Passer au contenu principal

Maintenir un environnement Apple sécurisé : Une discussion avec la NASA

Publié dans: Jamf Pro, Government

Dans le cadre d'une discussion sur la sécurité gouvernementale l'année dernière, Josh Harvey et Allen Golbig de la NASA ont rejoint une salle entière de collègues administrateurs IT pour partager leurs connaissances sur la sécurisation et la gestion des appareils Apple dans une agence gouvernementale.

Alors que l'équipe de Golbig définit les exigences de base en matière de sécurité pour l'ensemble de la NASA, l'équipe de Harvey - au moment de cet entretien - gère les instances Jamf de la NASA, qui comprennent environ 4 000 de ces instances en son centre et 10 000 appareils MacOS dans toute l'agence.

« Chaque organisation au sein de la NASA a ses propres besoins et sa propre empreinte technologique, ce qui fait que nous avons plus de 200 sites au sein de Jamf", a déclaré M. Golbig, "mais nous pouvons utiliser la même solution pour effectuer toutes ces tâches ».

Selon M. Golbig, l'histoire que Fletcher Previn a racontée lors de la Jamf Nation User Conference (JNUC) de 2015 sur la possibilité d'offrir aux employés d'IBM le choix des appareils a permis de lancer la conversation sur le développement des appareils Apple de la NASA. À l'époque, de nombreux chercheurs et cadres de la NASA avaient exprimé une préférence pour macOS, et la NASA tenait à offrir aux employés les appareils les plus adaptés à leurs besoins. M. Golbig a déclaré qu'ils avaient collaboré avec Apple et Jamf Professional Services pour assurer le succès d'un programme pilote qui répondrait à leurs besoins et à leurs normes de sécurité. La priorité était de faire en sorte que les appareils Apple deviennent une option de premier ordre et sûre parmi leur vaste flotte Windows.

La première étape était de consolider les multiples solutions de gestion de l'ensemble de l'organisation en une seule. « Le transfert de la gestion de MacOS vers Jamf nous a permis d'avoir une cohérence pour nos appareils Apple », a déclaré M. Golbig. Parfois, bien sûr, le travail en silos reste un défi. M. Golbig a souligné qu'il n'est pas toujours facile de faire en sorte que les collègues d'autres sites corrigent leurs systèmes en même temps ou que les utilisateurs procèdent à une mise à jour. Toutefois, l'utilisation de Jamf permet de tout sécuriser et leur donne accès aux données par le biais de groupes intelligents, avec des règles qui leur permettent d'agir sur ces informations. Une fois que tout a été transféré dans Jamf, l'équipe de Harvey a organisé des formations mensuelles à l'échelle de l'agence pour les administrateurs système.

« Ces formations ont vraiment aidé les administrateurs système à utiliser Jamf et ont permis à chacun des silos de se parler ! a déclaré Harvey. "Nous discutions des exigences des paramètres publiés par l'équipe de Golbig, nous expliquions pourquoi ils étaient nécessaires et, plus important encore, nous leur montrions comment tirer parti de Jamf pour les appliquer. »

En ce qui concerne le déploiement de MacOS, dans le cas d'Apple Business Manager, Golbig a déclaré qu'ils ont utilisé une certaine créativité pour tirer parti de ses avantages dans différents domaines : Le groupe de Golbig utilise DEPNotify à la fois dans les appareils inscrits à Apple Business Manager et dans les appareils non inscrits à Apple Business Manager. Traditionnellement, DEPNotify n'est utilisé que pour les appareils Apple Business Manager. Les participants ont trouvé cela unique et inspirant, car beaucoup n'avaient pas envisagé auparavant une architecture possible comprenant à la fois des appareils Apple Business Manager et non-Apple Business Manager, DEPNotify ainsi que des points de distribution internes.

Cette approche unique se poursuit avec la mise en place de Jamf. « Nous avons plusieurs instances Jamf Pro on-premise, qui sont hébergées dans l'AWS FedRAMP Gov Cloud », a expliqué M. Harvey. « Nous avons ensuite configuré AWS's Elastic Load Balancer pour créer des clusters "publics" et "privés". Cela nous a permis de restreindre l'accès à la Jamf Console aux seuls systèmes d'un réseau de la NASA ». Cette configuration leur permet de gérer et de patcher les systèmes macOS sur et hors du réseau de la NASA. Les points de distribution sont tous sur place et configurés pour n'utiliser que HTTPS. L'équipe de la NASA a donné une session à la JNUC 2019 intitulée : « Cats in Space : Donner aux administrateurs les outils dont ils ont besoin pour soutenir les utilisateurs » qui raconte leur histoire et la configuration plus en détail.

M. Golbig a ensuite expliqué comment il a abordé la mise en place de l'authentification par smart card dans macOS. Il a déclaré que c'est il y a deux ans que la NASA a commencé à envisager de s'éloigner de la solution qu'elle utilisait jusqu'alors en faveur du framework natif smart card d'Apple (CryptoTokenKit) couplé à Enterprise Connect. Après avoir évalué les options d'authentification par smart card, la NASA a décidé de ne pas mettre en œuvre le couplage de smart cards, mais plutôt d'utiliser le mapping d'attributs, « qui est conçu pour les systèmes liés à un domaine », a expliqué M. Golbig. Afin d'utiliser le mapping d'attributs pour les systèmes qui ne sont pas liés à un domaine, il a écrit un script personnalisé qui permet aux utilisateurs de connecter leurs smart cards à leur Mac via le Self Service. Harvey et Golbig ont partagé avec le public leur solution, qui permet également aux administrateurs de mapper leurs smart cards sur le compte de l'administrateur local même lorsque les Macs ne sont plus connectés au domaine. Pour plus d'informations sur ce sujet, regardez la présentation de Golbig au JNUC sur les services de cartes à puce.

En fin de compte, Golbig se rend compte que toutes les organisations n'ont pas les complexités de l'environnement de la NASA. Mais, a fait remarquer M. Golbig, toutes les organisations qui utilisent des appareils Apple ont un point commun important : la nécessité d'un MDM. « Si vous n'avez pas une solution MDM adaptée à l'utilisateur, vos utilisateurs vont en souffrir », a-t-il déclaré.

Mettre en œuvre du matériel Apple et respecter des normes de sécurité rigoureuses est possible dans le secteur public. Harvey et Golbig ont démontré que, bien que le chemin pour y parvenir soit différent de celui de leurs collègues de Windows, il est possible. Ils encouragent tout le monde à considérer Jamf pour aider à mettre en place des workflows qui automatisent et sécurisent leurs environnements. Suivre cette approche peut permettre aux organisations de fournir à leurs employés, en toute sécurité, la technologie qu'ils préfèrent tout en offrant la meilleure expérience utilisateur possible.

Pour plus d'informations, veuillez nous contacter.