Guides

Po ustaleniu zaufania urządzenia i skonfigurowaniu polityk zagrożeń i ryzyka, jesteś gotów do zapewnienia tym "zatwierdzzonym i zabezpieczonym" urządzeniom bezpiecznego dostępu do zasobów firmy.

Rozwiązanie Trusted Access wymaga użycia Jamf Connect, produktu Zero Trust Network Access natywnego dla chmury Jamf, do ułatwienia wysokowydajnych i przyjaznych dla użytkownika połączeń, jednocześnie dostarczając zaawansowanych funkcji bezpieczeństwa sieciowego dla dowolnej aplikacji SaaS, chmury prywatnej lub on-prem.

Możesz również użyć integracji partnerów, które wykorzystują sygnalizowanie API do wskazania stanu zarządzania i zgodności danego urządzenia. Te integracje mają zastosowanie tylko do podzbioru aplikacji i mogą być używane zamiast lub oprócz Jamf Connect w zależności od wymagań.

Info: Co ze swoim istniejącym VPN?

Jamf Connect nie powinien być mylony z innymi produktami VPN i ZTNA. Chociaż zapewnia bezpieczny dostęp zdalny do zasobów, takich jak VPN, unikatowo umożliwia Trusted Access na kilka bardzo znaczących sposobów:

• Jest natywny dla chmury, wykorzystuje technologię tunelowania Wireguard następnej generacji i przyjmuje zaawansowane integracje tożsamości, które razem dostarczają prawie niewidoczne, ale uwielbiane doświadczenie użytkownika.
• Jest zaprojektowany od zera na zasadach dostępu o minimalnych uprawnieniach, zapewniając, że autoryzowani użytkownicy mogą uzyskać dostęp tylko do danych, których potrzebują, nie wszystko w sieci wewnętrznej.
• Integruje się natywnie z produktami zarządzania i bezpieczeństwa Jamf, aby zapewnić, że tylko zatwierdzone i bezpieczne urządzenia mogą uzyskać dostęp do zasobów na podstawie Twojej własnej definicji polityki opartej na ryzyku.

W wyniku tego użycie rozwiązania VPN innego dostawcy nie jest w stanie spełnić wymagań niezbędnych do realizacji Trusted Access.

Dla urządzeń macOS jesteś w stanie bardziej skonfigurować Partner Conditional Access za pośrednictwem Jamf Pro, aby umożliwić tym usługom partnerskim zezwolenie lub odmowę dostępu na podstawie stanu zgodności urządzenia (np. członkostwa Smart Group).

Wdrażanie Jamf Connect

Poprzez wdrażanie Jamf Connect, tworzysz zaufaną i prywatną ścieżkę sieciową między zarządzanymi punktami końcowymi a wszystkimi aplikacjami organizacji.

Info: Uwaga

Będziesz potrzebować dostępu do konta Jamf Security Cloud (RADAR), które jest licencjonowane dla Jamf Connect, aby ukończyć te kroki.

Jeśli nie masz konta, skontaktuj się z zespołem Jamf Account, aby mogli dla ciebie utworzyć bezpłatne konto demo!

Wykonaj te kroki, aby uzyskać Jamf Connect uruchomiony w środowisku w celu ustanowienia szybkiej i bezpiecznej łączności:

1. Przejrzyj i zrozum Architekturę Jamf Connect, lub obejrzyj to 20-minutowe wideo JNUC'21 wprowadzające Cię do tego.

2. Zaloguj się do swojego konta Jamf Security Cloud i połącz dostawcę tożsamości, aby zezwolić użytkownikom końcowym na aktywowanie Private Access za pośrednictwem aplikacji Jamf Trust przy użyciu ich poświadczeń korporacyjnych.

3. Utwórz profil aktywacji, które konfiguruje usługi Network Access, Content Controls i Security oraz utilizes dostawcę tożsamości do uwierzytelniania.

   1. Upewnij się, że wyłączasz Identity-based Provisioning dla nowo utworzonego profilu aktywacji. To zapewni, że tylko zarządzane urządzenia mogą aktywować za jego pomocą.
   2. Możesz utworzyć inne profile aktywacji, które do używają tej funkcji do pokrycia urządzeń wykonawcy lub innych urządzeń, które nie mogą być wpisane do MDM, ale powinny mieć bardzo wąski dostęp.

