挑戰
金融業對資安合規要求極高,所有 Mac 電腦必須符合嚴格的管控政策,包含禁止直接對外連網、關閉無線功能、USB 裝置管控、密碼變更機制整合、資料外洩防護(DLP),以及完整的端點防護與零信任架構。
解決方案
透過 Jamf 針對 Mac 電腦派送完整資安政策,搭配整合 Entra ID 身分驗證與多因素驗證、Jamf Protect 端點防護,並針對金融業特殊需求客製化 Proxy 網路管控、Wi-Fi 關閉。
成果
成功將所有 Mac 電腦納入統一管控,符合金融業資安稽核標準,實現裝置全生命週期管理、零信任架構與自動化合規,大幅降低資安風險。
背景
某金融產業機構單位有部分部門因業務需求需使用 Mac 電腦。由於金融業受到高度監管,所有端點裝置必須符合嚴格的資安政策。該機構需要一套完整的管理方案,涵蓋資安管控、網路存取限制、USB 周邊管理、資料外洩防護(DLP),並整合現有的身分驗證與合規框架。
面臨的挑戰
客戶面臨以下挑戰:
- 嚴格的網路存取管控:辦公區域的 Mac 電腦不能直接對外連網,所有流量皆須透過企業 Proxy 進行存取
- 無線功能限制:所有辦公 Mac 電腦必須關閉 Wi-Fi 功能,禁止連接個人熱點,並禁止檔案分享功能,因此藍牙與 AirDrop 亦須嚴格管控
- 密碼輪替合規:Mac 本機密碼必須依照行內密碼變更機制進行管理,並與企業 AD 系統同步
- USB 裝置管控:外接儲存裝置須進行管控,並具備寫入記錄追蹤能力
- 合規基準:所有裝置須符合內部資安規範控制項目要求
- 端點防護與零信任:完整的端點偵測、MFA 多因素驗證、裝置合規驗證,以及 SIEM 整合
- 自動化部署:新 Mac 電腦開機後即自動註冊並完成所有設定
- 資安軟體派送:須統一派送安裝其他資安軟體,如 Forcepoint Neo / F1E 上網防護與 DLP 資料外洩防護
- 遠端管理:IT 須具備完整的遠端操作能力,包含遺失裝置的遠端資料清除
解決方案
可立可針對金融業需求,設計了一套完整的 Mac 資安管控方案:
零接觸部署
透過 Apple Business Manager 與 Jamf Pro,新 Mac 電腦開機後即自動完成設定:
- 於 macOS 設定輔助程式階段自動註冊 MDM
- 資安政策、應用程式與組態設定自動派送
- 無需 IT 人工介入,裝置即刻投入使用
MDM 基礎限制
透過 Jamf Pro 派送完整的基礎安全限制:
- 限制管理者權限,防止未經授權的系統變更
- 禁止登入私人 Apple Account,防止資料外洩
- 關閉 AirDrop 與檔案分享功能,杜絕未經授權的檔案傳輸
- 管控藍牙連線,禁止連接個人熱點
- 關閉 Wi-Fi 功能,強制使用有線網路
MDM 功能設定
配置企業管理必要功能:
- 遠端管理功能,供 IT 進行遠端操作
- 企業網路組態設定(Proxy 設定、DNS、憑證)
- 自助服務區(Self Service),提供經核准的應用程式取用
合規基準部署
透過 Jamf Pro 統一派送控制項目,並提供稽核報表,快速確認裝置合規狀態:
- 依據內部資安規範自動設定安全組態
- 持續監控合規狀態,自動進行修復
- 產出合規報表,供內部與外部稽核使用
USB 裝置管控機制
建立完整的 USB 周邊管控:
- 封鎖未經授權的外接儲存裝置
- USB 寫入記錄表,追蹤所有資料傳輸活動
- 針對核准的 USB 裝置設定細部存取政策
金融業專屬管控
針對金融業特殊需求進行客製化設定:
- Proxy 限定上網:所有 Mac 電腦設定為僅透過企業 Proxy 上網,封鎖直接對外連線
- 關閉 Wi-Fi 功能:透過關閉 macOS 的 Wi-Fi 功能,禁止連接個人熱點,強制使用有線網路連線
- 密碼輪替整合:透過 Jamf Connect 整合企業 AD 系統,本機 Mac 帳戶密碼依據行內密碼變更週期同步管理
修補程式與軟體管理
完整的軟體生命週期管理:
- 修補程式管理(Patch Management):自動化資安修補程式派送與追蹤
- 軟體派送(Software Deployment):集中化應用程式部署與更新
- 應用程式更新管理(App Management):透過 Jamf Pro 管理應用程式更新
- 自助服務區(Self Service Portal):員工可自行取用經核准的應用程式與 IT 資源
資產管理與遠端操作
完整的裝置生命週期與遠端操作能力:
- 資產管理(Asset Management):即時裝置清冊、軟硬體資產追蹤與報表
- 遠端遙控(Remote Access):安全的遠端控制功能,供 IT 進行問題排除與支援
- 遠端清除:遺失或遭竊裝置的資料清除能力
- 作業系統更新管理:集中派送 macOS 更新,統一管控版本
零信任架構
實施零信任框架,涵蓋三大支柱:
- 身分支柱:透過 Jamf Connect 與 Entra ID 強制多因素驗證(MFA)
- 設備支柱:持續驗證裝置合規狀態,合規後方可存取企業資源
- 網路支柱:整合 SIEM 進行資安事件關聯分析、監控與事件回應
Forcepoint Neo / F1E 上網防護與 DLP 部署
透過 Jamf Pro 統一派送安裝 Forcepoint 上網防護與資料外洩防護軟體:
- 自動化安裝 Forcepoint Neo / F1E 上網防護軟體
- 派送瀏覽器插件,執行網頁內容過濾與 DLP 資料外洩防護政策
- 整合 DLP 機制,監控與管控敏感資料傳輸
- 統一管理所有 Mac 端點的上網安全政策
端點威脅防護
部署 Jamf Protect 提供全方位端點防護:
- 即時偵測與防禦惡意軟體
- 行為威脅分析
- 資安事件記錄與告警
- 整合 SOC/SIEM 集中化資安監控
成果
方案部署後達成以下成效:
- 全面合規:所有 Mac 電腦符合金融業資安標準與內部合規基準
- 網路安全:Proxy 限定上網機制,杜絕直接對外連線風險
- USB 管控:完整掌控外接儲存裝置,具備完整寫入記錄稽核軌跡
- 零信任就緒:MFA、裝置合規驗證與 SIEM 整合,建立穩固的零信任基礎
- 自動化營運:零接觸部署與自動化合規機制,大幅降低 IT 管理負擔
- 稽核就緒:完整的記錄與報表,滿足內部與法規稽核要求
- 遠端操作:IT 對所有裝置具備完整的遠端管理與資料保護能力
可立可是臺灣唯一同時具備 Jamf MSP 與 Elite Partner 雙重資格的夥伴,提供 Apple 裝置完整的企業管理與資安解決方案。無論是裝置部署、應用程式管理、資安防護或合規需求,我們都能提供專業的諮詢與導入服務。