerá si el Dispositivo no pertenece al Grupo

• Una vez que el requisito de Cumplimiento específico (por ejemplo, Actualización del SO) se remedia e información de inventario se sincroniza con Jamf Pro, el endpoint activará el Webhook correspondiente para colocar automáticamente el dispositivo de nuevo al grupo compatible y restablecer la conexión de confianza al recurso corporativo

Casos de Uso

Antes de entrar en el flujo de trabajo real, primero revisemos algunos casos de uso relevantes que podrían implicar este flujo de trabajo.

• Cualquier aplicación, navegador y protocolo

• Aplicar control entre inicios de sesión | | Adoptar marco ZTNA para mejorar las medidas de seguridad, minimizar la superficie de ataque, aplicar políticas de control de acceso rigurosas, reducir el riesgo de terceros y mejorar la protección de activos. | | Permitir a los usuarios finales y proporcionar una experiencia más fluida y guiada para resolver el estado de dispositivo no compatible |

Requisitos Previos del Flujo de Trabajo

• Acceso a Jamf Pro y Jamf Security Cloud

• Permisos en Jamf Pro para crear Atributos de Extensión de macOS

• Permisos en Jamf Protect (portal de Jamf Security Cloud) para editar la integración de UEM Connect y editar la Política de Acceso

• UEM Connect configurado entre Jamf Protect (Jamf Security Cloud) y Jamf Pro

• Habilitar Webhook de Jamf Pro en la Integración de UEM Connect

• Acceso al Arrendatario SaaS para aplicar IP Lockdown/Allow-listing

Creación del Flujo de Trabajo

⚠️ Antes de Comenzar ⚠️

La siguiente guía de configuración pretende proporcionar un marco técnico base y orientación para establecer una línea base fundamental para el cumplimiento del dispositivo.

Antes de implementar esta solución fuera de entornos de prueba controlada, tenga en cuenta los requisitos de seguridad de la información de su organización. Recomendamos colaborar con las partes interesadas internas para definir adecuadamente las definiciones de criterios de cumplimiento en todos sus dispositivos administrados por Jamf.

Jamf Pro: Crear Atributo de Extensión de macOS en Jamf Pro

La siguiente configuración solo es requerida si está configurando el flujo de trabajo para macOS

Como parte de la Línea Base de Cumplimiento del Dispositivo, crearemos atributos de extensión para capturar el estado de AV/EDR (es decir, como parte de esta guía aprovecharemos Jamf Protect) para dispositivos macOS.

• Inicie sesión en la instancia de Jamf Pro que se utilizará para este flujo de trabajo

• Navegue a Configuración desde el menú de navegación

• Navegue a Gestión de Equipos

• Seleccione y abra Atributos de Extensión

• En la esquina superior derecha seleccione + Nuevo

• Ingrese los siguientes detalles:

Nombre: Jamf Protect Instalado

• Tipo de Datos: Texto

• Pantalla de Inventario: Atributo de Extensión

• Tipo de Entrada: Script

`#!/bin/bash

Atributo de Extensión de Jamf Pro que verifica y valida lo siguiente:

Jamf Protect está instalado y ubicado bajo /Applications

ProtectStatus="/Applications/JamfProtect.app"

if [ -e "$ProtectStatus" ]; then echo "Instalado" else echo "No Instalado" fi

exit 0` 

• Luego presione guardar

Repita los Pasos (1-5), modificando el Paso 4 con los siguientes parámetros

• Nombre: Estado de Jamf Protect

• Tipo de Datos: Texto

• Pantalla de Inventario: Atributo de Extensión

• Tipo de Entrada: Script

`#!/bin/bash

Atributo de Extensión de Jamf Pro que verifica y valida lo siguiente:

Asegurarse de que Jamf Protect esté activo y en ejecución verificando el proceso de Jamf Protect

JPProcess=$( pgrep JamfProtect ) ​ if [[ -n "$JPProcess" ]]; then echo "Activo" else echo "No Activo" fi

exit 0` 

• Luego presione guardar

Artículos Relacionados

Aislamiento de Red Automatizado con Jamf Protect

Implementar Señalización de Riesgo ZTNA

Establecimiento de Líneas Base de Cumplimiento