確保裝置合規是組織的重要基石,保護其 IT 資產並維持對必要資源的受控安全存取。各種廠商和解決方案提供獨特的工作流程和功能以達成此合規狀態。Jamf 提供多項整合,無論是 Microsoft Entra 條件式存取、Okta 身分威脅防護、Google BeyondCorp Enterprise 內容感知政策或 AWS Verified Access,每項整合都針對重要需求:僅允許來自合規裝置的受信使用者存取組織資源。
組織通常依賴跨平台整合來交換相關的裝置狀態資訊。根據這些狀態,各種系統會強制執行合規控制項,以允許或限制對特定資源的存取。
對於已參與上述裝置合規工作流程的組織,可以透過採用 Jamf Pro 和 Jamf Connect 內的原生功能和技術進一步強化資源存取控制。以下解決方案將探討如何使用 Jamf Pro 定義裝置合規基準,以及如何使用 Jamf Connect 透過個別應用程式連線到 SaaS 或內部部署資源來自動化安全存取控制。
建立合規基準
在審視裝置合規時,務必認識到每個組織都有自己獨特的需求和要求,以決定何謂合規裝置。因此,沒有一體適用的合規基準能涵蓋所有控制項。
不過,我們必須考慮遵守安全合規基準最佳做法環境中存在的基本要素。雖然沒有單一合規基準能適用於每個組織,但對於何謂最佳做法存在基本共識。為本指南的目的,我們將使用以下標準作為建立裝置合規狀態的基礎基準:
| macOS | iOS/iPadOS |
|---|---|
| AV/EDR 解決方案的安裝 | 偵測到越獄 |
| AV/EDR 解決方案處於活躍和執行狀態 | 密碼狀態 |
| AV/EDR 最後簽入 | iOS/iPadOS 版本 |
| Filevault 狀態 | 最後清冊更新 |
| OS 版本 | 最後備份 |
| 最後清冊簽入 |
⚠️ 重要提示 ⚠️
請注意,上方列出的標準僅供參考。在 Jamf 中擷取的其他清冊值也可作為制定符合您組織的合規基準的標準。因此,應將此清單視為參考,並進行必要調整以符合您特定的裝置合規需求。
- 範例:
裝置的型號
定義是否已部署特定配置
定義是否已安裝特定應用程式
等等
對於受管制較嚴格的產業和政府機構,您也可以採用 Jamf Compliance Editor 來建立安全基準或基線,包括 CIS、NIST 800-53 和 800-171、DISA STIG、CNSSI 和 CMMC。
工作流程概覽
Jamf Pro 清冊資訊將形成裝置合規狀態的基礎。
根據使用的特定標準,macOS 或 iOS 端點裝置將落入其中一個已設定的智慧群組,並將 webhook 事件信號傳送至 Jamf Security Cloud 以同步端點裝置和群組狀態對應。
macOS 或 iOS 端點裝置被新增至 Jamf Security Cloud 中的對應群組,該群組對特定資源的存取權受限
Jamf Security Cloud 的存取政策藉由使用裝置群組對應來形成網路連線的基礎。不屬於群組指派的裝置將不會透過 Jamf Cloud Gateway 路由,並使用所需的 Egress 端點裝置。
SaaS - 結合 IP Lockdown/Allow-Listing 功能時,裝置將對 SaaS 租用戶具有限制存取,因為裝置無法從受信 Egress IP 解析。
內部部署 - 如果裝置不屬於該群組,將不會建立對內部部署網路的連線
一旦特定合規需求(例如 OS 更新)得到補救,且清冊資訊同步至 Jamf Pro,端點裝置將觸發對應的 webhook,自動將裝置放回合規群組以重新建立對公司資源的受信連線
使用案例
在進行實際工作流程之前,我們先檢視一些可能涉及此工作流程的相關使用案例。
| 身為管理員,我想要 |
|---|
| 在裝置合規之前自動限制對核心公司資源的存取 |
| 強化並補充現有裝置合規工作流程,例如 Google BeyondCorp、Microsoft Entra 條件式存取、Okta 身分威脅防護和 AWS Verified Access 整合,透過為以下項目提供接近即時的持續存取: |
任何應用程式、瀏覽器和通訊協定
在登入之間套用控制 | | 採用 ZTNA 架構以強化安全措施、最小化攻擊面、強制執行嚴格存取控制政策、降低第三方風險並增強資產保護。 | | 啟用終端使用者並提供更無縫且引導性的體驗來解決非合規裝置狀態 |
工作流程先決條件
存取 Jamf Pro 和 Jamf Security Cloud
在 Jamf Pro 中建立 macOS Extension Attributes 的權限
在 Jamf Protect(Jamf Security Cloud 入口網站)中編輯 UEM Connect 整合和編輯存取政策的權限
在 Jamf Protect(Jamf Security Cloud)和 Jamf Pro 之間設定的 UEM Connect
啟用 Jamf Pro webhook 至 UEM Connect 整合
存取 SaaS 租用戶以強制執行 IP Lockdown/Allow-Listing
建立工作流程
⚠️ 開始前 ⚠️
以下設定指南的目的是提供基本技術架構和指導以建立裝置合規的基礎基準。
在受控測試環境外實施此解決方案之前,請留意您組織的資訊安全要求。我們建議與內部利害關係人合作,適當定義跨 Jamf 受管裝置的合規標準定義。
Jamf Pro:在 Jamf Pro 中建立 macOS Extension Attribute
只有在為 macOS 設定工作流程時,才需要以下設定
作為裝置合規基準的一部分,我們將建立 Extension Attributes 以擷取 AV/EDR 的狀態(即作為本指南的一部分,我們將採用 Jamf Protect)適用於 macOS 裝置。
登入將用於此工作流程的 Jamf Pro 執行個體
從導覽功能表導覽至設定
導覽至電腦管理
選擇並開啟 Extension Attributes
在右上角選擇
+ New輸入下列詳細資料:
名稱:Jamf Protect Installed
資料類型:String
清冊顯示:Extension Attribute
輸入類型:Script
`#!/bin/bash
Jamf Pro Extension Attribute which checks and validates the following:
Jamf Protect is installed and located under /Applications
ProtectStatus="/Applications/JamfProtect.app"
if [ -e "$ProtectStatus" ]; then echo "Installed" else echo "Not Installed" fi
exit 0` 
- 然後按儲存
重複步驟 (1-5),修訂步驟 4 使用以下參數
名稱:Jamf Protect Status
資料類型:String
清冊顯示:Extension Attribute
輸入類型:Script
`#!/bin/bash
Jamf Pro Extension Attribute which checks and validates the following:
Ensure Jamf Protect is active and running by checking for Jamf Protect process
JPProcess=$( pgrep JamfProtect ) if [[ -n "$JPProcess" ]]; then echo "Active" else echo "Not Active" fi
exit 0` 
- 然後按儲存
相關文章