Handleidingen

Nadat u toegang hebt ingeschakeld voor vertrouwde apparaten – met beveiligde routes naar uw applicaties en gegevensbronnen on-premise en in de cloud – kunt u nu beginnen met het vergrendelen van uw gegevensbronnen door "anonieme" apparaattoegang te voorkomen.

Een anoniem apparaat is elk apparaat dat niet is goedgekeurd door uw organisatie. Dit omvat:

• De laptop van een aanvaller
• Een persoonlijke iPhone die niet via User Enrollment is ingeschreven
• De laptop van een partner
• Een café-PC

Het is belangrijker dan ooit om toegang te beperken tot alleen vertrouwde apparaten, maar dit wordt bemoeilijkt door cloud en thuiswerken waar de "on-premise" perimeter is verdwenen. Desondanks vereist de Trusted Access-oplossing en -architectuur ondersteuning voor vergrendeling van alle gegevensbronnen, inclusief on-premise en cloud.

On-Premise / Datacenter Bronnen Vergrendelen

Veel organisaties hebben een aanzienlijk deel van hun gevoelige applicaties en gegevens op servers die onder hun directe controle en beheer staan. Deze servers zijn geïnstalleerd in een privéfaciliteit of goed beveiligd datacenter.

Gelukkig staan deze applicaties al achter een firewall, waardoor ze worden afgeschermd van open interne toegang. Er zijn echter een paar dingen om te controleren:

• Verwijder alle toegewezen openbare IP's (binnen een door de ISP toegewezen CIDR-bereik) van de doelserver. Servers mogen alleen bereikbaar zijn via privé IP-adressen.
  • Verwijder alle 1-op-1 NAT- of firewall-pinhole-uitzonderingen die verbindingen van een openbaar IP-adres naar de interne IP-adres(sen) van de server mappen. Dit is vooral belangrijk voor risicovolle protocollen zoals HTTP en RDP.
• Als de applicatie bijzonder gevoelig is, configureer dan netwerk-ACL's (Access Control Lists) op de server(s) of in het LAN om alleen inkomende applicatieverbindingen toe te staan vanaf het Jamf Subnet zoals gedefinieerd in de Encryptie Domein-instellingen van uw IPSec-interconnect.

Vertrouwde gebruikers en hun apparaten bereiken deze bronnen via een Custom IPSec Interconnect Gateway, die naadloos bereikbaar is met Jamf Trust geïmplementeerd en geactiveerd op hun apparaat.

Infrastructure as a Service (IaaS) Bronnen Vergrendelen

Infrastructure as a Service wordt gedefinieerd als door derden geleverde cloudgebaseerde diensten waarmee u uw applicaties kunt uitvoeren en uw gegevens kunt opslaan zonder de fysieke infrastructuur zelf te hoeven beheren. De meest voorkomende IaaS-platforms op de markt zijn Amazon Web Services, Google Cloud Platform en Microsoft Azure.

Het beperken van toegang tot bronnen in deze omgevingen is eigenlijk zeer vergelijkbaar met On-Premise / Datacenter Bronnen, aangezien bronnen over het algemeen zijn geconfigureerd op privé virtuele netwerken binnen de IaaS-provider. Het grote verschil is echter dat het veel gebruikelijker is dat applicaties en gegevensbronnen openbaar beschikbaar worden gemaakt. Of dit nu opzettelijk of per ongeluk is (omdat het gemakkelijk te doen is!), deze te open toegang is de oorzaak geweest van veel significante hacks in de afgelopen jaren.

Vertrouwde gebruikers en apparaten kunnen deze bronnen bereiken met een van de volgende interconnect-opties:

• AWS Interconnect
• Azure Interconnect
• Custom IPSec Interconnect Gateway
• Door inkomende toegang te beperken via IaaS-toegangsbeleid vanaf alleen een Jamf Internet Cloud Gateway, waarbij alle andere verbindingen worden geblokkeerd.
• AWS Verified Access voor macOS configureren om toegang te beperken tot beheerde en conforme apparaten.

Software as a Service (SaaS) Bronnen Vergrendelen

Software as a Service wordt gedefinieerd als applicaties die u hebt gekocht maar waarvan u de werking op geen enkele manier bezit. Veelvoorkomende zakelijke SaaS-diensten zijn Microsoft 365, Salesforce, Slack, Box en Zoom. De kans is groot dat uw organisatie ten minste één SaaS-app heeft en dat deze gevoelige bedrijfsgegevens bevat!

Echter, zonder enige native controle over de onderliggende infrastructuur van de SaaS-app – inclusief netwerkverbindingen – bent u afhankelijk van de SaaS-provider om toegangscontroles te bieden (of niet te bieden) die kunnen worden gebruikt om een goedgekeurde gebruiker en apparaat te identificeren.

Er zijn over het algemeen twee technieken beschikbaar om de toegang tot SaaS-apps te vergrendelen: via bron-IP of de Identity Provider (IdP).

Bron-IP-adres Gebruiken

Sommige SaaS-providers staan individuele klanten toe om de bron-IP-adresbereiken te definiëren die mogen inloggen op hun specifieke klanttenant om toegang te krijgen tot de SaaS-applicatie of -service. Hoewel relatief zeldzaam, is bron-IP-vergrendeling een betrouwbare manier om alleen toegang toe te staan vanaf apparaten die verbinden via de Jamf Private Access-infrastructuur.

U kunt Jamf's gedeelde globale IP-adressen gebruiken of een openbaar IP aan de andere kant van een Custom IPSec Interconnect Gateway.

Een krachtig voorbeeld hiervan is Client Access Rules gebruiken om Microsoft Exchange-connectiviteit te beperken tot alleen Private Access-ingeschakelde apparaten.

Een Identity Provider Gebruiken

De meeste SaaS-providers ondersteunen Single Sign On, waarbij de Identity Provider van uw organisatie (bijv. Okta, Azure AD) wordt gebruikt om toegang tot die applicatie toe te staan of te weigeren, in plaats van te vertrouwen op een aparte set inloggegevens. Hoewel dit geweldig is voor gebruikersidentiteit, bieden SaaS-providers zelden apparaattoegangscontroles.

Gelukkig bieden identity providers wel ondersteuning voor apparaatniveau-bewustzijn dat we kunnen gebruiken om een goedgekeurd apparaat van een niet-goedgekeurd apparaat te onderscheiden.

Via Jamf Bron-IP

De drie toonaangevende IdP's op de markt ondersteunen het definiëren van aanmeldtoegangsbeleid dat bron-IP-adres als criterium beschouwt om in te kunnen loggen op een bepaalde SaaS-app.

Met dit criterium kunt u Jamf's cloud IP-adressen gebruiken als een manier om te identificeren of een inkomende aanmelding afkomstig is van een apparaat waarop Private Access is geïmplementeerd en actief is. Een ongeautoriseerd apparaat zal geen bron-IP presenteren dat behoort tot de Jamf Security Cloud en zal daarom worden geblokkeerd door het toegangsbeleid van de IdP.

Voor details over het configureren hiervan voor uw IdP, zie deze handleidingen:

• Okta: Aanmeldtoegang Beperken
• Microsoft Entra ID: Aanmeldtoegang Beperken
• Google Workspace: Aanmeldtoegang Beperken

U kunt zien hoe deze ervaring eruitziet in de BYOD-demovideo die hier te vinden is.

Via een IdP Endpoint App/Agent

Sommige IdP's bieden endpoint-apps/agents die kunnen worden gebruikt om apparaatidentiteit en authenticatie te leveren als onderdeel van het aanmeldproces. Hoewel deze methode beter is dan het gebruik van bron-IP's, vereist het extra implementatie- en activeringsoverwegingen en complexiteiten.

• Okta: Zie Beheerde Apparaten en Een Authenticatiebeleid Toevoegen (specifiek met "Apparaatbeheer" als criterium).
  • Opmerking: Vereist Okta Identity Engine (OIE)
• Microsoft Azure AD: Gebruik Apparaatgebaseerd Voorwaardelijk Toegangsbeleid samen met Jamf Pro en Microsoft Voorwaardelijke Toegang-integratie