Jamf Concepts
Guides

Guides

Ochrona płaszczyzny zarządzania MDM

~6 min read

Ochrona płaszczyzny zarządzania MDM

Przegląd bezpieczeństwa

Dlaczego to ma znaczenie dla ekosystemu Jamf

Każda platforma MDM --- Jamf Pro włącznie --- ma możliwość wydawania poleceń zdalnego czyszczenia. Jest to główna, niezbędna funkcja. Ostatnie ataki na platformy MDM wykazują, że sama płaszczyzna zarządzania jest wysoko wartościowym celem, a platformy MDM muszą być traktowane jako krytyczna infrastruktura poziomu 1.

Kluczowe czynniki ryzyka to:

  • Stały dostęp uprzywilejowany: Konta administracyjne z trwałymi, szerokimi uprawnieniami

  • Kompromis poświadczeń: Poświadczenia administracyjne uzyskane za pośrednictwem phishingu lub technik AiTM

  • Brak zatwierdzenia przez wielu administratorów: Jedno skompromitowane konto mogło wydać destrukcyjne polecenia na dużą skalę

  • Niewystarczające monitorowanie: Polecenia zbiorcze do czyszczenia nie były flagowane lub blokowane w czasie rzeczywistym

Pytanie brzmi: Jak ekosystem Jamf zapewnia kontrole przeciwko temu wzorcowi ataku?

Kontrole bezpieczeństwa Jamf

Federacja SSO do dostawcy tożsamości (IdP)

Ryzyko: Atakujący kompromitują poświadczenia administracyjne i uzyskają dostęp bezpośrednio do konsoli MDM. Standardowe MFA można obejść za pomocą technik AiTM.

Jak Jamf to rozwiązuje:

  • Jamf Account SSO (OIDC): Jamf teraz obsługuje scentralizowany SSO za pośrednictwem Jamf Account przy użyciu OpenID Connect. Konfigurujesz swój IdP (Entra ID, Okta itp.) raz na koncie Jamf, a następnie przepływa przez Jamf Pro, Jamf Protect i Jamf Security Cloud. To konsoliduje powierzchnię autentykacji.

  • Mapowanie uprawnień na podstawie grupy IdP: Jamf Pro obsługuje mapowanie grup IdP do zestawów uprawnień. Gdy administrator uwierzytelnia się za pośrednictwem SSO, jego członkostwo grupy w IdP określa, co może robić w Jamf Pro. Oznacza to, że poziomy uprawnień są centralnie zarządzane w IdP --- nie rozrzucone jako lokalne konta Jamf Pro.

  • Dostęp warunkowy na warstwie IdP: Ponieważ uwierzytelnianie administratora Jamf przepływa przez IdP, mają zastosowanie wszystkie kontrole na poziomie IdP: sprawdzenie zgodności urządzenia, autentyczność zagrożenia phishingu MFA (FIDO2/passkeys), ograniczenia geograficzne, wykrywanie niemożliwych podróży i ocena ryzyka sesji --- wszystko przed osiągnięciem przez administratora konsoli Jamf Pro.

  • Strategia konta przerwania szkła: Jamf zaleca utrzymywanie co najmniej jednego lokalnego konta administracyjnego non-SSO dostępnego tylko za pośrednictwem adresu URL trybu failover. Zapewnia to dostęp awaryjny, jeśli połączenie IdP się nie powiedzie, jednocześnie zachowując podstawową powierzchnię ataku za mocnymi kontrolami IdP.

  • Wyłącz bezpośrednie logowanie Jamf ID: Po skonfigurowaniu SSO OIDC organizacje mogą wyłączyć logowanie bezpośrednie Jamf ID, zmuszając całą autentykację przez IdP i związane z nią zasady bezpieczeństwa.

Kontrole infrastruktury jako kodu (IaC)

Ryzyko: Jedno konto administracyjne z uprawnieniami stojącymi mogło dokonać destrukcyjnych zmian (w tym zbiorczego czyszczenia) za pośrednictwem konsoli internetowej bez przeglądu, bez przepływu pracy zatwierdzenia i bez ścieżki wycofania.

Jak Jamf to rozwiązuje za pomocą IaC:

  • Dostawcy Terraform dla Jamf: Istnieją teraz dwa dostawcy Terraform --- społeczność terraform-provider-jamfpro (Deployment Theory / Lloyds Banking Group) i własny Jamf terraform-provider-jamfplatform dla API platformy. Razem obejmują polityki, profile, grupy, aplikacje, plany, benchmarki zgodności i wiele więcej.

  • Przepływ pracy GitOps = obowiązkowy przegląd przez parę: W modelu IaC zmiany konfiguracji są definiowane w kodzie, zatwierdzane na gałęzi Git i przechodzą przez przegląd i zatwierdzenie żądania ściągnięcia przed zastosowaniem. Żaden pojedyncze osoby nie mogą wcisnąć destrukcyjną zmianę bez innego zestawu oczu na niej.

  • Wyeliminuj stały dostęp ClickOps: Podejście IaC pozwala dramatycznie zmniejszyć liczbę osób, które potrzebują bezpośredniego dostępu do konsoli. Jeśli zmiany są dokonywane za pośrednictwem Terraform + CI/CD, interaktywne konta administracyjne z uprawnieniami do zapisu stają się niepotrzebne dla większości operacji. Możesz traktować dostęp do konsoli jako wyjątek, a nie normę.

