Jamf Concepts
Guides

Guides

Application des lignes directrices de conformité pour l'accès réseau

~7 min read

La garantie de la conformité des appareils constitue une pierre angulaire cruciale pour les organisations, en protégeant leurs actifs informatiques et en maintenant un accès contrôlé et sécurisé aux ressources essentielles. Divers fournisseurs et solutions offrent des flux de travail et des capacités uniques pour atteindre cet état de conformité. Jamf propose plusieurs intégrations, qu'il s'agisse de Microsoft Entra Conditional Access, Okta Identity Threat Prevention, Google BeyondCorp Enterprise Context-Aware Policy ou AWS Verified Access. Chaque intégration répond au besoin essentiel de permettre uniquement aux utilisateurs de confiance disposant d'appareils conformes d'accéder aux ressources organisationnelles.

Les organisations s'appuient généralement sur une intégration multiplateforme pour échanger les informations d'état pertinentes des appareils. En fonction de ces statuts, divers systèmes appliquent des contrôles de conformité pour autoriser ou restreindre l'accès à des ressources spécifiques.

Pour ceux qui sont déjà engagés dans les flux de travail de conformité des appareils mentionnés précédemment, le contrôle d'accès aux ressources peut être renforcé en tirant parti des fonctionnalités et technologies natives de Jamf Pro et Jamf Connect. La solution suivante explore comment définir une ligne directrice de conformité des appareils à l'aide de Jamf Pro et comment automatiser le contrôle d'accès sécurisé avec une connexion par application à des ressources SaaS ou sur site à l'aide de Jamf Connect.

Établissement d'une ligne directrice de conformité

Lors de l'examen de la conformité des appareils, il est important de reconnaître que chaque organisation aura son propre ensemble unique de besoins et d'exigences déterminant ce qui constitue un appareil conforme. Par conséquent, il n'existe pas une seule ligne directrice de conformité adaptée à tous les contrôles.

Cependant, nous devons tenir compte des facteurs fondamentaux présents dans les environnements adhérant aux meilleures pratiques pour établir une ligne directrice sécurisée et conforme. Bien qu'aucune seule ligne directrice de conformité ne puisse répondre à chaque organisation, il existe un consensus fondamental sur ce qui constitue les meilleures pratiques. Aux fins de ce guide, nous utiliserons les critères suivants comme ligne directrice fondamentale pour établir l'état de conformité des appareils :

macOS iOS/iPadOS
Installation d'une solution AV/EDR Jailbreak détecté
Solution AV/EDR active et en cours d'exécution État du code d'accès
Dernier enregistrement de la solution AV/EDR Version iOS/iPadOS
État de FileVault Dernière mise à jour de l'inventaire
Version du système d'exploitation Dernière sauvegarde
Dernier enregistrement du contrôle d'inventaire

⚠️ REMARQUE IMPORTANTE ⚠️

Veuillez noter que les critères énumérés ci-dessus sont simplement des exemples à considérer. D'autres valeurs d'inventaire capturées dans Jamf peuvent également servir de critères pour formuler une ligne directrice de conformité adaptée à votre organisation. Par conséquent, considérez cette liste comme une référence et effectuez les ajustements nécessaires pour vous aligner sur vos exigences spécifiques de conformité des appareils.

  • Exemples :

Modèle de l'appareil

  • Définir si une configuration spécifique est déployée

  • Définir si une application spécifique est installée

  • Etc.

Pour les secteurs réglementés et les agences gouvernementales, vous pouvez également utiliser l'Jamf Compliance Editor pour établir des repères de sécurité ou des lignes directrices incluant CIS, NIST 800-53 & 800-171, DISA STIG, CNSSI et CMMC.

Aperçu du flux de travail

  • Les informations d'inventaire de Jamf Pro formeront la base de l'état de conformité de l'appareil.

  • Selon les critères spécifiques utilisés, le point de terminaison macOS ou iOS appartiendra à l'un des groupes intelligents configurés et signalera un événement Webhook à Jamf Security Cloud pour synchroniser le mappage d'état du point de terminaison et du groupe.

  • Le point de terminaison macOS ou iOS est ajouté à un groupe correspondant dans Jamf Security Cloud qui a un accès limité à la ressource spécifique.

  • La politique d'accès de Jamf Security Cloud forme la base de la connectivité réseau en utilisant le mappage des groupes d'appareils. Les appareils qui n'appartiennent pas à l'attribution de groupe ne seront pas acheminés via Jamf Cloud Gateway et utiliseront le point de sortie souhaité.

SaaS - lorsqu'ils sont combinés avec des capacités d'IP Lockdown/Allow-Listing, l'appareil aura un accès restreint au locataire SaaS du fait que l'appareil ne se résout pas à partir d'une adresse IP de sortie de confiance.

