Jamf Concepts
指南

指南

保護您的 MDM 管理平面

~2 min read

保護您的 MDM 管理平面

安全簡報

為什麼這對 Jamf 生態系統很重要

每個 MDM 平台 --- 包括 Jamf Pro --- 都具有發出遠端清除命令的能力。這是一項核心的必要功能。針對 MDM 平台的近期攻擊表明,管理平面本身是高價值目標,MDM 平台必須被視為第 1 層關鍵基礎設施。

主要風險因素包括:

  • 長期特權存取:具有永久、廣泛特權的管理員帳戶

  • 認證憑證遭洩露:透過網路釣魚或 AiTM 技術獲得的管理員認證

  • 無多管理員核准:單一遭入侵的帳戶可能大規模發出破壞性命令

  • 監控不足:大量清除命令未被實時標記或阻止

問題是:Jamf 生態系統如何針對此攻擊模式提供檢查?

Jamf 安全控制

SSO 聯合到身分提供者 (IdP)

風險:攻擊者入侵管理員認證並直接存取 MDM 主控台。標準 MFA 可透過 AiTM 技術進行繞過。

Jamf 如何解決此問題

  • Jamf Account SSO (OIDC):Jamf 現在透過使用 OpenID Connect 的 Jamf Account 支援集中式 SSO。您在 Jamf Account 中設定一次您的 IdP(Entra ID、Okta 等),它會流向 Jamf Pro、Jamf Protect 和 Jamf Security Cloud。這會整合身分驗證表面。

  • IdP 群組型特權對映:Jamf Pro 支援將 IdP 群組對映至特權集。當管理員透過 SSO 進行驗證時,他們在 IdP 中的群組成員資格決定了他們在 Jamf Pro 中可以執行的操作。這意味著特權層級是集中在 IdP 中管理 --- 而不是分散為本機 Jamf Pro 帳戶。

  • IdP 層級的條件式存取:因為 Jamf 管理員驗證會流經 IdP,所有 IdP 層級的控制都適用:裝置相容性檢查、防網路釣魚 MFA(FIDO2/通行密鑰)、地理限制、不可能旅行檢測以及工作階段風險評估 --- 所有這些都在管理員到達 Jamf Pro 主控台之前進行。

  • 備用帳戶策略:Jamf 建議維護至少一個本機、非 SSO 管理員帳戶,只能透過容錯移轉 URL 存取。這在 IdP 連線失敗時提供緊急存取,同時將主要攻擊表面保護在強大的 IdP 控制後面。

  • 停用 Jamf ID 直接登入:設定 OIDC SSO 後,組織可以停用 Jamf ID 直接登入,強制所有驗證都透過 IdP 及其相關的安全原則進行。

基礎設施即程式碼 (IaC) 控制

風險:具有長期特權的單一管理員帳戶可能會透過網路主控台進行破壞性變更(包括大規模清除),而無需審查、核准工作流程或復原路徑。

Jamf 如何透過 IaC 解決此問題

  • Jamf 的 Terraform 提供者:現在有兩個 Terraform 提供者 --- 社群 terraform-provider-jamfpro(Deployment Theory / Lloyds Banking Group)和 Jamf 自有的 terraform-provider-jamfplatform(適用於平台 API)。它們共同涵蓋原則、設定檔、群組、應用程式、藍圖、相容性基準等。

  • GitOps 工作流程 = 強制同儕審查:在 IaC 模式中,組態變更定義在程式碼中,提交到 Git 分支,然後進行提取請求審查和核准,然後才能套用。沒有任何人可以在沒有另一組眼睛審視的情況下推送破壞性變更。

  • 消除 ClickOps 長期存取:IaC 方法允許您大幅減少需要直接主控台存取的人數。如果變更是透過 Terraform + CI/CD 進行的,具有寫入特權的互動管理員帳戶對大多數作業變得不必要。您可以將主控台存取視為例外,而非常態。

  • 狀態管理和漂移偵測:Terraform 維護表示預期組態的狀態檔案。如果有人透過主控台進行未經授權的變更(或攻擊者進行變更),漂移偵測會將其標記出來。這提供了額外的可見性層級。

  • 復原功能:因為整個組態都是版本控制的 Git 中,復原到已知良好狀態只需要 git revert + terraform apply。IaC 預設提供了已記載的復原路徑。

  • Terraform 的 API 角色和用戶端:Jamf Pro 的 API 角色和用戶端功能允許您為 Terraform 建立狹隘範圍的服務帳戶。Terraform 服務帳戶可以有權限管理原則和設定檔,但明確沒有權限發出遠端清除命令。這在 API 層強制實施最小特權。

Jamf Pro 特權集和 RBAC

直接相關控制

  • 細粒度特權集:Jamf Pro 允許自訂特權集,您可以在其中明確授予或拒絕特定功能。「清除電腦」和「清除行動裝置」命令是個別的、可切換的特權。您可以建立管理員角色來管理原則和設定檔,但無法發出清除命令

  • API 角色和用戶端:與使用者帳戶分開,這些提供了具有自訂特權集的程式化存取。您可以為自動化工作流程建立 API 用戶端,這些工作流程永遠不會有破壞性功能。

  • 稽核日誌:每個 MDM 命令,包括清除,都會記錄發出者/帳戶、時間戳記和裝置目標。這些日誌可以被匯出並傳送到 SIEM(Splunk 等)以進行實時警示。

  • 每台裝置的清除工作流程:Jamf Pro 的清除命令是從個別裝置記錄的「管理」標籤按每台裝置發出的。標準主控台 UI 中沒有「選擇全部並清除」大量操作,這在針對大規模破壞性操作時建立了自然的摩擦點。

總結

問題:MDM 平台是第 1 層關鍵基礎設施。攻擊者不需要惡意軟體 --- 他們只需要管理員認證和 MDM 自身的工具。管理平面是攻擊表面。

ClickOps 為什麼危險:當管理員透過點擊網路主控台進行變更時,沒有同儕審查、沒有核准工作流程、沒有超出基本日誌的稽核線索,以及沒有復原路徑。遭入侵的帳戶具有立即的、未受檢查的權力。

Jamf 防禦堆疊

  1. 身分層:透過 Jamf Account OIDC 的 SSO 聯合將所有驗證推送透過 IdP,啟用防網路釣魚 MFA、條件式存取和裝置相容性 --- 在任何人到達主控台之前。

  2. 授權層:Jamf Pro 的細粒度特權集允許您將組態管理與破壞性操作分開。API 角色和用戶端將此擴展到程式化存取。

  3. 操作層:使用 Terraform 的 IaC 將組態變更從主控台移至程式碼 --- 具有 Git 歷史、提取請求審查、自動化測試和復原功能。長期管理員存取變成了例外。

  4. 偵測層:稽核日誌、webhook 和 SIEM 整合提供了對管理員操作的可見性。Jamf Protect 遙測增加了行為分析。

  5. 架構層:Jamf Pro 的每台裝置清除設計會針對大規模破壞性操作建立自然的摩擦,不像支援從單一管理操作進行大量清除的平台。

行動呼籲:將您的 MDM 視為對待您的雲端基礎設施的方式。聯合驗證。強制最小特權。移至 IaC。監控所有內容。這些工具今天在 Jamf 生態系統中存在 --- 問題是您的組織是否已實作它們。