安全设计 是指一种安全架构和方法,其中安全结果是给定系统的主要考虑因素和基础。
例如,现代移动操作系统在其应用程序允许在经过精心设计的受限且受控的沙箱环境中运行的方式上是安全的,与操作系统和其他应用程序隔离。
安全设计与安全配置
目前大多数企业 IT 不是安全设计,而是安全配置。这在基于 Windows 的环境中尤其如此,其中广泛的遗留技术和多种供应商必须相互交互。维护这些系统及其几乎无限的硬件、软件和外设可能组合需要进行大量的配置和维护,以关闭已知的安全漏洞,以及那些随着工具、软件版本和需求变化而不可避免地出现的漏洞。
另一方面,Apple 提供了一个紧密控制且垂直集成的技术堆栈,本质上是安全设计。通过更有限的硬件、软件和外设组合,以及对第三方产品的严格互操作性标准,安全结果被融入其产品的设计、开发和维护中。
企业中的安全设计
虽然安全设计架构以封闭、不可变的方式提供某些功能(例如上面的应用程序沙箱示例),但设备不能被完全封闭,以至于无法集成到其他系统中。为此,提供了定义明确且安全设计的 API,供第三方采用,提供与制造商安全设计架构兼容的功能。
Apple 提供了广泛的 API 和框架集合,涵盖企业环境中支持和保护端点所需的主要 IT 功能领域:
设备管理 - 将端点资产注册到可以执行策略、部署应用程序和管理生命周期的系统中。
身份 - 在连接到企业系统时提供用户和设备身份的高保证且通常是加密的证据。
连接 - 为端点提供与公共和私有资源进行广泛且安全通信的能力。
安全 - 使安全从业人员能够审计和响应可能表明恶意活动的用户和系统行为的框架,以及为开发人员提供工具以在其操作系统之上构建安全应用程序。
应用程序 - 第三方应用程序的安全运行时环境,以及分发和认证服务。
安全设计与 Jamf
虽然最初专注于端点管理,但 Jamf 的平台已扩展其范围,通过集成 Apple 在其最新操作系统中提供的许多安全设计 API 和框架,支持更完整的端点安全和管理成果。
通过混合和专注于管理、身份、连接和安全 API 的开发,Jamf 能够确保 Apple 设备在企业中平稳安全地运行。
例如,Jamf 提供的混合安全设计实现是我们的 Network Relay 服务,包括:
一个安全流量路由云服务,利用 Apple 内置的 Network Relay 框架(连接)
使用 ACME Device Attestation 进行高保证身份验证(身份)
通过 Endpoint Security API 分析验证设备健康和合规性(安全)
通过 MDM 和 DDM 零接触部署(管理)
安全设计与零信任生态系统
Jamf 提供这些功能来帮助客户在其环境中设计零信任架构时获得 Apple 上最佳的安全设计选项。
大多数组织(尤其是企业)将利用跨平台工具,其本质上是安全配置。虽然这些工具在组织的整个端点队列中提供了广泛的覆盖范围和可见性,但这些解决方案在 Apple 端点上存在空白,因为它们不是以安全设计原则构建的。
Jamf 填补了这些空白,通过与领先的 IT 和网络安全供应商的集成,Jamf 能够增强和改进这些工具的有效性和功能。
结合起来,Jamf 能够提供与 Apple 的设计原则相一致的全面安全设计成果,同时补充旨在解决更具跨功能性质的挑战的工具。