Jamf es el estándar mundial para la gestión y la seguridad de Apple, y ayuda a más de 75 300 organizaciones de todo el mundo a gestionar y proteger más de 33 millones de dispositivos. A medida que creció de una empresa emergente autofinanciada a una organización global con más de 2500 empleados, las necesidades empresariales de identidad internas y externas aumentaron exponencialmente.
El rápido crecimiento y una solución de identidad local llevaron a experiencias de inicio de sesión fragmentadas y auditorías de gobernanza que requerían siete horas de captura manual de datos. Estos procesos dispares se convirtieron en un obstáculo para la expansión global, sobrecargaron a los equipos de identidad con flujos de trabajo ineficientes y amenazaron el objetivo a largo plazo de Jamf de establecer una estructura de seguridad de identidad que protegiera millones de dispositivos de clientes.
Transformar la identidad en un activo estratégico de seguridad
Inicialmente, Jamf usó Microsoft Active Directory (AD), pero las limitaciones de AD se hicieron cada vez más evidentes con el paso del tiempo. La empresa necesitaba una solución de identidad nativa de la nube para no quedarse atrás.
La elegida fue Okta, por su filosofía independiente de las plataformas, pues esto garantiza que cualquier herramienta con integración OIDC o SAML encaje perfectamente en el ecosistema. Esta neutralidad permitió a Jamf recuperar la agilidad integrando Okta Workforce Identity y Workday como su fuente de verdad de RR. HH. para automatizar el ciclo de vida de la identidad.
Más allá de la facilidad operativa, Okta proporcionó visibilidad centralizada para cambiar el enfoque de la identidad de la administración a la seguridad. “Okta nos brinda un plano de control centralizado para hacer cumplir las políticas de acceso de manera uniforme en todo nuestro entorno, desde aplicaciones SaaS corporativas hasta nuestra infraestructura en la nube”, afirma Mario Villatoro, vicepresidente y director de seguridad de la información.
Con este nuevo plano de control, Jamf realineó estratégicamente los recursos. “La identidad es nuestra primera línea de defensa”, dice Daniel Bolens, administrador sénior de sistemas de TI. “Gracias a Okta, trasladamos nuestro equipo al área de seguridad y reafirmamos nuestra filosofía de que la identidad es el enfoque principal de toda nuestra estrategia de seguridad”.
Cuando se le pide que enumere las soluciones de Okta que Jamf usa activamente, Villatoro dice: “Sería más fácil enumerar las que no usamos”. El equipo ha adoptado casi todas las soluciones de identidad de la fuerza laboral, desde Adaptive MFA y Okta Workflows hasta Okta Identity Governance (OIG) e incluso Identity Threat Protection (ITP).
Más productividad de la fuerza laboral y más agilidad en fusiones y adquisiciones
Los flujos de trabajo son un recurso de mucho impacto y permiten al equipo de TI agregar automatización personalizada a los flujos de identidad. Esta automatización redujo el tiempo de aprovisionamiento para los nuevos empleados en un 90 % y aumentó la productividad del primer día en un 60 %. El impacto en las adquisiciones fue igualmente transformador, con una reducción del 75 % en los tiempos de migración de los empleados.
“Antes, creábamos manualmente la cuenta de cada empleado. Durante nuestra adquisición más reciente, simplemente importamos a los nuevos usuarios y terminamos en menos de tres horas”, explica Bolens.
Automatizar la gobernanza y la respuesta ante amenazas en tiempo real
Ya sea que se incorpore solamente un empleado o toda una fuerza laboral adquirida, el siguiente desafío es garantizar que el acceso permanezca seguro a lo largo del tiempo. Como parte de la misión de Jamf de cambiar el enfoque de gobernanza de una actividad basada en el cumplimiento a una función de seguridad básica, la empresa centralizó la auditoría y la certificación de acceso con OIG.
