장치 규정 준수 보장은 조직의 중요한 초석으로, IT 자산을 보호하고 필수 리소스에 대한 제어된 보안 액세스를 유지합니다. 다양한 공급업체와 솔루션이 이러한 규정 준수 상태를 달성하기 위한 고유한 워크플로우와 기능을 제공합니다. Jamf는 Microsoft Entra 조건부 액세스, Okta Identity Threat Prevention, Google BeyondCorp Enterprise Context-Aware Policy 또는 AWS Verified Access 등 각 통합이 신뢰할 수 있는 사용자가 규정을 준수하는 장치에서만 조직 리소스에 액세스할 수 있도록 하는 필수 요구사항을 목표로 하는 다양한 통합을 제공합니다.

조직은 일반적으로 교차 플랫폼 통합에 의존하여 관련 장치 상태 정보를 교환합니다. 이러한 상태에 따라 다양한 시스템이 규정 준수 제어를 적용하여 특정 리소스에 대한 액세스를 허용하거나 제한합니다.

이미 앞서 언급한 장치 규정 준수 워크플로우에 참여하고 있는 사람들의 경우, Jamf Pro 및 Jamf Connect 내의 기본 기능과 기술을 활용하여 리소스 액세스 제어를 더욱 강화할 수 있습니다. 다음 솔루션은 Jamf Pro를 사용하여 장치 규정 준수 기준선을 정의하는 방법과 Jamf Connect를 사용하여 SaaS 또는 온프레미스 리소스에 대한 앱별 연결을 통해 안전한 액세스 제어를 자동화하는 방법을 살펴봅니다.

규정 준수 기준선 설정

장치 규정 준수를 검토할 때 각 조직은 규정을 준수하는 장치를 구성하는 것에 따라 결정되는 자체의 고유한 필요와 요구사항을 갖고 있음을 인식하는 것이 중요합니다. 결과적으로 모든 제어를 포괄하는 일관된 규정 준수 기준선은 없습니다.

그러나 우리는 최고의 관행에 따라 환경에서 제시되는 기본 요소를 고려해야 합니다. 단일 규정 준수 기준선이 모든 조직에 적응할 수는 없지만, 최고의 관행을 구성하는 것에 대한 기본적인 합의가 존재합니다. 이 가이드의 목적상 다음 기준을 장치 규정 준수 상태 설정의 기초 기준선으로 사용할 것입니다:

⚠️ 중요 참고 사항 ⚠️

위에 나열된 기준은 고려해야 할 예에 불과합니다. Jamf 내에서 캡처된 다른 인벤토리 값도 조직에 맞춘 규정 준수 기준선을 공식화하기 위한 기준으로 사용할 수 있습니다. 따라서 이 목록을 참고로 여기고 특정 장치 규정 준수 요구사항에 맞게 필요한 조정을 하십시오.

• 예:

장치 모델

• 특정 구성이 배포되었는지 정의

• 특정 앱이 설치되어 있는지 정의

• 등

더 규제된 산업 및 정부 기관의 경우 Jamf 규정 준수 편집기를 활용하여 CIS, NIST 800-53 & 800-171, DISA STIG, CNSSI 및 CMMC를 포함한 보안 벤치마크 또는 기준선을 수립할 수 있습니다.

워크플로우 개요

• Jamf Pro 인벤토리 정보가 장치의 규정 준수 상태의 기초가 됩니다.

• 사용되는 특정 기준에 따라 macOS 또는 iOS 엔드포인트는 구성된 스마트 그룹 중 하나에 속하게 되고 Jamf Security Cloud로 웹후크 이벤트를 신호합니다.

• macOS 또는 iOS 엔드포인트는 특정 리소스에 대한 제한된 액세스 권한이 있는 Jamf Security Cloud의 해당 그룹에 추가됩니다.

• Jamf Security Cloud의 액세스 정책이 네트워크 연결의 기초가 되며, 장치 그룹 매핑을 사용하면 그룹 할당에 속하지 않는 장치는 Jamf Cloud Gateway를 통해 라우팅되지 않으며 원하는 송신 엔드포인트를 사용합니다.

SaaS - IP Lockdown/Allow-Listing 기능과 결합할 때 장치는 신뢰할 수 있는 송신 IP에서 확인되지 않은 결과로 SaaS 테넌트에 대한 제한된 액세스 권한을 갖습니다.

