Handleidingen

Nadat u apparaatvertrouwen hebt vastgesteld en uw bedreigings- en risicobeleid hebt geconfigureerd, bent u klaar om die "goedgekeurde en beveiligde" apparaten veilige toegang te bieden tot uw bedrijfsbronnen.

De Trusted Access-oplossing vereist het gebruik van Jamf Connect, Jamf's cloud-native Zero Trust Network Access-product, om hoogwaardige en gebruiksvriendelijke connectiviteit te faciliteren terwijl geavanceerde netwerkbeveiligingsmogelijkheden worden geleverd voor elke SaaS-, private cloud- of on-prem-applicatie.

U kunt ook partnerintegraties gebruiken die API-signalering gebruiken om de beheer- en compliance-status van een bepaald apparaat aan te geven. Deze integraties zijn alleen van toepassing op een subset van applicaties en kunnen worden gebruikt in plaats van of in aanvulling op Jamf Connect, afhankelijk van uw vereisten.

Info: Hoe zit het met mijn bestaande VPN?

Jamf Connect moet niet worden verward met andere VPN- en ZTNA-producten. Hoewel het veilige externe toegang tot bronnen biedt zoals een VPN, maakt het Trusted Access op enkele zeer significante manieren mogelijk:

• Het is cloud-native, maakt gebruik van next-generation Wireguard tunneling-technologie en adopteert geavanceerde identiteitsintegraties, die samen een bijna onzichtbare maar geliefde gebruikerservaring leveren.
• Het is vanaf de basis ontworpen op principes van minste privilege, zodat geautoriseerde gebruikers alleen toegang kunnen krijgen tot de gegevens die ze nodig hebben, niet alles op het interne netwerk.
• Het integreert native met Jamf-beheer- en beveiligingsproducten om te zorgen dat alleen goedgekeurde en veilige apparaten toegang kunnen krijgen tot bronnen op basis van uw eigen risicogebaseerde beleidsdefinitie.

Als gevolg hiervan is het gebruik van een VPN-oplossing van derden niet in staat om te voldoen aan de vereisten die nodig zijn om Trusted Access te realiseren.

Voor macOS-apparaten kunt u verder Partner Conditional Access configureren via Jamf Pro om die partnerdiensten in staat te stellen toegang toe te staan of te weigeren op basis van de compliance-status van het apparaat (bijv. Smart Group-lidmaatschap).

Jamf Connect Implementeren

Door Jamf Connect te implementeren, creëert u een vertrouwd en privé netwerkpad tussen beheerde endpoints en al uw organisatieapplicaties.

Info: Opmerking

U hebt toegang nodig tot een Jamf Security Cloud (RADAR)-account dat is gelicentieerd voor Jamf Connect om deze stappen te voltooien.

Als u geen account hebt, neem dan contact op met uw Jamf Account-team zodat zij een gratis demo-account voor u kunnen opzetten!

Volg deze stappen om Jamf Connect operationeel te krijgen in uw omgeving om snelle en veilige connectiviteit tot stand te brengen:

1. Bekijk en begrijp de Jamf Connect Architectuur, of bekijk deze 20-minuten JNUC'21-video die u eraan introduceert.

2. Log in op uw Jamf Security Cloud-account en koppel uw identity provider om eindgebruikers Private Access te laten activeren via de Jamf Trust-app met hun bedrijfsinloggegevens.

3. Maak een Activatieprofiel dat de Netwerktoegang, Inhoudscontroles en Beveiliging servicemogelijkheden configureert en uw identity provider gebruikt voor authenticatie.

   1. Zorg ervoor dat u Identity-based Provisioning uitschakelt voor uw nieuw gemaakte activatieprofiel. Dit zorgt ervoor dat alleen beheerde apparaten ermee kunnen activeren.
   2. U kunt andere Activatieprofielen maken die deze functie wel gebruiken om contractorapparaten of andere apparaten te dekken die niet kunnen worden ingeschreven bij MDM, maar die alleen zeer beperkte toegang zouden moeten hebben.

