Guides

Po włączeniu dostępu dla zaufanych urządzeń - utworzeniu bezpiecznych tras do aplikacji i źródeł danych on-premise i w chmurze - możesz teraz zacząć blokować źródła danych, zapobiegając "anonimowemu" dostępowi urządzeń.

Urządzenie anonimowe to dowolne urządzenie, które nie jest zatwierdzone przez organizację. Obejmuje to:

• Laptop atakującego
• Osobisty iPhone, który nie jest User Enrolled
• Laptop współmałżonka
• Komputer w kawiarni

Jest ważniejsze niż kiedykolwiek ograniczenie dostępu tylko do zaufanych urządzeń, ale jest to skomplikowane przez chmurę i pracę zdalną, gdzie "on-premise" perimetr zniknął. Niemniej jednak, rozwiązanie Trusted Access i architektura wymaga wspierania blokowania wszystkich źródeł danych, w tym on-premise i chmury.

Blokowanie Zasobów On-Premise / Data Center

Wiele organizacji przechowuje znaczną ilość czułych aplikacji i danych na serwerach będących pod ich bezpośrednią kontrolą i zarządzaniem. Te serwery są zainstalowane w prywatnym obiekcie lub prawidłowo zabezpieczonym centrum danych.

Na szczęście te aplikacje już istnieją za firewallem, który je maskuje od otwartego dostępu wewnętrznego. Niemniej jednak, jest kilka rzeczy do sprawdzenia:

• Usuń wszelkie zmapowane publiczne IP (w obrębie zakresu CIDR wydanego przez ISP) z serwera docelowego. Serwery powinny być osiągalne tylko za pośrednictwem prywatnych adresów IP.
  • Usuń wszelkie wyjątki NAT 1-do-1 lub zapory, które mapują połączenia z publicznego adresu IP do wewnętrznego adresu IP serwera. Jest to szczególnie ważne dla ryzykownych protokołów, takich jak HTTP i RDP.
• Jeśli aplikacja jest szczególnie czuła, skonfiguruj listy ACL (Access Control Lists) na serwerze lub w sieci LAN, aby zezwalały na połączenia przychodzące aplikacji tylko z Jamf Subnet zdefiniowanej w ustawieniach Encryption Domain twojego IPSec interconnect.

Zaufani użytkownicy i ich urządzenia osiągną te zasoby za pośrednictwem Custom IPSec Interconnect Gateway, który będzie bezproblemowo osiągalny z Jamf Trust wdrożonym i aktywowanym na ich urządzeniu.

Blokowanie Zasobów Infrastructure as a Service (IaaS)

Infrastructure as a Service jest zdefiniowana jako usługi w chmurze dostarczane przez dostawcę trzeciej strony, które pozwalają na uruchamianie aplikacji i przechowywanie danych bez konieczności zarządzania fizyczną infrastrukturą. Najczęstsze platformy IaaS na rynku to Amazon Web Services, Google Cloud Platform i Microsoft Azure.

Ograniczenie dostępu do zasobów w tych środowiskach jest bardzo podobne do zasobów On-Premise / Data Center, w tym że zasoby są generalnie konfigurowane w prywatnych sieciach wirtualnych w dostawcy IaaS. Jednak główna różnica polega na tym, że znacznie bardziej powszechne jest, aby aplikacje i zasoby danych były dostępne publicznie. Niezależnie od tego, czy celowo czy przypadkowo (ponieważ łatwo to zrobić!), ten zbyt otwarty dostęp był pierwotną przyczyną wielu znaczących haków w ostatnich latach.

Zaufani użytkownicy i urządzenia mogą osiągnąć te zasoby za pomocą dowolnej z następujących opcji interconnect:

• AWS Interconnect
• Azure Interconnect
• Custom IPSec Interconnect Gateway
• Przez ograniczenie dostępu przychodzącego za pośrednictwem zasad dostępu IaaS tylko od Jamf Internet Cloud Gateway, blokując wszystkie inne połączenia.
• Konfiguracja AWS Verified Access dla macOS do ograniczenia dostępu do zarządzanych i zgodnych urządzeń.