  • Zarządzanie stanem i wykrywanie dryftu: Terraform utrzymuje plik stanu, który reprezentuje zamierzoną konfigurację. Jeśli ktoś dokona nieautoryzowanej zmiany za pośrednictwem konsoli (lub robi to atakujący), wykrywanie dryftu to zaznacza. Zapewnia to dodatkową warstwę widoczności.

  • Zdolność wycofania: Ponieważ cała konfiguracja jest kontrolowana wersją w Git, wycofanie do znanego dobrego stanu to git revert + terraform apply w dalekim. IaC zapewnia udokumentowaną ścieżkę odzyskiwania domyślnie.

  • Role API i klienci dla Terraform: Funkcja ról API i klientów Jamf Pro pozwala na tworzenie kont usług o wąskim zakresie dla Terraform. Konto usługi Terraform może mieć uprawnienia do zarządzania politykami i profilami, ale wyraźnie nie mają uprawnień do wydawania poleceń czyszczenia zdalnego. To wymusza najmniej uprzywilejowany w warstwie API.

Zestawy uprawnień Jamf Pro i RBAC

Bezpośrednio istotne kontrole:

  • Zdecentralizowane zestawy uprawnień: Jamf Pro pozwala na niestandardowe zestawy uprawnień, w których można wyraźnie przyznać lub odrzucić określone możliwości. Polecenia "Wipe Computer" i "Wipe Mobile Device" to poszczególne, przełączalne uprawnienia. Możesz tworzyć role administracyjne, które mogą zarządzać politykami i profilami, ale nie mogą wydawać poleceń czyszczenia.

  • Role API i klienci: Oddzielone od kont użytkowników, oferują programowy dostęp z niestandardowymi zestawami uprawnień. Możesz tworzyć klientów API dla przepływów pracy automatyzacji, które nigdy nie mają destrukcyjnych zdolności.

  • Dzienniki audytu: Każde polecenie MDM, w tym czyszczenie, jest rejestrowane z wystawiającym użytkownikiem/kontem, sygnaturą czasową i celem urządzenia. Dzienniki te można eksportować i przekazać do SIEM (Splunk itp.) w celu alertów w czasie rzeczywistym.

  • Przepływ pracy czyszczenia na urządzenie: Polecenie czyszczenia Jamf Pro jest wydawane na urządzenie z indywidualnego rekordu urządzenia. W standardowym interfejsie konsoli nie ma akcji "wybierz wszystko i wymaż" zbiorczą, co tworzy naturalny punkt tarcia przeciwko działaniom zbiorczym destrukcyjnym.

Podsumowanie

Problem: Platformy MDM są krytyczną infrastrukturą poziomu 1. Atakujący nie potrzebują złośliwego oprogramowania --- po prostu potrzebują poświadczeń administracyjnych i własnych narzędzi MDM. Płaszczyzna zarządzania to powierzchnia ataku.

Dlaczego ClickOps jest niebezpieczny: Gdy administratorzy dokonują zmian, klikając przez konsolę sieciową, nie ma przeglądu równego, nie ma przepływu pracy zatwierdzenia, nie ma dziennika audytu poza podstawowymi dziennikami i nie ma ścieżki wycofania. Skompromitowane konto ma natychmiastową, niesprawdzoną moc.

Stos obrony Jamf:

  1. Warstwa tożsamości: Federacja SSO za pośrednictwem Jamf Account OIDC przesuwa całą autentykację przez IdP, umożliwiając zagrożenie phishingu MFA, dostęp warunkowy i zgodność urządzenia --- przed osiągnięciem przez kogokolwiek konsoli.

  2. Warstwa autoryzacji: Zdecentralizowane zestawy uprawnień Jamf Pro pozwalają na oddzielenie zarządzania konfiguracją od operacji destrukcyjnych. Role API i klienci rozszerzają to na dostęp programowy.

  3. Warstwa operacyjna: IaC z Terraform przenosi zmiany konfiguracji z konsoli do kodu --- z historią Git, przeglądem i zatwierdzeniem żądania ściągnięcia, zautomatyzowanymi testami i zdolnością wycofania. Stały dostęp administracyjny staje się wyjątek.

  4. Warstwa wykrywania: Dzienniki audytu, webhooks i integracja SIEM zapewniają wgląd w działania administracyjne. Dane telemetryczne Jamf Protect dodają analizę behawioralną.

  5. Warstwa architektoniczna: Projekt czyszczenia dla urządzenia Jamf Pro tworzy naturalny punkt tarcia przeciwko działaniom zbiorczym destrukcyjnym, w przeciwieństwie do platform obsługujących czyszczenie zbiorcze z jednym działaniem administracyjnym.

Wezwanie do działania: Traktuj swoje MDM jak swoje infrastruktury w chmurze. Federuj autentykację. Wymuszaj najmniej uprzywilejowany. Przesuń do IaC. Monitoruj wszystko. Narzędzia istnieją w ekosystemie Jamf dzisiaj --- pytanie brzmi, czy Twoja organizacja je wdrażała.