OIG permite al equipo de TI reemplazar las auditorías manuales por auditorías basadas en el tiempo, lo que garantiza que las personas tengan acceso continuo a los recursos adecuados. En palabras de Bolens, “OIG deja el poder de las auditorías en manos del usuario final y este no tiene que solicitarnos nada. Se ejecuta un informe automáticamente y ya está la evidencia lista para los auditores”.
Mientras OIG protege la capa de gobernanza, ITP proporciona contexto y supervisión de riesgos en tiempo real. ITP actúa como una primera línea de respuesta automatizada en toda la organización de Jamf; revoca sesiones en riesgo; y bloquea IP maliciosas basadas en señales de riesgo, a menudo antes de que el equipo de seguridad reciba una alerta.
“Puedo consultar nuestros registros de Okta, pero ya no tengo que hacer nada más. ITP ya está tomando medidas contra las amenazas que antes gestionaba manualmente”, explica Bolens.
Este modelo de respuesta automatizada se ve reforzado aún más por la integración de Jamf Pro con Okta a través del marco Shared Signals Framework (SSF). La integración ofrece a los clientes señales más completas de riesgo de dispositivos y contexto adicional para fundamentar respuestas impulsadas por la identidad.
Con OIG e ITP funcionando juntos, Jamf avanza hacia una visión priorizada del acceso de los usuarios que se centra en la capacidad de acción y la rápida mitigación de riesgos dentro de Okta.
Brindar protección contra la expansión en la nube y los dispositivos
Además de mitigar las amenazas a nivel de usuario, Jamf tuvo que abordar los riesgos estructurales ocultos en su infraestructura en expansión. A medida que Jamf crecía a través de las adquisiciones, su entorno de nube se convirtió en una compleja red de cientos de cuentas de AWS y Google Workspace. Para recuperar el control, Jamf implementó Identity Security Posture Management (ISPM) como un plano de control que supervisa y gestiona los riesgos en toda la infraestructura en la nube. Esto permitió a Jamf detectar y registrar 700 cuentas no autorizadas de Google fuera de la gobernanza del equipo.
“Nos dimos cuenta de que cualquiera podía crear una cuenta de Google con cualquier correo electrónico y dominio que quisiera”, afirma Bolens. “ISPM nos ayudó a identificar y declarar esas cuentas. Fue muy rápido, apenas unos dos meses”.
Jamf tiene por objetivo crear un flujo perfecto entre visibilidad, detección y respuesta mediante la creación de una estructura de seguridad de identidad con Okta. El equipo tiene previsto conectar la telemetría ISPM directamente a ITP para sanear en tiempo real las señales de riesgo de la nube.
Jamf también está expandiendo su estructura de seguridad de identidad a la capa de hardware con Okta Device Access (ODA) para la gestión de acceso de extremos. Al establecer la confianza a nivel de hardware, Jamf utiliza ODA para sincronizar las credenciales de la nube con las contraseñas locales de la Mac, lo que brinda una experiencia de inicio de sesión uniforme y segura para los empleados.
“ODA nos permite ofrecer un nivel adicional de seguridad a nuestro hardware”, afirma Bolens. “También mejora la experiencia de los empleados, ya que inician sesión en su Mac una vez y tienen acceso a todas sus aplicaciones durante el día”.
Bolens también señala que ODA “toma lo que Okta hace muy bien con el software y lo aplica al hardware”, ya que, incluso si se pierde un dispositivo, la identidad permanece segura y el extremo sigue siendo un componente protegido e integrado de la plataforma unificada de Okta.
Unificar la experiencia del cliente e impulsar la velocidad de ingeniería
Los desafíos de identidad no se limitaron a la experiencia de los empleados. El equipo de ingeniería de productos de Jamf se enfrentó a desafíos similares con los usuarios externos, ya que las credenciales de los clientes estaban divididas en silos en seis productos. Esto obligó a los equipos a gestionar integraciones SAML en lugar de ocupar su tiempo en crear nuevas características. Al lanzar Jamf ID y respaldar la federación de IdP del cliente a través de Auth0, Jamf unificó esta arquitectura fragmentada. Esta capa de identidad única y segura permite que las credenciales se almacenen de forma segura o se puedan conectar sin problemas.
