限制匿名设备的访问权限

一旦您启用了受信任设备的访问权限 – 为本地和云中的应用程序和数据源创建了安全路由 – 您现在可以开始通过防止"匿名"设备访问来锁定数据源。

匿名设备是指任何未经组织批准的设备。这包括：

比以往任何时候都更重要的是限制仅对受信任设备的访问权限，但这在云和远程工作中变得复杂，因为"本地"周边已经消失。尽管如此，受信任访问解决方案和架构要求支持所有数据源的锁定，包括本地和云。

锁定本地/数据中心资源

许多组织在直接控制和管理的服务器上托管大量敏感应用程序和数据。这些服务器安装在私有设施或安全的数据中心中。

幸运的是，这些应用程序已经位于防火墙后面，防止了开放的内部访问。但是，有几件事需要检查：

从目标服务器中移除任何映射的公共 IP（在 ISP 分配的 CIDR 范围内）。服务器应该只能通过私有 IP 地址访问。
- 移除任何将公共 IP 地址的连接映射到服务器内部 IP 地址的 1-to-1 NAT 或防火墙针孔异常。这对于 HTTP 和 RDP 等风险协议尤为重要。
如果应用程序特别敏感，请在服务器上或 LAN 中配置网络 ACL（访问控制列表），仅允许来自 Jamf 子网的应用程序入站连接，如您的 IPSec 互联网关加密域设置中定义的那样。

受信任的用户及其设备将通过自定义 IPSec 互联网关访问这些资源，在其设备上部署并激活 Jamf Trust 后可以无缝访问。

基础设施即服务定义为第三方供应商提供的基于云的服务，允许您运行应用程序和存储数据，而无需管理物理基础设施本身。市场上最常见的 IaaS 平台是亚马逊 Web 服务、谷歌云平台和微软 Azure。

限制这些环境中资源的访问权限实际上与本地/数据中心资源非常相似，因为资源通常在 IaaS 提供商中的私有虚拟网络上配置。但是，最大的区别在于应用程序和数据资源被公开提供的情况更加常见。无论是有意还是无意（因为这很容易做到！），这种过度开放的访问一直是近年来许多重大黑客攻击的根本原因。

受信任的用户和设备可以使用以下任何互联网关选项访问这些资源：

软件即服务定义为您已购买但以任何方式都不拥有操作的应用程序。常见的业务 SaaS 服务包括 Microsoft 365、Salesforce、Slack、Box 和 Zoom。您的组织很可能至少拥有一个 SaaS 应用程序，并且其中包含一些敏感的公司数据！

但是，如果您无法对 SaaS 应用程序的底层基础设施（包括网络连接）进行本机控制，您将受 SaaS 提供商是否提供可用于识别批准的用户和设备的访问控制的支配。

一般有两种技术可用于锁定对 SaaS 应用程序的访问：通过源 IP 或身份提供商 (IdP)。

某些 SaaS 提供商允许各个客户定义允许登录其特定客户租户以访问 SaaS 应用程序或服务的源 IP 地址范围。虽然相对罕见，但源 IP 锁定是仅允许通过 Jamf 私有访问基础设施连接的设备访问的可靠方法。

您可以使用 Jamf 的共享全局 IP 地址或自定义 IPSec 互联网关另一侧的公共 IP。

一个强大的例子是使用访问客户端访问规则限制 Microsoft Exchange 连接仅限于启用了私有访问的设备。

大多数 SaaS 提供商支持单点登录，它使用您组织的身份提供商（例如 Okta、Azure AD）来允许或拒绝对该应用程序的访问，而不是依赖于单独的凭据集。虽然这对用户身份很有帮助，但 SaaS 提供商很少提供设备访问控制。

幸运的是，身份提供商确实提供对设备级别感知的支持，我们可以使用它来区分批准的设备和未批准的设备。

市场上三个领先的 IdP 支持定义登录访问策略，这些策略将源 IP 地址作为能够登录到给定 SaaS 应用程序的条件。

使用此条件，您可以使用 Jamf 的云 IP 地址作为一种方式来识别传入登录是否源自已部署并激活了私有访问的设备。未经授权的设备将不会显示属于 Jamf 安全云的源 IP，因此将被 IdP 的访问策略阻止。

有关为您的 IdP 配置此信息的详细信息，请参阅以下指南：

您可以在此处找到的 BYOD 演示视频中查看此体验的样子。

某些 IdP 提供端点应用/代理，可用于作为登录过程的一部分交付设备身份和身份验证。虽然此方法比使用源 IP 更好，但它需要额外的部署和激活考虑和复杂性。