Het waarborgen van apparaatcompliance vormt een cruciale hoeksteen voor organisaties, ter bescherming van hun IT-middelen en het behouden van gecontroleerde, veilige toegang tot essentiële bronnen. Verschillende leveranciers en oplossingen bieden unieke workflows en mogelijkheden om deze compliancestatus te bereiken. Jamf biedt meerdere integraties, of het nu Microsoft Entra Conditional Access, Okta Identity Threat Prevention, Google BeyondCorp Enterprise Context-Aware Policy of AWS Verified Access is, elke integratie richt zich op de essentiële behoefte om alleen vertrouwde gebruikers vanaf compliant apparaten toegang te geven tot organisatiebronnen.

Organisaties vertrouwen doorgaans op cross-platform integratie om relevante apparaatstatusinformatie uit te wisselen. Op basis van deze statussen handhaven verschillende systemen compliancecontroles om toegang tot specifieke bronnen toe te staan of te beperken.

Voor degenen die al betrokken zijn bij de eerder genoemde apparaatcompliance-workflows, kan de toegangscontrole van bronnen verder worden versterkt door gebruik te maken van native functies en technologieën binnen Jamf Pro en Jamf Connect. De volgende oplossing verkent hoe een apparaatcompliance-basislijn te definiëren met Jamf Pro, en hoe veilige toegangscontrole te automatiseren met per-app verbinding naar SaaS- of on-premises bronnen met Jamf Connect.

Een compliance-basislijn vaststellen

Bij het onderzoeken van apparaatcompliance is het belangrijk te erkennen dat elke organisatie zijn eigen unieke set van behoeften en vereisten heeft die bepalen wat een compliant apparaat is. Bijgevolg is er geen one-size-fits-all compliance-basislijn die alle controles dekt.

We moeten echter fundamentele factoren overwegen die aanwezig zijn in omgevingen die zich houden aan best practices voor het vaststellen van een veilige en compliant basislijn. Hoewel geen enkele compliance-basislijn aan elke organisatie kan voldoen, bestaat er een fundamentele consensus over wat best practices zijn. Voor de doeleinden van deze handleiding gebruiken we de volgende criteria als fundamentele basislijn voor het vaststellen van de apparaatcompliance-status:

⚠️ BELANGRIJKE OPMERKING ⚠️

Houd er rekening mee dat de hierboven vermelde criteria slechts voorbeelden zijn om te overwegen. Andere inventariswaarden die binnen Jamf worden vastgelegd, kunnen ook dienen als criteria voor het formuleren van een compliance-basislijn die is afgestemd op uw organisatie. Beschouw deze lijst daarom als een referentie en maak de nodige aanpassingen om af te stemmen op uw specifieke apparaatcompliance-vereisten.

• Voorbeelden:

Model van het apparaat

• Bepalen of een specifieke configuratie is geïmplementeerd

• Bepalen of een specifieke app is geïnstalleerd

• Enz.

Voor meer gereguleerde industrieën en overheidsinstanties kunt u ook de Jamf Compliance Editor gebruiken om beveiligingsbenchmarks of -basislijnen vast te stellen, waaronder CIS, NIST 800-53 & 800-171, DISA STIG, CNSSI en CMMC.

Workflow-overzicht

• Jamf Pro-inventarisinformatie vormt de basis van de compliancestatus van het apparaat.

• Afhankelijk van welke specifieke criteria worden gebruikt, valt het macOS- of iOS-eindpunt in een van de geconfigureerde Smart Groups en activeert een Webhook-gebeurtenis naar Jamf Security Cloud voor het synchroniseren van eindpunt- en groepsstatustoewijzing.

• Het macOS- of iOS-eindpunt wordt toegevoegd aan een corresponderende groep in Jamf Security Cloud die beperkte toegang heeft tot de specifieke bron

• Het Access Policy van Jamf Security Cloud vormt de basis van de netwerkconnectiviteit; door Device Group-toewijzing te gebruiken, wordt een apparaat dat niet tot de groepstoewijzing behoort, niet gerouteerd via Jamf Cloud Gateway en gebruikt het gewenste egress-eindpunt.

SaaS - in combinatie met IP Lockdown/Allow-Listing-mogelijkheden heeft het apparaat beperkte toegang tot de SaaS-tenant, als gevolg van het feit dat het apparaat niet resolveert vanaf een vertrouwd Egress-IP.

