Überspringen und zu den Hauptinhalten

Aufrechterhaltung einer sicheren Apple-Umgebung: Eine Diskussion mit der NASA

Bei einer Sicherheitsdiskussion der Regierung im vergangenen Jahr kamen Josh Harvey und Allen Golbig von der NASA in einen Raum voller IT-Administratoren, um ihr Wissen über die Sicherung und Verwaltung von Apple Geräten in einer Regierungsbehörde zu teilen.

Während Golbigs Team die grundlegenden Sicherheitsanforderungen für die gesamte NASA festlegt, verwaltete Harveys Team - zum Zeitpunkt dieses Interviews - die Jamf Instanzen der NASA, von denen etwa 4.000 in seinem Zentrum und 10.000 macOS Geräte behördenweit vorhanden waren.

"Jede Organisation innerhalb der NASA hat ihre eigenen Bedürfnisse und ihren eigenen technologischen Fußabdruck, was dazu führt, dass wir mehr als 200 Standorte innerhalb von Jamf haben", sagte Golbig, "aber wir können dieselbe Lösung verwenden, um all dies zu erreichen".

Laut Golbig hat die Geschichte, die Fletcher Previn auf der Jamf Nation User Conference (JNUC) 2015 darüber erzählte, dass er IBM-Mitarbeitern die Wahl zwischen verschiedenen Geräten angeboten habe, dazu beigetragen, das Gespräch über die Erweiterung der Apple Auswahl der NASA in Gang zu bringen. Zu dieser Zeit hatten viele Forscher und Führungskräfte der NASA eine Präferenz für macOS geäußert, und die NASA war entschlossen, den Mitarbeitern die Geräte anzubieten, die für sie am besten geeignet waren. Golbig sagte, sie hätten mit Apple und Jamf Professional Services zusammengearbeitet, um ein erfolgreiches Pilotprogramm zu gewährleisten, das ihren Sicherheitsbedürfnissen und -standards entspreche. Die Apple Geräte zu einer erstklassigen und sicheren Option in ihrer großen Windows-Flotte zu machen, war eine Priorität.

Ihr erster Schritt bestand darin, die verschiedenen Managementlösungen aus dem gesamten Unternehmen zu einer einzigen zu konsolidieren. "Die Umstellung der macOS Verwaltung auf Jamf ermöglichte es uns, Konsistenz für unsere Apple Geräte zu erreichen", sagte Golbig. Manchmal bleibt natürlich das Arbeiten in Silos eine Herausforderung: Golbig wies darauf hin, dass es nicht immer einfach ist, Kollegen an anderen Standorten dazu zu bringen, ihre Systeme zur gleichen Zeit zu patchen, oder Benutzer zu einem Upgrade zu bewegen, aber die Verwendung von Jamf hilft, alles sicher zu halten, und gibt ihnen Daten in intelligenten Gruppen über Richtlinien an die Hand, um Maßnahmen zu ergreifen. Nachdem alles auf Jamf umgestellt war, veranstaltete Harveys Team monatliche agenturweite Schulungen für Systemadministratoren.

"Diese Schulungen haben wirklich geholfen, die Systemadministratoren mit der Verwendung von Jamf vertraut zu machen und die einzelnen Silos dazu zu bringen, miteinander zu reden! sagte Harvey. "Wir besprachen die Einstellungsanforderungen, die Golbigs Team veröffentlicht, schlüsselten auf, warum sie benötigt werden, und, was am wichtigsten ist, zeigten ihnen, wie sie Jamf zur Anwendung von Jamf nutzen können ..."

Als es um den Einsatz von macOS ging, sagte Golbig im Fall des Apple Business Manager, dass man etwas Kreativität eingesetzt habe, um die Vorteile des Systems in verschiedenen Bereichen zu nutzen: Golbigs Gruppe verwendet DEPNotify sowohl in Geräten, die für den Apple Business Manager registriert sind, als auch in Geräten, die nicht für den Apple Business Manager registriert sind. Traditionell wird DEPNotify nur für Apple Business Manager-Geräte verwendet. Die Teilnehmer empfanden dies als einzigartig und inspirierend, da viele zuvor nicht an eine mögliche Architektur gedacht hatten, die sowohl Apple Business Manager als auch Geräte ohne Apple Business Manager, DEPNotify sowie interne Verteilungspunkte umfasst.

Dieser einzigartige Ansatz setzt sich in ihrer Jamf-Einrichtung fort. "Wir haben mehrere, geclusterte Jamf Pro On Premise Instanzen, die in der AWS FedRAMP Gov Cloud gehostet werden", erklärte Harvey. "Anschließend konfigurierten wir den Elastic Load Balancer von AWS, um 'öffentliche' und 'private' Cluster zu erstellen. Dadurch konnten wir den Zugriff auf die Jamf Console nur auf Systeme in einem NASA-Netzwerk beschränken". Diese Konfiguration ermöglicht es ihnen, macOS Systeme auf dem NASA-Netzwerk zu verwalten und zu patchen. Die Verteilungspunkte sind alle vor Ort und so konfiguriert, dass sie nur HTTPS verwenden. Das NASA-Team hielt auf der JNUC 2019 eine Sitzung mit dem Titel: "Cats in Space" (Katzen im Weltraum): Giving Admins the Tools They Need to Support Users", in der ihre Geschichte und die Einrichtung näher erläutert werden.

Anschließend erläuterte Golbig, wie er die Einrichtung der Smartcard-Authentifizierung im macOS angegangen ist. Er sagte, es sei zwei Jahre her, dass die NASA begann, eine Abkehr von der bisher verwendeten Lösung zugunsten des nativen Smartcard-Frameworks von Apple (CryptoTokenKit) in Verbindung mit Enterprise Connect zu erwägen. Nach der Evaluierung von Smartcard-Authentifizierungsoptionen beschloss die NASA, keine Smartcard-Paarung zu implementieren, sondern stattdessen das Attribut-Mapping zu verwenden, "das für domänengebundene Systeme konzipiert ist", erklärte Golbig. Um das Attribut-Mapping für Systeme zu verwenden, die nicht domänengebunden sind, schrieb er ein benutzerdefiniertes Skript, das es den Benutzern ermöglicht, ihre Smartcards über Self Service auf ihrem Mac abzubilden. Harvey und Golbig stellten den Zuhörern ihre Lösung vor, die es Admins auch dann erlaubt, ihre Smartcards dem lokalen Administratorkonto zuzuordnen, wenn die Macs nicht mehr mit der Domäne verbunden sind. Weitere Informationen zu diesem Thema finden Sie in Golbigs JNUC-Präsentation über Smart Card-Dienste.

Am Ende des Tages erkennt Golbig, dass nicht jede Organisation die Komplexität des NASA-Umfelds hat. Aber, so Golbig, alle Organisationen, die Apple Geräte verwenden, haben eine große Gemeinsamkeit - die Notwendigkeit eines MDM. "Wenn Sie kein vom Benutzer genehmigtes MDM haben, werden Ihre Benutzer darunter leiden", sagte er.

Die Implementierung von Apple Hardware und die Erfüllung strenger Sicherheitsstandards ist im Regierungssektor möglich. Harvey und Golbig zeigten, dass es möglich ist, auch wenn der Weg dorthin anders als bei ihren Windows-Gegenstücken sein mag. Sie ermutigen andere, den Einsatz von Jamf in Erwägung zu ziehen, um Workflows zu entwickeln, die ihre Umgebungen automatisieren und sichern. Durch die Befolgung dieses Ansatzes können Unternehmen ihre Mitarbeiter sicher mit der von ihnen bevorzugten Technologie ausstatten und gleichzeitig die bestmögliche Benutzererfahrung bieten.

Weitere Informationen erhalten Sie über unser Kontaktformular.