• 온프레미스 - 장치가 그룹에 속하지 않으면 온프레미스 네트워크 연결이 설정되지 않습니다.

• 특정 규정 준수 요구사항(예: OS 업데이트)이 해결되고 인벤토리 정보가 Jamf Pro와 동기화되면 엔드포인트는 해당 웹후크를 트리거하여 장치를 규정을 준수하는 그룹으로 자동으로 배치하여 기업 리소스에 대한 신뢰할 수 있는 연결을 다시 설정합니다.

사용 사례

실제 워크플로우로 진행하기 전에 먼저 이 워크플로우와 관련될 수 있는 몇 가지 관련 사용 사례를 검토해 봅시다.

• 모든 앱, 브라우저 및 프로토콜

• 로그인 사이에 제어 적용 | | ZTNA 프레임워크를 채택하여 보안 조치를 강화하고 공격 표면을 최소화하며 엄격한 액세스 제어 정책을 적용하고 제3자 위험을 낮추며 자산 보호를 강화합니다. | | 최종 사용자를 활성화하고 규정을 준수하지 않는 장치 상태 해결에 더 원활하고 안내된 경험을 제공합니다. |

워크플로우 전제 조건

• Jamf Pro 및 Jamf Security Cloud 액세스

• Jamf Pro에서 macOS 확장 속성을 만들 수 있는 권한

• Jamf Protect(Jamf Security Cloud 포털)에서 UEM Connect 통합을 편집하고 액세스 정책을 편집할 수 있는 권한

• Jamf Protect(Jamf Security Cloud) 및 Jamf Pro 간의 UEM Connect 구성

• Jamf Pro 웹후크를 UEM Connect 통합으로 활성화

• SaaS 테넌트 액세스 권한을 IP Lockdown/Allow-listing 적용

워크플로우 만들기

⚠️ 시작하기 전에 ⚠️

다음 구성 가이드는 장치 규정 준수의 기초 기준선을 설정할 수 있는 기초 기술 프레임워크 및 지침을 제공하기 위해 의도되었습니다.

통제된 테스트 환경 외부에서 이 솔루션을 구현하기 전에 조직의 정보 보안 요구사항에 주의하십시오. Jamf 관리 장치에서 규정 준수 기준 정의를 적절히 정의하기 위해 내부 이해관계자와 협업하는 것을 권장합니다.

Jamf Pro: Jamf Pro에서 macOS 확장 속성 만들기

다음 설정은 macOS에 대한 워크플로우를 구성하는 경우에만 필요합니다

장치 규정 준수 기준선의 일부로 AV/EDR의 상태를 캡처하기 위한 확장 속성을 만들 것입니다(이 가이드의 일부로 Jamf Protect를 활용합니다).

• 이 워크플로우에 사용할 Jamf Pro 인스턴스에 로그인합니다.

• 탐색 메뉴에서 설정으로 이동합니다.

컴퓨터 관리로 이동합니다.

• 확장 속성을 선택하고 엽니다.

• 오른쪽 상단 모서리에서 + 새로 만들기 선택

• 다음 세부 사항을 입력합니다:

이름: Jamf Protect 설치됨

• 데이터 유형: 문자열

• 인벤토리 표시: 확장 속성

• 입력 유형: 스크립트

`#!/bin/bash

Jamf Pro 확장 속성으로 다음을 확인하고 검증합니다:

Jamf Protect가 /Applications 아래에 설치되고 위치합니다.

ProtectStatus="/Applications/JamfProtect.app"

if [ -e "$ProtectStatus" ]; then echo "Installed" else echo "Not Installed" fi

exit 0` 

• 그런 다음 저장 누르기

다음 매개변수로 단계(1-5)를 반복하여 단계 4를 수정합니다

• 이름: Jamf Protect 상태

• 데이터 유형: 문자열

• 인벤토리 표시: 확장 속성

• 입력 유형: 스크립트

`#!/bin/bash

Jamf Pro 확장 속성으로 다음을 확인하고 검증합니다:

Jamf Protect 프로세스 확인을 통해 Jamf Protect가 활성 및 실행 중인지 확인합니다.

JPProcess=$( pgrep JamfProtect ) ​ if [[ -n "$JPProcess" ]]; then echo "Active" else echo "Not Active" fi

exit 0` 

• 그런 다음 저장 누르기

관련 문서

Jamf Protect를 사용한 자동화된 네트워크 격리

ZTNA 위험 신호 구현

규정 준수 기준선 설정