Een zorgeloze Apple-werkplek met steeds de nieuwste hardware en volledige support, dat is wat de Mac Managed Workplace van Pro Warehouse belooft. Met onder meer de inzet van mobile device management-oplossing Jamf en het volgen van de CIS-benchmark werkt het bedrijf aan een zo veilig mogelijke oplossing. Maar hoe werkt deze beveiliging achter de schermen?
Een Apple-werkplek zonder zorgen, dat is de inzet van de Mac Managed Workplace. Deze oplossing van Pro Warehouse maakt het voor bedrijven gemakkelijk om medewerkers met macOS te laten werken zonder dat zij daar zelf een grote investering voor hoeven te doen. Mac Managed Workplace werd ontwikkeld door Steven van der Keur, system engineer bij Pro Warehouse, en zijn collega Peter Bekkering (sales marketing manager). “Het is een nieuwe propositie die je nog niet in de markt ziet. Leaseconstructies waren er al, maar nog geen uitgebreider model waarbij je een gemanagede en gecertificeerde werkplek krijgt. Dit houdt in dat de klant volledig wordt ontzorgd en een beheerde, beveiligde en gecertificeerde werkplek krijgt”, aldus Peter.
Secure by design
De ‘secure by design’-filosofie wil Pro Warehouse doortrekken naar de Mac Managed Workplace. Om te beginnen is de organisatie ISO 27001-gecertificeerd. Deze ISO-standaard voor informatiebeveiliging beschrijft processen rondom informatiebeveiliging en specificeert eisen voor het inrichten, bijhouden en steeds verder verbeteren van een information security management system (isms) in het kader van de algemene bedrijfsrisico’s voor de organisatie. Voorbeelden hiervan zijn classificatie van informatie, borging van informatie, beschikbaarheid en integriteit van informatie en beheersmaatregelen om informatie te beschermen. Steven: “Dit is goed voor onze klanten omdat zij hiermee een garantie hebben dat er vertrouwelijk en correct wordt omgegaan met hun gegevens en dat de processen rondom beveiliging ervan op orde zijn.”
Voor de Mac Managed Workplace gaat Pro Warehouse daarnaast ook uit van de benchmark van het Center for Internet Security (CIS, red.). Om precies te zijn gebruikt het de CIS-benchmark level 1 voor macOS- en iOS-basisconfiguraties. De CIS-benchmark biedt voorgeschreven richtlijnen voor het tot stand brengen van een veilige werkplekconfiguratie voor IT-infrastructuur, inclusief een gedetailleerde beschrijving en grondgedachte van mogelijke kwetsbaarheden, samen met duidelijke audit- en herstelstappen. Daarin komen onder meer het installeren van updates, patches en additionele security-software aan bod, maar ook logging en auditing, netwerkconfiguraties en het inregelen van systeemtoegang door authenticatie en autorisatie. De benchmarks schrijven bovendien het veilig inrichten van user accounts en de gebruikersomgeving voor. “Al deze benchmarks bespreken we met de klant om de werkplek zo veilig mogelijk in te richten. We stellen de basisconfiguratie op aan de hand van de wensen en eisen van de klant, berekenen de scores voor deze configuratie-opties en delen ze in een rapport met de klant. Op basis van deze score kun je ervoor kiezen om bepaalde onderdelen uit de benchmark over te nemen als deze nog niet direct zijn overgenomen. Zo kun je ook de score en daarmee het standaardbeveiligingsniveau verbeteren.”
Monitoring
Pro Warehouse zal na implementatie monitoren op de onderdelen uit de CIS-benchmark. Mochten er ongeregeldheden of afwijkingen worden geconstateerd, dan zal Pro Warehouse dit bij de klant melden als een informatiebeveiligingsincident. “Voorbeelden waar je aan kunt denken zijn een uitgeschakelde firewall, een diskencryptie die niet correct is, gemiste beveiligingsupdates van het besturingssysteem, enzovoort.”
Om een zo veilig mogelijke werkplek in te richten, configureert Pro Warehouse een groot aantal instellingen. Steven legt uit: “Het gaat bijvoorbeeld om instellingen voor het automatisch installeren van systeem- en security-updates, systeeminstellingen zoals bluetooth, tijd en afmelden na een periode van inactiviteit. Maar ook schakelen we dingen uit die vaak niet nodig zijn, zoals printer- en filesharing als daar al andere centrale oplossingen voor zijn. Verder kijken we natuurlijk naar disk-encryptie, firewall en antivirus, onderdelen die weliswaar in het systeem ingebakken zijn maar waarvoor je wel extra maatregelen moet nemen. Denk aan strengere instellingen waardoor je weet dat software die iemand installeert ook daadwerkelijk veilig is.”
Device management met Jamf
Voor het afdwingen van maatregelen en beheer van de Apple-apparaten wordt gebruikgemaakt van Apple Business Manager en Jamf Pro, een zogeheten ‘purpose-built’ mobile device management-oplossing. Dat houdt in dat het een oplossing is die voor één doel is ontwikkeld, in dit geval dat alleen het Apple-platform ermee beheerd kan worden. Apple Business Manager is een webportaal voor IT-beheerders van Apple. Alle iPhones, iPads, iPods, Mac-computers en Apple TV’s worden via Apple Device Enrollment geregistreerd op één plek. Jamf Pro is een mobile device management-oplossing voor het beheren van Apple-apparatuur.
