限制匿名裝置的存取權

啟用受信任裝置的存取權後 – 為您的內部部署和雲端應用程式和資料來源建立安全路由 – 您現在可以透過防止「匿名」裝置存取來開始鎖定資料來源。

匿名裝置是指任何未經組織授權的裝置。這包括：

比以往任何時候都更重要的是限制僅受信任裝置的存取，但在雲端和遠端工作環境中這變得複雜，因為「內部部署」周邊已不復存在。儘管如此，受信任存取解決方案和架構需要支援鎖定所有資料來源，包括內部部署和雲端。

鎖定內部部署 / 資料中心資源

許多組織在他們直接控制和管理的伺服器上存放大量敏感應用程式和資料。這些伺服器安裝在私設設施或安全配置的資料中心內。

幸運的是，這些應用程式已經位於防火牆後面，使其不會被開放內部存取隱蔽。不過，有幾點需要檢查：

從目的地伺服器移除任何對應的公開 IP（在 ISP 發行的 CIDR 範圍內）。伺服器應僅透過私有 IP 位址可以到達。
- 移除任何將連線從公開 IP 位址對應到伺服器內部 IP 位址的 1 對 1 NAT 或防火牆針孔例外。這對於 HTTP 和 RDP 等風險協定特別重要。
如果應用程式特別敏感，請在伺服器或 LAN 上設定網路 ACL（存取控制清單），僅允許應用程式入站連線來自您 IPSec 互連的加密網域設定中定義的 Jamf 子網。

受信任的使用者及其裝置將透過 Custom IPSec Interconnect Gateway 存取這些資源，在裝置上部署並啟動 Jamf Trust 後，將可以無縫存取。

基礎設施即服務定義為第三方廠商提供的雲端服務，可讓您執行應用程式並存放資料，而無需管理實體基礎設施本身。市場上最常見的 IaaS 平台是 Amazon Web Services、Google Cloud Platform 和 Microsoft Azure。

限制這些環境中資源的存取權實際上非常類似於內部部署 / 資料中心資源，因為資源通常在 IaaS 提供者內的私有虛擬網路上設定。不過，最大的區別在於應用程式和資料資源被設定為公開提供的情況更為常見。無論是有意或無意（因為這很容易做到！），這種過度開放的存取已成為近年來許多重大駭客事件的根本原因。

受信任的使用者和裝置可以使用下列任何互連選項存取這些資源：

軟體即服務定義為您購買但不擁有任何操作權的應用程式。常見的商務 SaaS 服務包括 Microsoft 365、Salesforce、Slack、Box 和 Zoom。您的組織很可能至少有一個 SaaS 應用程式，且它包含一些敏感的公司資料！

不過，由於您沒有對 SaaS 應用程式的基礎設施（包括網路連線）進行本機控制，您只能依賴 SaaS 提供者提供（或不提供）存取控制，這些控制可能用於識別授權的使用者和裝置。

通常有兩種技術可用於鎖定對 SaaS 應用程式的存取：透過來源 IP 或識別提供者 (IdP)。

某些 SaaS 提供者允許個別客戶定義允許登入其特定客戶租用戶以存取 SaaS 應用程式或服務的來源 IP 位址範圍。雖然相對少見，但來源 IP 鎖定是僅允許透過 Jamf Private Access 基礎設施連線的裝置存取的可靠方式。

大多數 SaaS 提供者支援單一登入，它使用您組織的識別提供者（例如 Okta、Azure AD）來允許或拒絕對該應用程式的存取，而不是依賴一組單獨的認證。雖然這對使用者身分識別很有利，但 SaaS 提供者很少提供裝置存取控制。

幸運的是，識別提供者確實提供對裝置層級認知的支持，我們可以用它來區分授權裝置和未授權裝置。

市場上三個領先的 IdP 支援定義登入存取原則，該原則將來源 IP 位址視為能夠登入指定 SaaS 應用程式的條件。

使用此條件，您可以使用 Jamf 的雲端 IP 位址作為識別傳入登入是否源自部署了 Private Access 並處於作用中的裝置的方式。未授權的裝置不會呈現屬於 Jamf 安全雲端的來源 IP，因此將被 IdP 的存取原則封鎖。

如需為您的 IdP 設定此功能的詳細資訊，請參閱這些指南：

您可以在此處找到的 BYOD 示範影片中看到此體驗的樣貌。

某些 IdP 提供端點應用程式/代理程式，可用於在登入程序中傳遞裝置身分識別和驗證。雖然此方法優於使用來源 IP，但它需要額外的部署和啟動考量及複雜性。