4. Zdefiniuj grupy urządzeń, które będą używane do mapowania użytkowników i ich urządzeń na określone aplikacje, które powinni (lub nie powinni) móc uzyskać dostęp (np. "Executives", "Engineering", "Sales")

5. Skonfiguruj integrację z Jamf Pro.

   1. Skonfiguruj mapowanie grupy, aby mapować grupy inteligentne Jamf Pro na odpowiednie grupy, które zdefiniowałeś powyżej.
   2. (Opcjonalnie) Zdefiniuj mapowania pola urządzenia, jeśli jest to stosowne.

6. Ustanów bezpieczny dostęp do aplikacji i zasobów danych poprzez konfigurację jednej lub więcej prywatnych bramy interconnect między Jamf Security Cloud a centrami danych i chmurą prywatną.

7. Skonfiguruj niestandardowe strefy DNS, jeśli używasz wewnętrznego serwera nazw domen lub split-brain DNS do osiągnięcia zasobów wewnętrznych.

8. Skonfiguruj polityki dostępu, które definiują aplikacje organizacji, ich polityki dostępu i dostępność (albo poprzez publiczny internet, albo skonfigurowaną prywatną bramę interconnect).

   1. Jeśli aplikacja, którą definiujesz, zawiera czułe dane, upewnij się, że ograniczysz dostęp tylko do grup, które potrzebują dostępu w karcie Users and Groups, i zdefiniuj maksymalnie tolerancyjny poziom ryzyka w karcie Security polityki dostępu.
   2. Uwaga: możesz dostosować ważność każdej kategorii zagrożenia, która określa wynik ryzyka urządzenia, korzystając z konfiguracji security policy RADAR.

9. Wdrażanie Jamf Trust na Urządzenia (agenta punktu końcowego Jamf Connect) przy użyciu Jamf Pro lub innych odpowiednich narzędzi zarządzania urządzeniami dla platform wpisanych urządzeń.

   1. Dla urządzeń BYOD iOS/iPadOS upewnij się, że postępujesz zgodnie z konkretnymi instrukcjami "Deploy Jamf Trust" dla User Enrollment.

Gdy Jamf Connect jest prawidłowo wdrażany i konfigurowany, wszystkie połączenia aplikacji przedsiębiorstwa są szyfrowane do Jamf Security Cloud i podlegają politykiom dostępu, które zostały zdefiniowane.

Aby uzyskać techniczne wyjaśnienie under-the-hood dotyczące sposobu, w jaki Private Access działa, sprawdź nasz Network Engineer's Guide to Private Access.

Integracje Stanu Zarządzania Partnerem

Podczas gdy Jamf Connect jest używany do włączenia łączności opartej na sieci i kontroli dostępu do dowolnej aplikacji TCP lub UDP - w tym aplikacji SaaS i prywatnych on-premise - możliwe jest sygnalizowanie stanu zarządzania urządzenia i innych metadanych za pośrednictwem integracji z wybranymi partnerami.

To pozwala platformie partnera określić, czy dane urządzenie jest zarządzane przez Jamf Pro i spełnia określone wymagania zgodności. Może być również używane do sygnalizowania stanu zgodności urządzenia lub poziomu ryzyka do napędu dostępu opartego na ryzyku do danych firmy. Te sygnały są używane do poinformowania polityk zdefiniowanych w platformie dostępu partnera.

Integracje zarządzania partnerami Jamf obejmują:

• Device Compliance with Microsoft Entra and Jamf
• Google BeyondCorp Enterprise Integration with Jamf Pro

Ograniczanie Dostępu dla Urządzeń Anonimowych

Po wdrożeniu jednej lub obu powyższych strategii do identyfikacji zaufanych urządzeń, następnym krokiem jest konfigurowanie aplikacji, aby zezwalały na połączenia tylko z tych "zaufanych" urządzeń.

Szczegóły znajdują się w Restricting Access for Anonymous Devices.