• On-prem - verbinding met het on-prem netwerk wordt niet tot stand gebracht als het apparaat niet tot de groep behoort

• Zodra de specifieke compliance-vereiste (bijv. OS-update) is hersteld en inventarisinformatie is gesynchroniseerd naar Jamf Pro, activeert het eindpunt de corresponderende Webhook om het apparaat automatisch terug te plaatsen in de compliant groep om de vertrouwde verbinding met de bedrijfsbron te herstellen

Gebruiksscenario's

Voordat we ingaan op de daadwerkelijke workflow, laten we eerst enkele relevante gebruiksscenario's bekijken die deze workflow kunnen omvatten.

• Elke app, browser en protocol

• Controle toepassen tussen aanmeldingen | | ZTNA-framework adopteren om beveiligingsmaatregelen te verbeteren, het aanvalsoppervlak te minimaliseren, strenge toegangscontrolebeleid af te dwingen, risico's van derden te verlagen en activabescherming te verbeteren. | | Eindgebruikers faciliteren en een naadloze en begeleide ervaring bieden voor het oplossen van niet-compliant apparaatstatus |

Workflow-vereisten

• Toegang tot Jamf Pro en Jamf Security Cloud

Rechten in Jamf Pro om macOS-uitbreidingsattributen te maken

• Rechten in Jamf Protect (Jamf Security Cloud-portal) om de UEM Connect-integratie te bewerken en Access Policy te bewerken

• Geconfigureerde UEM Connect tussen Jamf Protect (Jamf Security Cloud) en Jamf Pro

• Jamf Pro Webhook in UEM Connect-integratie inschakelen

• Toegang tot SaaS-tenant om IP Lockdown/Allow-listing af te dwingen

De workflow maken

⚠️ Voordat we beginnen ⚠️

De volgende configuratiehandleiding is bedoeld om een basis technisch framework en begeleiding te bieden voor het vaststellen van een fundamentele basislijn voor apparaatcompliance.

Voordat u deze oplossing buiten gecontroleerde testomgevingen implementeert, houd rekening met de informatiebeveiligingsvereisten van uw organisatie. We raden aan om samen te werken met interne stakeholders om compliance-criteriadefinities correct te definiëren voor uw door Jamf beheerde apparaten.

Jamf Pro: macOS-uitbreidingsattribuut maken in Jamf Pro

De volgende instellingen zijn alleen vereist als u de workflow voor macOS configureert

Als onderdeel van de apparaatcompliance-basislijn maken we uitbreidingsattributen om de status van AV/EDR vast te leggen (d.w.z. als onderdeel van deze handleiding gebruiken we Jamf Protect) voor macOS-apparaten.

• Log in bij de Jamf Pro-instantie die voor deze workflow wordt gebruikt

• Navigeer naar Instellingen vanuit het navigatiemenu

Navigeer naar Computerbeheer

• Selecteer en open Uitbreidingsattributen

• Selecteer rechtsboven + Nieuw

• Voer de volgende details in:

Naam: Jamf Protect Geïnstalleerd

• Gegevenstype: String

• Inventarisweergave: Uitbreidingsattribuut

• Invoertype: Script

`#!/bin/bash

Jamf Pro Extension Attribute which checks and validates the following:

Jamf Protect is installed and located under /Applications

ProtectStatus="/Applications/JamfProtect.app"

if [ -e "$ProtectStatus" ]; then echo "Installed" else echo "Not Installed" fi

exit 0` 

• Druk vervolgens op opslaan

Herhaal stappen (1-5), pas stap 4 aan met de volgende parameters

• Naam: Jamf Protect Status

• Gegevenstype: String

• Inventarisweergave: Uitbreidingsattribuut

• Invoertype: Script

`#!/bin/bash

Jamf Pro Extension Attribute which checks and validates the following:

Ensure Jamf Protect is active and running by checking for Jamf Protect process

JPProcess=$( pgrep JamfProtect ) ​ if [[ -n "$JPProcess" ]]; then echo "Active" else echo "Not Active" fi

exit 0` 

• Druk vervolgens op opslaan

Gerelateerde artikelen

Geautomatiseerde netwerkisolatie met Jamf Protect

Implementeer ZTNA-risicosignalering

Compliance-basislijnen vaststellen