Wanneer Apple Business Manager wordt gebruikt in combinatie met Jamf Pro, kan aangeschafte Apple-apparatuur automatisch worden uitgerold (zero-touch deployment). Met deze combinatie is het niet meer nodig om fysiek aanwezig te zijn als IT-beheerder wanneer de gebruiker het apparaat in gebruik neemt. De gebruiker ontvangt een volledig dichte doos met seal eromheen. Het device downloadt automatisch de instellingen en apps van de organisatie, na verbinding met het internet.
Extra beveiligingsmaatregelen
Het eigen ecosysteem van Apple - met een belangrijke rol voor de App Store - zorgt voor controle aan de poort voordat software beschikbaar wordt gesteld aan de eindgebruiker. Buiten dit ecosysteem om geïnstalleerde software wordt gedetecteerd door Jamf Pro. Hierdoor kan Pro Warehouse met de klant overleggen of de installatie van de software is toegestaan. Mocht dat niet zo zijn, dan kan middels Jamf Pro de software worden verwijderd en/of geblokkeerd. In het besturingssysteem van Apple voor Mac, macOS, zijn nog extra beveiligingsmaatregelen aanwezig, zoals Notarization, Gatekeeper, Xprotect, Malware Removal Tool, automatic security-updates, eficheck, Application firewall, System Integrity Protection, Mandatory Access Controls en meer. Steven: “Middels Jamf zijn de instellingen van deze beveiligingsmaatregelen te besturen om tot de voor de klant gewenste situatie te komen.”
Pro Warehouse biedt ook zelf een beheerde set van software aan. Denk hierbij aan Microsoft Office, Dropbox, Adobe, Slack, Teams en nog veel meer. Het cloud engineering-team beheert deze software-set door continu te controleren of er updates beschikbaar zijn en ze beschikbaar te stellen middels Jamf. Een rapportage hiervan wordt bijgehouden en overgedragen aan de klant, ter inzicht in het verloop van updates. Verder wordt door het team gecontroleerd of updates daadwerkelijk worden geïnstalleerd door de eindgebruikers. Als installatie van updates achterwege blijft, wordt de klant geïnformeerd over welke eindgebruikers hij moet benaderen om ze te attenderen op het belang ervan.
Uitdaging op zich
Het gebruik van Jamf en beheren van Apple-devices zonder technische kennis van het Apple-platform is een uitdaging op zich. Peter: “Apple introduceert steeds meer specifieke configuratie-opties die niet op andere platformen aanwezig zijn. Wij zijn gespecialiseerd in het bijhouden van deze kennis en het toepassen ervan. Al onze engineers zijn gecertificeerd tot op het hoogste niveau, zowel met betrekking tot Jamf- als Apple-systemen.”
Middels Jamf verzorgt Pro Warehouse ook de installatie van applicaties, patch-management en monitoring op security en systeemconfiguratie. Steven: “Wanneer iemand zijn firewall uitschakelt, moeten we daar wel vanaf weten.” Om Mac Managed Workplace zo veilig mogelijk te houden, is Steven naar eigen zeggen ‘iedere dag met de baseline-configuratie bezig’ om deze te spiegelen aan de laatste versie van de CIS-benchmark. Bij nieuwe software en updates zit daar nog een extra beveiligingsproces onder, vertelt hij. “Updates worden eerst tegen onze testgroepen van power users bij klanten aangehouden, om de continuïteit en veiligheid van software te waarborgen. Security-updates zetten we overigens meteen door, maar updates van bepaalde bedrijfsapplicaties kunnen we waar nodig tegenhouden.”
Volledig beheer
Met Jamf Pro is er de mogelijkheid om de Mac Managed Workplace volledig te beheren, zegt Peter. “Van inventory, technisch beheer en functioneel beheer tot patch management, lifecycle management en gebruikerssupport: onze klanten hoeven niets uit te voeren. Wij verzorgen de gehele outsourcing van de werkplek, zowel het beheer als de support.”
Meer weten over de Mac Managed Workplace? Check het hier.
:strip_icc():strip_exif()/u/581256/crop5efda3cb23659_cropped.jpeg?f=community){kind=small}
/u/1219196/crop6324b2e35d04c_cropped.png?f=community){kind=small}
:strip_exif()/u/101509/Avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/332223/King_Kong_ape_75.jpg?f=community){kind=small}
:strip_exif()/u/591794/crop61a251d10f7b3.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/707710/crop5b7c11e5246c4_cropped.jpeg?f=community){kind=small}
. In principe kan het device rechtstreeks vanaf de vendor naar de gebruiker thuis gestuurd worden zonder tussenkomst van IT. Werkt ook echt geweldig moet ik zeggen.
:strip_icc():strip_exif()/u/6764/cergorach.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/696144/crop5dec2c9a0acc2_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/36083/crop5dca9e34ce091_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/544079/crop5dc404f2906fd_cropped.jpeg?f=community){kind=small}
: