デバイス信頼を確立し、脅威とリスク ポリシーを設定した後は、「認可および保護された」デバイスに対して、会社のリソースへの安全なアクセスを提供する準備ができています。
Trusted Access ソリューションでは、Jamf Connect(Jamf のクラウドネイティブな Zero Trust Network Access 製品)を使用して、高性能でユーザーフレンドリーな接続を実現しながら、SaaS、プライベート クラウド、またはオンプレミス アプリケーションに対する高度なネットワーク セキュリティ機能を提供することが必要です。
また、デバイスの管理および準拠状態を示すために API シグナリングを使用するパートナー統合を使用することもできます。これらの統合は、アプリケーションのサブセットのみに適用され、要件に応じて Jamf Connect の代わりに、または Jamf Connect に加えて使用できます。
情報: 既存の VPN はどうなりますか?
Jamf Connect を他の VPN および ZTNA 製品と混同しないでください。VPN のようなリソースへの安全なリモート アクセスを提供しますが、Trusted Access を非常に重要な方法で一意に有効にします:
- クラウドネイティブであり、次世代 Wireguard トンネリング テクノロジーを使用し、高度なアイデンティティ統合を採用しており、これらが組み合わされて、ほぼ見えないながらも優れたユーザー エクスペリエンスを提供します。
- 最小権限アクセスの原則に基づいて設計されており、承認されたユーザーが必要なデータにのみアクセスでき、内部ネットワーク上のすべてにはアクセスできません。
- Jamf 管理およびセキュリティ製品とネイティブに統合され、リスクベースのポリシー定義に基づいて、認可および保護されたデバイスのみがリソースにアクセスできることを保証します。
その結果、サードパーティ VPN ソリューションの使用は、Trusted Access を実現するために必要な要件を満たすことができません。
macOS デバイスの場合、Jamf Pro を介して Partner Conditional Access をさらに設定して、パートナー サービスがデバイス準拠状態(例:Smart Group メンバーシップ)に基づいてアクセスを許可または拒否できるようにします。
Jamf Connect のデプロイ
Jamf Connect をデプロイすることにより、管理対象エンドポイントと組織のすべてのアプリケーション間に信頼できてプライベートなネットワーク パスを作成しています。
情報: 注
これらの手順を完了するには、Jamf Connect 用にライセンスされた Jamf Security Cloud (RADAR) アカウントへのアクセスが必要です。
アカウントがない場合は、Jamf アカウント チームに連絡して、無料のデモ アカウントをセットアップしてもらってください。
環境内で Jamf Connect を起動して実行し、高速でセキュアな接続を確立するには、次の手順に従います:
Jamf Connect アーキテクチャを確認して理解するか、またはこの 20 分間の JNUC'21 ビデオを視聴して、それについて紹介を受けてください。
Jamf Security Cloud アカウントにログインし、アイデンティティ プロバイダーをリンクして、エンドユーザーが企業の認証情報を使用して Jamf Trust アプリを介して Private Access をアクティブ化できるようにします。
Network Access、Content Controls、Security のサービス機能を設定し、アイデンティティ プロバイダーを認証用に使用するアクティベーション プロファイルを作成します。
- 新しく作成したアクティベーション プロファイル用に Identity-based Provisioning を無効にしてください。これにより、管理対象デバイスのみがそれを使用してアクティベートできるようになります。
- この機能を使用する他のアクティベーション プロファイルを作成して、契約業者デバイスまたは MDM に登録できないがアクセスが非常に狭くあるべき他のデバイスをカバーすることができます。
ユーザーとそのデバイスを、アクセスできる(またはアクセスできない)特定のアプリにマップするために使用されるデバイス グループを定義します(例:「管理職」、「エンジニアリング」、「営業」)。
Jamf Pro との統合を設定します。
- グループ マッピングを設定して、Jamf Pro Smart Groups を上記で定義した適切なグループにマップします。
- (オプション)必要に応じてデバイス フィールド マッピングを定義します。
Jamf Security Cloud とデータセンター、プライベート クラウド間に1 つ以上のプライベート インターコネクト ゲートウェイを設定することで、アプリケーションおよびデータ リソースへのセキュアなアクセスを確立します。
内部ドメイン ネーム サーバーまたはスプリット ブレイン DNS を使用して内部リソースに到達する場合は、カスタム DNS ゾーンを設定します。
組織のアプリケーション、それらのアクセス ポリシー、および到達可能性(パブリック インターネット経由か設定されたプライベート インターコネクト ゲートウェイ経由のいずれか)を定義するアクセス ポリシーを設定します。
- 定義しているアプリが機密データを含む場合は、「Users and Groups」タブでアクセスが必要なグループのみにアクセスを制限し、アクセス ポリシーの「Security」タブで最大許容リスク レベルを定義してください。
- 注:RADAR のセキュリティ ポリシー設定を使用して、デバイスのリスク スコアを決定する各脅威カテゴリーの深刻度をカスタマイズできます。
Jamf Pro または登録済みデバイスのプラットフォーム用の他の適用可能なデバイス管理ツールを使用して、デバイスに Jamf Trust をデプロイ(Jamf Connect エンドポイント エージェント)します。
- BYOD iOS/iPadOS デバイスについては、ユーザー登録用の特定の「Jamf Trust をデプロイ」手順に従うようにしてください。
Jamf Connect が適切にデプロイおよび設定されると、すべてのエンタープライズ アプリケーション接続は Jamf Security Cloud に暗号化され、定義されたアクセス ポリシーの対象になります。
Private Access がどのように機能するかについての技術的な詳細な説明については、Network Engineer's Guide to Private Access をご覧ください。
パートナー管理状態統合
Jamf Connect はネットワークベースの接続性とあらゆる TCP または UDP アプリケーション(SaaS やプライベート オンプレミス アプリを含む)へのアクセス制御を有効にするために使用されていますが、厳選されたパートナーとの統合を通じてデバイスの管理状態およびその他のメタデータをシグナリングすることは可能です。
これにより、パートナーのプラットフォームがデバイスが Jamf Pro によって管理されており、特定の準拠要件を満たしているかどうかを判断できます。また、デバイスの準拠状態またはリスク レベルをシグナリングして、会社のデータへのリスクベースのアクセスを駆動するためにも使用できます。これらのシグナルは、パートナーのアクセス プラットフォームで定義されたポリシーを知らせるために使用されます。
Jamf のパートナー管理統合には以下が含まれます:
- Device Compliance with Microsoft Entra and Jamf
- Google BeyondCorp Enterprise Integration with Jamf Pro
匿名デバイスのアクセスを制限する
信頼できるデバイスを識別するための上記の戦略の一方または両方を実装したら、次のステップは、これらの「信頼できる」デバイスからのみ接続を許可するようにアプリケーションを設定することです。
詳細については、匿名デバイスのアクセスを制限するを参照してください。