  • Sur site - la connexion au réseau sur site ne s'établira pas si l'appareil n'appartient pas au groupe.

  • Une fois que l'exigence de conformité spécifique (p. ex., mise à jour du système d'exploitation) est corrigée et que les informations d'inventaire sont synchronisées avec Jamf Pro, le point de terminaison déclenche le Webhook correspondant pour placer automatiquement l'appareil dans le groupe conforme et rétablir la connexion de confiance à la ressource d'entreprise.

Cas d'utilisation

Avant d'aborder le flux de travail réel, examinons d'abord certains cas d'utilisation pertinents pouvant impliquer ce flux de travail.

En tant qu'administrateur, je souhaite
Limiter automatiquement l'accès aux ressources d'entreprise principales jusqu'à ce que l'appareil soit conforme
Améliorer et compléter les flux de travail de conformité des appareils existants tels que les intégrations Google BeyondCorp, Microsoft Entra Conditional Access, Okta Identity Threat Prevention et AWS Verified Access en fournissant un accès continu quasi en temps réel pour

  • Toute application, navigateur et protocole

  • Appliquer le contrôle entre les connexions | | Adopter le cadre ZTNA pour renforcer les mesures de sécurité, minimiser la surface d'attaque, appliquer des politiques de contrôle d'accès strictes, réduire les risques tiers et améliorer la protection des actifs. | | Permettre aux utilisateurs finaux et offrir une expérience plus transparente et guidée pour résoudre l'état de non-conformité des appareils. |

Conditions préalables au flux de travail

  • Accès à Jamf Pro et Jamf Security Cloud

  • Autorisations dans Jamf Pro pour créer des attributs d'extension macOS

  • Autorisations dans Jamf Protect (portail Jamf Security Cloud) pour modifier l'intégration UEM Connect et modifier la politique d'accès

  • UEM Connect configuré entre Jamf Protect (Jamf Security Cloud) et Jamf Pro

  • Activer le Webhook Jamf Pro dans l'intégration UEM Connect

  • Accès au locataire SaaS pour appliquer IP Lockdown/Allow-listing

Création du flux de travail

⚠️ Avant de commencer ⚠️

Le guide de configuration suivant est destiné à fournir un cadre technique de base et des conseils pour établir une ligne directrice fondamentale pour la conformité des appareils.

Avant de mettre en œuvre cette solution en dehors des environnements de test contrôlés, veuillez tenir compte des exigences de sécurité des informations de votre organisation. Nous vous recommandons de collaborer avec les parties prenantes internes pour définir correctement les définitions des critères de conformité sur tous vos appareils gérés par Jamf.

Jamf Pro : Créer un attribut d'extension macOS dans Jamf Pro

Les paramètres suivants sont uniquement requis si vous configurez le flux de travail pour macOS

Dans le cadre de la ligne directrice de conformité des appareils, nous allons créer des attributs d'extension pour capturer l'état d'AV/EDR (c.-à-d. dans le cadre de ce guide, nous allons tirer parti de Jamf Protect) pour les appareils macOS.

  • Connectez-vous à l'instance Jamf Pro qui sera utilisée pour ce flux de travail

  • Accédez à Paramètres depuis le menu de navigation

  • Accédez à Gestion des ordinateurs

  • Sélectionnez et ouvrez Attributs d'extension

  • En haut à droite, sélectionnez + Nouveau

  • Entrez les détails suivants :

Nom : Jamf Protect Installed

  • Type de données : String

  • Affichage de l'inventaire : Extension Attribute

  • Type d'entrée : Script

`#!/bin/bash

Jamf Pro Extension Attribute which checks and validates the following:

Jamf Protect is installed and located under /Applications

ProtectStatus="/Applications/JamfProtect.app"

if [ -e "$ProtectStatus" ]; then echo "Installed" else echo "Not Installed" fi

exit 0` ![](/images/1. Jamf Protect Installed Status.png)

  • Puis appuyez sur Enregistrer

Répétez les étapes (1-5), en modifiant l'étape 4 avec les paramètres suivants

  • Nom : Jamf Protect Status

  • Type de données : String

  • Affichage de l'inventaire : Extension Attribute

  • Type d'entrée : Script

`#!/bin/bash

Jamf Pro Extension Attribute which checks and validates the following:

Ensure Jamf Protect is active and running by checking for Jamf Protect process

JPProcess=$( pgrep JamfProtect ) ​ if [[ -n "$JPProcess" ]]; then echo "Active" else echo "Not Active" fi

exit 0` ![](/images/2. Jamf Protect Status.png)

  • Puis appuyez sur Enregistrer

Articles connexes

Isolation réseau automatisée avec Jamf Protect

Implémenter la signalisation des risques ZTNA

Établissement des lignes directrices de conformité