4. Definieer apparaatgroepen die zullen worden gebruikt om gebruikers en hun apparaten te koppelen aan specifieke apps waartoe ze wel (of niet) toegang zouden moeten hebben (bijv. "Executives", "Engineering", "Sales")

5. Configureer integratie met Jamf Pro.

   1. Configureer groepsmapping om Jamf Pro Smart Groups te koppelen aan de juiste groepen die u hierboven hebt gedefinieerd.
   2. (Optioneel) Definieer apparaatveldmappings indien van toepassing.

6. Stel veilige toegang tot uw applicaties en gegevensbronnen in door een of meer private interconnect-gateways te configureren tussen de Jamf Security Cloud en uw datacenter(s) en private cloud(s).

7. Configureer Aangepaste DNS-zone(s) als u een interne domeinnaamserver of split-brain DNS gebruikt om interne bronnen te bereiken.

8. Configureer Toegangsbeleid dat de applicaties van uw organisatie definieert, hun toegangsbeleid en bereikbaarheid (via het openbare internet of een geconfigureerde private interconnect-gateway).

   1. Als de app die u definieert gevoelige gegevens bevat, zorg er dan voor dat u de toegang beperkt tot alleen de groepen die toegang nodig hebben in het tabblad Gebruikers en Groepen, en definieer het maximaal toelaatbare risiconiveau in het tabblad Beveiliging van het toegangsbeleid.
   2. Opmerking: u kunt de ernst van elke bedreigingscategorie aanpassen die de risicoscore van een apparaat bepaalt met behulp van RADAR's beveiligingsbeleidsconfiguratie.

9. Implementeer Jamf Trust op Apparaten (de Jamf Connect endpoint-agent) met behulp van Jamf Pro of andere toepasselijke apparaatbeheertools voor de platformen van uw ingeschreven apparaten.

   1. Voor BYOD iOS/iPadOS-apparaten, zorg ervoor dat u de specifieke "Deploy Jamf Trust"-instructies voor User Enrollment volgt.

Wanneer Jamf Connect correct is geïmplementeerd en geconfigureerd, wordt alle bedrijfsapplicatieconnectiviteit versleuteld naar de Jamf Security Cloud en onderworpen aan toegangsbeleid dat is gedefinieerd.

Voor een technische uitleg van hoe Private Access werkt, bekijk onze Netwerkingenieursgids voor Private Access.

Partner Management State-integraties

Hoewel Jamf Connect wordt gebruikt om netwerkgebaseerde connectiviteit en toegangsbeheer naar elke TCP- of UDP-applicatie mogelijk te maken – inclusief SaaS en private on-premise apps – is het mogelijk om de beheerstatus van een apparaat en andere metadata te signaleren via integraties met geselecteerde partners.

Dit stelt het platform van de partner in staat om te bepalen of een bepaald apparaat wordt beheerd door Jamf Pro en voldoet aan specifieke compliance-vereisten. Het kan ook worden gebruikt om de compliance-status of het risiconiveau van het apparaat te signaleren om risicogebaseerde toegang tot bedrijfsgegevens aan te sturen. Deze signalen worden gebruikt om beleid te informeren zoals gedefinieerd in het toegangsplatform van de partner.

Jamf's partnerbeheerintegraties omvatten:

• Device Compliance met Microsoft Entra en Jamf
• Google BeyondCorp Enterprise Integratie met Jamf Pro

Toegang Beperken voor Anonieme Apparaten

Na het implementeren van een of beide van de bovenstaande strategieën om vertrouwde apparaten te identificeren, is uw volgende stap om applicaties te configureren om alleen verbindingen toe te staan van deze "vertrouwde" apparaten.

Zie Toegang Beperken voor Anonieme Apparaten voor details.