在您建立裝置信任並設定您的威脅和風險政策後,您已準備好為這些「經核准和安全保護」的裝置提供對公司資源的安全存取。
可信任存取解決方案需要使用 Jamf Connect(Jamf 的雲端原生零信任網路存取產品),以便在提供任何 SaaS、私有雲或內部部署應用程式的進階網路安全功能的同時,促進高效能且便於使用的連線。
您也可以使用利用 API 訊號的合作夥伴整合,以指示特定裝置的管理和合規狀態。這些整合僅適用於應用程式的子集,並且根據您的需求,可以代替或補充 Jamf Connect 使用。
資訊:我現有的 VPN 呢?
不要將 Jamf Connect 與其他 VPN 和 ZTNA 產品混淆。雖然它提供對資源的安全遠端存取(如 VPN),但它以一些非常重要的方式獨特地啟用可信任存取:
- 它是雲端原生的,利用下一代 Wireguard 隧道技術並採用進階身份整合,共同提供一個幾乎無形但深受喜愛的使用者體驗。
- 它從頭開始根據最小權限存取原則設計,確保授權使用者只能存取他們需要的資料,而非內部網路上的所有內容。
- 它與 Jamf 管理和安全產品原生整合,以確保只有經核准和安全的裝置能夠根據您自己定義的風險型政策存取資源。
因此,使用第三方 VPN 解決方案無法滿足實現可信任存取所需的要求。
對於 macOS 裝置,您可以透過 Jamf Pro 進一步設定合作夥伴條件式存取,以啟用這些合作夥伴服務根據裝置合規狀態(例如智慧群組成員資格)允許或拒絕存取。
部署 Jamf Connect
透過部署 Jamf Connect,您正在建立託管端點與組織所有應用程式之間的受信任且私有網路路徑。
資訊:注意
您將需要存取為 Jamf Connect 授權的 Jamf Security Cloud (RADAR) 帳戶才能完成這些步驟。
如果您沒有帳戶,請聯絡您的 Jamf 帳戶團隊,以便他們為您建立免費示範帳戶!
遵循以下步驟在您的環境中啟動並執行 Jamf Connect,以建立快速且安全的連線:
檢視並瞭解 Jamf Connect 架構,或觀看此 20 分鐘的 JNUC'21 影片認識它。
登入您的 Jamf Security Cloud 帳戶並連結您的身份提供者,以允許終端使用者使用其公司認證透過 Jamf Trust 應用程式啟動私有存取。
建立啟動設定檔,設定網路存取、內容控制和安全服務功能,並使用您的身份提供者進行身份驗證。
- 確保您停用新建立的啟動設定檔的身份型佈建。這將確保只有託管裝置可以使用它啟動。
- 您可以建立其他確實使用此功能的啟動設定檔以涵蓋承包商裝置或其他無法登錄到 MDM 的裝置,但應該只有非常狹窄的存取權限。
定義裝置群組,用於將使用者及其裝置對應到他們應該(或不應該)能夠存取的特定應用程式(例如「主管」、「工程」、「銷售」)
透過在 Jamf Security Cloud 與您的資料中心和私有雲之間設定一個或多個私有互連閘道,建立對應用程式和資料資源的安全存取。
如果您使用內部網域名稱伺服器或分割大腦 DNS 來存取內部資源,設定自訂 DNS 區域。
設定存取政策,定義您組織的應用程式、其存取政策和連線能力(透過公開網際網路或設定的私有互連閘道)。
- 如果您定義的應用程式包含敏感資料,請務必在使用者和群組標籤中將存取限制為只需要存取的群組,並在存取政策的安全標籤中定義最大可容許風險等級。
- 注意:您可以使用 RADAR 的安全政策設定自訂每個威脅類別的嚴重性,這決定了裝置的風險分數。
將 Jamf Trust 部署到裝置(Jamf Connect 端點代理)使用 Jamf Pro 或其他適用的裝置管理工具,用於您已登錄裝置的平台。
- 對於 BYOD iOS/iPadOS 裝置,務必遵循使用者登錄的特定「部署 Jamf Trust」說明。
當 Jamf Connect 正確部署和設定後,所有企業應用程式連線都會加密到 Jamf Security Cloud 並受已定義的存取政策的限制。
有關私有存取如何運作的技術深層說明,請查閱我們的網路工程師私有存取指南。
合作夥伴管理狀態整合
雖然 Jamf Connect 用於啟用任何 TCP 或 UDP 應用程式(包括 SaaS 和私有內部部署應用程式)的網路型連線和存取控制,但可以透過與精選合作夥伴的整合透過 API 訊號裝置的管理狀態和其他中繼資料。
這允許合作夥伴的平台確定特定裝置是否由 Jamf Pro 管理並符合特定合規要求。它也可以用於訊號裝置的合規狀態或風險等級以驅動對公司資料的風險型存取。這些訊號用於通知合作夥伴存取平台中定義的政策。
Jamf 的合作夥伴管理整合包括:
限制匿名裝置的存取
在實施上述一種或兩種策略來識別可信任裝置後,您的下一步是設定應用程式以僅允許來自這些「可信任」裝置的連線。
請參閱限制匿名裝置的存取以瞭解詳情。