确保设备合规是组织的重要基石,保护其 IT 资产并维持对必要资源的受控、安全访问。各种供应商和解决方案提供独特的工作流程和功能来实现此合规状态。Jamf 提供多种集成方案,无论是 Microsoft Entra 条件访问、Okta 身份威胁防护、Google BeyondCorp 企业上下文感知策略还是 AWS Verified Access,每种集成都针对允许仅来自合规设备的受信任用户访问组织资源这一关键需求。
组织通常依靠跨平台集成来交换相关的设备状态信息。基于这些状态,各种系统执行合规控制,以允许或限制对特定资源的访问。
对于已经参与上述设备合规工作流程的用户,可以通过利用 Jamf Pro 和 Jamf Connect 中的原生功能和技术来进一步加强资源访问控制。以下解决方案将探讨如何使用 Jamf Pro 定义设备合规基线,以及如何使用 Jamf Connect 通过按应用连接到 SaaS 或本地资源来自动化安全访问控制。
建立合规基线
在审查设备合规性时,重要的是要认识到每个组织都有其独特的需求和要求,这些需求和要求规定了什么构成合规设备。因此,没有一种适用于所有控制的一刀切合规基线。
但是,我们必须考虑遵循安全合规基线建立最佳实践的环境中存在的基本因素。虽然没有单一的合规基线能够满足每个组织的需求,但在什么构成最佳实践方面存在基本共识。出于本指南的目的,我们将使用以下条件作为建立设备合规状态的基础基线:
| macOS | iOS/iPadOS |
|---|---|
| 安装 AV/EDR 解决方案 | 检测到越狱 |
| AV/EDR 解决方案处于活跃运行状态 | 密码状态 |
| AV/EDR 最后签入 | iOS/iPadOS 版本 |
| FileVault 状态 | 最后清单更新 |
| OS 版本 | 最后备份 |
| 最后清单签入 |
⚠️ 重要注意 ⚠️
请注意,上面列出的条件仅供参考。Jamf 中捕获的其他清单值也可以作为制定适合您组织的合规基线的条件。因此,将此列表视为参考,并根据您的具体设备合规要求进行必要的调整。
- 示例:
设备型号
定义是否部署了特定配置
定义是否安装了特定应用
等等
对于监管更严格的行业和政府机构,您还可以利用 Jamf 合规编辑器 建立安全基准或基线,包括 CIS、NIST 800-53 & 800-171、DISA STIG、CNSSI 和 CMMC。
工作流程概述
Jamf Pro 清单信息将构成设备合规状态的基础。
根据使用的具体条件,macOS 或 iOS 端点将落入配置的智能组之一,并向 Jamf Security Cloud 中的 Webhook 事件发出信号,以同步端点和组状态映射。
macOS 或 iOS 端点被添加到 Jamf Security Cloud 中的相应组,该组对特定资源的访问受限
Jamf Security Cloud 的访问策略构成网络连接的基础,通过使用设备组映射,不属于组分配的设备将不会通过 Jamf Cloud Gateway 进行路由,并使用所需的出口端点。
SaaS - 结合 IP 锁定/允许列表功能,设备将对 SaaS 租户的访问受限,原因是设备不是从受信任的出口 IP 解析。
本地 - 如果设备不属于该组,与本地网络的连接将不会建立
一旦满足特定的合规要求(例如 OS 更新)并且清单信息同步到 Jamf Pro,端点将触发相应的 Webhook,自动将设备放回合规组以重新建立与公司资源的受信任连接
用例
在进入实际工作流程之前,首先让我们查看一些可能涉及此工作流程的相关用例。
| 作为管理员,我想要 |
|---|
| 自动限制对核心公司资源的访问,直到设备合规 |
| 通过提供近实时持续访问来增强和补充现有设备合规工作流程,例如 Google BeyondCorp、Microsoft Entra 条件访问、Okta 身份威胁防护和 AWS Verified Access 集成 |
任何应用、浏览器和协议
在登录之间应用控制 | | 采用 ZTNA 框架以增强安全措施、最小化攻击表面、执行严格的访问控制策略、降低第三方风险和增强资产保护。 | | 为最终用户提供支持并提供更无缝的引导式体验来解决不合规的设备状态 |
工作流程前提条件
对 Jamf Pro 和 Jamf Security Cloud 的访问权限
在 Jamf Pro 中创建 macOS 扩展属性的权限
在 Jamf Protect(Jamf Security Cloud 门户)中编辑 UEM Connect 集成和编辑访问策略的权限
在 Jamf Protect(Jamf Security Cloud)和 Jamf Pro 之间配置的 UEM Connect
在 UEM Connect 集成中启用 Jamf Pro Webhook
访问 SaaS 租户以执行 IP 锁定/允许列表
创建工作流程
⚠️ 开始前 ⚠️
以下配置指南旨在提供基础技术框架和指导,以建立设备合规的基础基线。
在在受控测试环境之外实施此解决方案之前,请注意您组织的信息安全要求。我们建议与内部利益相关者协作,以在 Jamf 托管设备中正确定义合规条件定义。
Jamf Pro:在 Jamf Pro 中创建 macOS 扩展属性
以下设置仅在您为 macOS 配置工作流程时需要
作为设备合规基线的一部分,我们将创建扩展属性以捕获 AV/EDR 的状态(即作为本指南的一部分,我们将利用 Jamf Protect)以实现 macOS 设备。
登录到将用于此工作流程的 Jamf Pro 实例
从导航菜单中导航到"设置"
导航到计算机管理
选择并打开扩展属性
在右上角选择
+ 新建输入以下详细信息:
名称:Jamf Protect 已安装
数据类型:字符串
清单显示:扩展属性
输入类型:脚本
`#!/bin/bash
Jamf Pro 扩展属性,检查和验证以下内容:
Jamf Protect 已安装并位于 /Applications 下
ProtectStatus="/Applications/JamfProtect.app"
if [ -e "$ProtectStatus" ]; then echo "Installed" else echo "Not Installed" fi
exit 0` 
- 然后按保存
重复步骤 (1-5),用以下参数修改步骤 4
名称:Jamf Protect 状态
数据类型:字符串
清单显示:扩展属性
输入类型:脚本
`#!/bin/bash
Jamf Pro 扩展属性,检查和验证以下内容:
通过检查 Jamf Protect 进程确保 Jamf Protect 处于活跃运行状态
JPProcess=$( pgrep JamfProtect ) if [[ -n "$JPProcess" ]]; then echo "Active" else echo "Not Active" fi
exit 0` 
- 然后按保存
相关文章