Zapewnienie zgodności urządzenia stanowi kluczowy filar dla organizacji, chroniąc zasoby IT i utrzymując kontrolowany, bezpieczny dostęp do niezbędnych zasobów. Różni dostawcy i rozwiązania oferują unikalne przepływy pracy i możliwości osiągnięcia tego stanu zgodności. Jamf oferuje wiele integracji, czy to Microsoft Entra Conditional Access, Okta Identity Threat Prevention, Google BeyondCorp Enterprise Context-Aware Policy czy AWS Verified Access, każda integracja odnosi się do zasadniczej potrzeby umożliwienia tylko zaufanym użytkownikom ze zgodnych urządzeń dostępu do zasobów organizacyjnych.
Organizacje zwykle opierają się na integracji międzyplatformowej w celu wymiany odpowiednich informacji o stanie urządzenia. Na podstawie tych stanu, różne systemy egzekwują kontrole zgodności w celu umożliwienia lub ograniczenia dostępu do określonych zasobów.
Dla tych, którzy już są zaangażowani w wyżej wymienione przepływy pracy zgodności urządzenia, kontrolę dostępu do zasobów można dodatkowo wzmocnić, wykorzystując natywne funkcje i technologie w Jamf Pro i Jamf Connect. Następujące rozwiązanie będzie zbadać, jak zdefiniować linię bazową zgodności urządzenia za pomocą Jamf Pro i jak zautomatyzować bezpieczną kontrolę dostępu z połączeniem na aplikację do zasobów SaaS lub lokalnych za pomocą Jamf Connect.
Ustanowienie linii bazowej zgodności
Podczas badania zgodności urządzenia ważne jest uznanie, że każda organizacja będzie miała swój własny unikalny zestaw potrzeb i wymagań określających, co stanowi zgodne urządzenie. W konsekwencji nie ma rozwiązania jednego rozmiaru dla wszystkich, które obejmuje wszystkie kontrole.
Jednak musimy wziąć pod uwagę czynniki fundamentalne obecne w środowiskach, które opowiadają się za najlepszymi praktykami ustanowienia bezpiecznej i zgodnej linii bazowej. Chociaż żadna linia bazowa zgodności nie może uwzględnić każdej organizacji, istnieje fundamentalna konsensus dotyczący tego, co stanowi najlepsze praktyki. W celu tego przewodnika będziemy wykorzystywać następujące kryteria jako podstawową linię bazową do ustanowienia stanu zgodności urządzenia:
| macOS | iOS/iPadOS |
|---|---|
| Instalacja rozwiązania AV/EDR | Złamanie wykryte |
| Rozwiązanie AV/EDR jest aktywne i działające | Status kodowego dostępu |
| Ostatnia kontrola AV/EDR | Wersja iOS/iPadOS |
| Status Filevault | Ostatnia aktualizacja spisu |
| Wersja systemu operacyjnego | Ostatnia kopia zapasowa |
| Ostatnia kontrola spisu |
⚠️ WAŻNA NOTATKA ⚠️
Prosimy być świadomi, że wymienione powyżej kryteria są jedynie przykładami do rozważenia. Inne wartości spisu przechwycone w Jamf mogą również służyć jako kryteria do sformułowania linii bazowej zgodności dostosowanej do Twojej organizacji. Dlatego uważaj tę listę za odniesienie i dokonaj niezbędnych dostosowań, aby dostosować się do Twoich konkretnych wymagań zgodności urządzenia.
- Przykłady:
Model urządzenia
Zdefiniuj, czy określona konfiguracja jest wdrażana
Zdefiniuj, czy określona aplikacja jest zainstalowana
Itp
W przypadku bardziej regulowanych branż i agencji rządowych możesz również wykorzystać Jamf Compliance Editor, aby ustalić benchmarki bezpieczeństwa lub linie bazowe, w tym CIS, NIST 800-53 i 800-171, DISA STIG, CNSSI i CMMC.
Przegląd przepływu pracy
Informacje o spisu Jamf Pro będą stanowiąć podstawę stanu zgodności urządzenia.
W zależności od tego, jakie konkretne kryteria są używane, punkt końcowy macOS lub iOS będzie należeć do jednej z skonfigurowanych inteligentnych grup i zasygnalizować zdarzenie Webhook do chmury bezpieczeństwa Jamf w celu synchronizacji mapowania stanu punktu końcowego i grupy.
Punkt końcowy macOS lub iOS zostaje dodany do odpowiedniej grupy w chmurze bezpieczeństwa Jamf, która ma ograniczony dostęp do określonego zasobu
Polityka dostępu chmury bezpieczeństwa Jamf stanowi podstawę łączności sieciowej, korzystając z mapowania grupy urządzeń, urządzenie, które nie należy do przydzielenia grupy, nie będą kierowane za pośrednictwem bramy chmury Jamf i korzystać z żądanego punktu wyjściowego.
SaaS - gdy w połączeniu z możliwościami IP Lockdown/Allow-Listing, urządzenie będzie mieć ograniczony dostęp do dzierżawy SaaS w wyniku tego, że urządzenie nie rozpoznaje z zaufanego adresu IP wyjściowego.