Blokowanie Zasobów Software as a Service (SaaS)

Software as a Service jest zdefiniowana jako aplikacje, które kupiłeś, ale nie posiadasz operacyjnie w żaden sposób. Powszechne biznesowe usługi SaaS obejmują Microsoft 365, Salesforce, Slack, Box i Zoom. Istnieje duża szansa, że organizacja ma co najmniej jedną aplikację SaaS i zawiera czułe dane firmy!

Niemniej jednak, bez żadnej natywnej kontroli infrastruktury SaaS - w tym połączeń sieciowych - jesteś na łasce dostawcy SaaS, aby zapewnić (lub nie zapewnić) kontroli dostępu, które mogą być używane do identyfikacji zatwierdzonego użytkownika i urządzenia.

Istnieją generalnie dwie dostępne techniki blokowania dostępu do aplikacji SaaS: za pośrednictwem źródłowego adresu IP lub dostawcy tożsamości (IdP).

Używanie Źródłowego Adresu IP

Niektórzy dostawcy SaaS pozwalają poszczególnym klientom definiować zakresy źródłowych adresów IP, które mogą zalogować się do konkretnej dzierżawy klienta, aby uzyskać dostęp do aplikacji lub usługi SaaS. Chociaż stosunkowo rzadko, blokowanie źródła IP jest niezawodnym sposobem na zezwolenie dostępu tylko od urządzeń łączących się za pośrednictwem infrastruktury Jamf Private Access.

Możesz używać udostępnianych globalnych adresów IP Jamf lub publicznego IP po drugiej stronie Custom IPSec Interconnect Gateway.

Silnym przykładem tego jest używanie reguł dostępu Access Client do ograniczenia łączności Microsoft Exchange tylko do urządzeń włączonych Private Access.

Używanie Dostawcy Tożsamości

Większość dostawców SaaS obsługuje Single Sign On, które używa dostawcy tożsamości organizacji (np. Okta, Azure AD) do zezwolenia lub odmowy dostępu do aplikacji, zamiast polegania na oddzielnym zestawie poświadczeń. Chociaż jest to świetne dla tożsamości użytkownika, dostawcy SaaS rzadko zapewniają kontroli dostępu na urządzeniu.

Na szczęście dostawcy tożsamości zapewniają obsługę świadomości na poziomie urządzenia, którą możemy używać do rozróżniania zatwierdzonego urządzenia od niezatwierdzonego.

Via Jamf Source IP

Trzej liderzy rynku dostawcy tożsamości obsługują definiowanie polityk dostępu do logowania, które rozpatrują źródłowy adres IP jako kryterium możliwości zalogowania do danej aplikacji SaaS.

Korzystając z tego kryterium, możesz używać adresów IP w chmurze Jamf jako sposobu do identyfikacji, czy przychodzące logowanie pochodziło z urządzenia, które ma wdrożony i aktywny Private Access. Nieupoważnione urządzenie nie będzie prezentować źródłowego adresu IP należącego do Jamf Security Cloud i będzie dlatego blokowane przez politykę dostępu IdP.

Aby uzyskać szczegóły dotyczące konfiguracji tego dla IdP, zobacz te przewodniki:

• Okta: Restricting Login Access
• Microsoft Entra ID: Restricting Login Access
• Google Workspace: Restricting Login Access

Możesz zobaczyć, jak ta doświadczenie wygląda na wideo demo BYOD znalezionym tutaj.

Via IdP Endpoint App/Agent

Niektórzy dostawcy tożsamości zapewniają aplikacje punktu końcowego/agentów, które mogą być używane do dostarczania tożsamości urządzenia i uwierzytelniania jako część procesu logowania. Chociaż ta metoda jest lepsza niż używanie źródłowych IP, wymaga dodatkowych rozważań wdrażania i aktywacji oraz złożoności.

• Okta: Zobacz Managed Devices i Add an Authentication Policy (w szczególności używając "Device Management" jako kryterium).
  • Uwaga: Wymaga Okta Identity Engine (OIE)
• Microsoft Azure AD: Użyj Device-based Conditional Access Policies wraz z Jamf Pro i Microsoft Conditional Access integration