“Para empezar, necesitábamos una experiencia de inicio de sesión unificada, y eso es lo que nos llevó a explorar Auth0”, afirma Akash Kamath, vicepresidente sénior de ingeniería de software. “Nuestro objetivo es usar Auth0 como una puerta de entrada segura al mismo tiempo que brindamos una experiencia única y unificada para nuestros clientes”.
Con Auth0, Jamf implementa funciones de seguridad avanzadas con una sobrecarga mínima. El equipo probó estas funciones después de recibir alertas de spam en su sitio de la comunidad de Jamf Nation.
“Durante un tiempo, tuvimos un problema bastante grave con el spam”, explica Jake Schultz, ingeniero de software del equipo. “Al activar Bot Detection de Auth0, el inconveniente se redujo aproximadamente un 40 %”.
Hoy en día, Jamf ID es la opción predeterminada segura para todos los clientes nuevos y ofrece la flexibilidad de federar un IdP preferido en cualquier momento. Este enfoque optimiza la experiencia de usuario y mantiene una postura de seguridad sólida. “Auth0 nos da tiempo para centrarnos en las características que queremos ofrecer a nuestros clientes. No tenemos que preocuparnos por qué proveedor de identidad utilizan. Dejamos todo en sus manos y listo”, explica Schultz.
La empresa ya está analizando la siguiente etapa de Jamf ID: la transición a un entorno completamente sin contraseñas. “Un producto que se viene el próximo mes son las claves de acceso”, dice Schultz. “Si no tuviéramos Auth0, habríamos tenido que desarrollar esa integración completamente desde cero. Ahora, basta con seleccionar una casilla y permitir que los clientes usen las claves de acceso con su Jamf ID”.
Superar los cuatro desafíos y gobernar la frontera de las NHI
Aunque Jamf ya ha obtenido resultados inmediatos, el equipo considera su implementación actual como el inicio de un recorrido de seguridad de identidad que está creciendo para enfrentar los cuatro grandes desafíos de esta era: aplicaciones, API, IA y agentes. “Creo que las identidades no humanas son actualmente una de las cosas más difíciles de gestionar, ya que no pertenecen a un solo usuario”, explica Bolens.
Actualmente, Jamf utiliza un “triplete” de herramientas para descubrir y gestionar estas identidades. Esta estrategia utiliza ISPM para la visibilidad en toda su infraestructura en la nube, Okta Privileged Access (OPA) para almacenar credenciales de NHI y garantizar la rotación automatizada, y OIG para la auditoría continua y la asignación de propiedad de NHI con el fin de cerrar brechas en la continuidad de las cuentas de servicio.
En el futuro, la empresa también espera ampliar estas capacidades expandiendo OIG para incluir revisiones de acceso basadas en eventos y utilizar telemetría de seguridad más avanzada de ISPM y Jamf Trust en ITP, lo que establecerá un bucle de retroalimentación en tiempo real que identifique y neutralice las amenazas mientras se avanza hacia un modelo sin privilegios permanentes.
“No sé si Jamf habría llegado donde está hoy sin Okta”, dice Bolens. “En Okta prestan atención a las opiniones de los clientes y quieren que tengamos éxito. Todo lo que hacemos con ellos es increíble”.
Para Villatoro, esta colaboración representa un cambio fundamental en la forma en que Jamf protege su ecosistema. “La identidad es el hilo conductor de toda nuestra arquitectura de seguridad”, dice. “A medida que esa arquitectura evoluciona, también lo hace el papel de Okta. Confiaremos en Okta para gobernar todo el espectro de acceso para humanos, no humanos y trabajadores digitales por igual”.
Acerca del cliente
El propósito de Jamf es simplificar el trabajo ayudando a las organizaciones a gestionar y garantizar una experiencia de Apple que los usuarios finales aprecian y en la que las organizaciones confían. Jamf es la única empresa en el mundo que ofrece una solución completa de gestión y seguridad para un entorno centrado en Apple seguro para empresas, sencillo para consumidores y que protege la privacidad personal.