On-prem - połączenie do sieci lokalnej nie zostanie nawiązane, jeśli urządzenie nie należy do grupy
Po naprawieniu konkretnego wymagania zgodności (np. Aktualizacja systemu operacyjnego) i synchronizacji informacji o spisu z Jamf Pro, punkt końcowy wyzwoli odpowiedni Webhook, aby automatycznie umieścić urządzenie z powrotem w zgodnej grupie w celu ponownego nawiązania zaufanego połączenia do zasobu korporacyjnego
Przypadki użycia
Przed przejściem do rzeczywistego przepływu pracy, najpierw przejrzyjmy niektóre istotne przypadki użycia, które mogą być zaangażowane w ten przepływ pracy.
| Jako administrator chcę |
|---|
| Automatycznie ograniczyć dostęp do głównego zasobu korporacyjnego do czasu zgodności urządzenia |
| Wzmacniać i uzupełniać istniejące przepływy pracy zgodności urządzenia, takie jak integracje Google BeyondCorp, Microsoft Entra Conditional Access, Okta Identity Threat Prevention i AWS Verified Access, zapewniając prawie rzeczywisty ciągły dostęp |
Każda aplikacja, przeglądarka i protokół
Zastosuj kontrolę między logowaniem | | Przyjąć ramy ZTNA w celu wzmocnienia środków bezpieczeństwa, minimalizacji powierzchni ataku, egzekwowania ścisłych polityk kontroli dostępu, obniżenia ryzyka trzeciej strony i wzmocnienia ochrony aktywów. | | Umożliwienie użytkownikom końcowym i zapewnienie bardziej bezproblemowego i prowadzonego doświadczenia w rozwiązywaniu niezgodnego stanu urządzenia |
Wymagania wstępne przepływu pracy
- Dostęp do Jamf Pro i Jamf Security Cloud
Uprawnienia w Jamf Pro do tworzenia atrybutów rozszerzenia macOS
Uprawnienia w Jamf Protect (portal chmury bezpieczeństwa Jamf) do edycji integracji UEM Connect i edycji polityki dostępu
Skonfigurowany UEM Connect między Jamf Protect (chmura bezpieczeństwa Jamf) a Jamf Pro
Włącz Jamf Pro Webhook w integracji UEM Connect
Dostęp do dzierżawy SaaS w celu egzekwowania IP Lockdown/Allow-listing
Tworzenie przepływu pracy
⚠️ Zanim zaczniemy ⚠️
Następujący przewodnik konfiguracji ma na celu dostarczenie podstawowej ramy technicznej i wskazówek do ustanowienia podstawowej linii bazowej zgodności urządzenia.
Przed wdrożeniem tego rozwiązania poza kontrolowanymi środowiskami testowymi, prosimy być świadomi wymagań dotyczących bezpieczeństwa informacji Twojej organizacji. Zalecamy współpracę z wewnętrznymi interesariuszami, aby prawidłowo zdefiniować definicje kryteriów zgodności na urządzeniach zarządzanych przez Jamf.
Jamf Pro: Utwórz atrybut rozszerzenia macOS w Jamf Pro
Następujące ustawienia są wymagane tylko wtedy, gdy konfigurujesz przepływ pracy dla macOS
W ramach linii bazowej zgodności urządzenia będziemy tworzyć atrybuty rozszerzenia w celu przechwycenia stanu AV/EDR (tj. w ramach tego przewodnika będziemy korzystać z Jamf Protect) dla urządzeń macOS.
Zaloguj się do instancji Jamf Pro, która będzie używana dla tego przepływu pracy
Przejdź do ustawień z menu nawigacji
Przejdź do Computer Management
Wybierz i otwórz Extension Attributes
W górnym rogu po prawej stronie wybierz
+ NewWpisz następujące szczegóły:
Nazwa: Jamf Protect Installed
Typ danych: String
Wyświetlanie spisu: Attribute Extension
Typ wejścia: Script
`#!/bin/bash
Jamf Pro Extension Attribute, które sprawdza i weryfikuje następujące:
Jamf Protect jest zainstalowany i znajduje się w /Applications
ProtectStatus="/Applications/JamfProtect.app"
if [ -e "$ProtectStatus" ]; then echo "Installed" else echo "Not Installed" fi
exit 0` 
- Następnie naciśnij zapisz
Powtórz kroki (1-5), zmieniając krok 4 na następujące parametry
Nazwa: Jamf Protect Status
Typ danych: String
Wyświetlanie spisu: Attribute Extension
Typ wejścia: Script
`#!/bin/bash
Jamf Pro Extension Attribute, które sprawdza i weryfikuje następujące:
Upewnij się, że Jamf Protect jest aktywny i uruchomiony, sprawdzając proces Jamf Protect
JPProcess=$( pgrep JamfProtect ) if [[ -n "$JPProcess" ]]; then echo "Active" else echo "Not Active" fi
exit 0` 
- Następnie naciśnij zapisz
Powiązane artykuły