裝置端內容過濾:企業篇

隨著越來越多惡意人士轉而開始打 Apple 系統的主意,許多機構也開始尋找提升安全性的方法。立即啟用 Apple 專用的裝置端內容過濾,它可以完整的過濾內容,為企業的資安措施增強防護力。

July 26 2023 作者

Haddayr Copley-Woods

A URL blocked with barbed wire illustrates on-device content filtering with Jamf and Apple that blocks unsafe websites.

什麼是裝置端內容過濾?

裝置端內容過濾是一個利用 Apple 技術而打造的網路內容過濾框架,它讓我們能夠直接在裝置端啟用 Web 保護機制,進而可以保護機構,讓他們實施更完善的政策並確保使用者隱私安全。

網路過濾可改善機構的安全性

為什麼企業會需要在裝置端過濾內容?

身分識別與存取管理端點防護威脅防禦及補救措施都是十分適合企業的資安措施,而內容過濾軟體則可強化保護層,以抵禦現今企業資料所面臨的最大威脅:社交工程攻擊,或更準確一點來說,是釣魚攻擊。

投資可提升資安意識的培訓計畫,對企業來說十分重要,若是再加上網路釣魚防禦機制,則可更完整的保護企業敏感資料。

「內容過濾」可保護企業與使用者,並預防:

  • 在假冒的企業網站上,不小心讓憑證外流
  • 以 IP 位址造訪網站的方式來繞過網際網路過濾,因而刻意或非刻意的繞過 Web 內容過濾機制
  • 意外造訪會讓使用者下載惡意軟體的網站

Jamf 的裝置端內容過濾是如何運作的呢?

裝置端內容過濾屬 Jamf Protect 的一部分,你需要在 Jamf Security Cloud 上進行配置。在裝置端對內容進行過濾的方法有很多種,下列為 Jamf 選擇的方法,而這些方法大多都會運用 Apple 既有的技術與服務。

沙盒測試

在任何流量抵達雲上的資料端前,Jamf 會先在限制性沙盒內檢查個別 iPhone 的流量,並在離開沙盒前,將敏感資料 (如網址參數) 剔除。由於檢查作業是在裝置端進行,因此有風險的資料流量自始至終都不會接觸到機構的網路。

Apple 的 NEFilterProvider

NEFilterProvider 是一個半沙盒架構,它是這麼運作的:兩種網路擴充功能 (一種執行深度沙盒測試,另一種則執行較簡單的沙盒測試) 密切運作,以實現進階內容過濾,同時兼顧隱私保護。

加密 DoH

在 iOS 14 和 macOS 11 或之後的系統,Apple 可支援加密網域名稱系統 (DoH 和 DoT),實現網路威脅防禦和域名過濾。Jamf 的裝置端內容過濾可對網路內容、IP 位址、個別網站位元數以及數據用量進行過濾。

裝置端內容過濾具備哪些優勢?

裝置端內容過濾可檢查 socket 層流量,相較於安全的網域名稱系統 (DNS) 與雲端 Proxy,這個方法更加全面。

此類型的內容過濾,讓各機構可以:

  • 對域名、完整 URL、IP 位址、連接埠、通訊協定等進行評估
  • 識別不安全流量的源頭 App,並進一步對該 App 採取行動
  • 對網路效能的影響甚微;不去仰賴 Proxy 伺服器或 DNS 解析器,因此延遲程度十分微小

裝置端內容過濾可提供:

  • 強化防護釣魚攻擊的能力
  • Web 型威脅防禦
  • Web 內容過濾與數據用量限制

使用 Jamf 的裝置端內容過濾需要具備什麼條件?

Jamf 的裝置端內容過濾屬 Jamf Protect 的一部分,你需要在 Jamf Security Cloud 上進行配置。目前你只能夠在受監管、裝有 Jamf Trust App 的 iOS 和 iPadOS 16 或搭載以上版本的裝置端使用此功能。如果你的機構選擇混用監管與非監管裝置,則 IT 人員可先依照 OS 版本和管理狀態來建立「智慧型群組」,以此方式在監管裝置端使用裝置端內容過濾。

Jamf 正計劃於 2023 年底為 macOS 提供裝置端內容過濾。

預約試用是免費的,不妨今天就來試試 Jamf Protect 和 Jamf Trust

訂閱 Jamf 部落格

將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。

若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。