TGW:以 Jamf Trust 守住暴露外網的監視器

資安管理全面 IT / MIS 代管
更新:2026/04/06
行雲資訊協助 TGW 將原本直接曝露在外網的 16 支監視器收回零信任通道,透過 Mikrotik Gateway 與 Jamf Security Cloud 限縮僅有執行長可透過 Jamf Trust App 存取。

客戶背景

  • 2025Q4,TGW 由保全公司買斷 16 支監視器,採 PPPoE 固定 IP 直接連上網際網路,未經任何內網隔離或 VPN。
  • 場域僅有大小教室各一顆雜牌 AP,沒有整體網路管理設備。
  • 執行長在審視資安風險時,發現監視器管理介面全然暴露於外網,因此尋求行雲資訊評估改善方案。

主要痛點

  1. 直接暴露的管理介面:保全系統使用固定 IP,任何人只要知道位址即可登入。
  2. 缺乏權限控管:管理帳號僅以預設密碼保護,沒有整體身分驗證流程。
  3. 共享場地限制:TGW 在外部場地需要監看設備,但不希望整個場域網路升級成專屬機房。

行雲資訊的解法

  1. Mikrotik PoE Router + Jamf Security Cloud Gateway

    • 在監視器主機前部署 Mikrotik PoE Router,建立 IPSec 通道連回 Jamf Security Cloud(僅支援 IPSec 連線)。
    • 將監視器主機 IP 固定,並設定所有指向該 IP 的流量必須經由 Gateway 轉送。

  2. Jamf Trust Zero Trust VPN

    • 依 Jamf 公開政策建立監視器專用 policy,僅允許已註冊 Jamf Trust App 的裝置連線。
    • 執行長為唯一授權使用者,透過 Jamf Trust App 啟動 VPN 後才能開啟監視器 App。未啟用 Jamf Trust 時,即使在教室 Wi-Fi 也無法觀看。

  3. 交叉驗證與稽核

    • 驗證流程:先在教室內網(未啟用 Jamf Trust App)確認可直接觀看,以確保原有 Wi-Fi 權限正常;再啟動 Jamf Trust App 測試遠端/非教室環境的 VPN 連線是否生效。
    • 所有連線紀錄與告警均保存在 Jamf Security Cloud,可供執行長隨時調閱。

成果

  • 監視器管理介面已不再暴露於固定 IP,必須走零信任通道才能連線。
  • 執行長可透過 Jamf Trust App 隨時監看場地,但其他人即使知道 IP 也無法連線。
  • 無需全面改造場域網路,只以 Mikrotik Gateway + Jamf Security Cloud 建立可追溯的安全管道。

相關服務

  • Zero Trust 安全架構導入
    行雲資訊以 Jamf Security Cloud、Cloudflare Zero Trust、NetBird 等組合落實零信任,將身分、裝置、應用與資料重新定義信任邊界。
    資安管理
    更新:2026/05/29
  • IT 監控與管理系統
    行雲資訊以 Zabbix、LibreNMS、Grafana、Graylog、Wazuh、Arkime (Moloch)、Akvorado、Gatus 等工具打造統一監控平台,提供指標、日誌、告警與處理流程文件,協助企業建立可行動的可觀測性。
    全面 IT / MIS 代管
    更新:2026/06/03

相關技術文章

  • Jamf Trust 與受控 VPN 存取治理實務
    行雲資訊以 Jamf Trust Policy 為核心,整合 Private Access 或 VPN,將裝置、帳號與策略綁定到可稽核的存取流程。
    全面 IT / MIS 代管 - 辦公室網路資產管理資安管理全面 IT / MIS 代管
    更新:2026/04/06
  • 遠端巡檢報告與透明化流程
    行雲資訊將多來源指標轉為固定報告欄位與異常優先序,讓未自建監控系統的團隊也能掌握巡檢狀態與後續動作。
    全面 IT / MIS 代管 - 辦公室網路資安管理全面 IT / MIS 代管
    更新:2026/04/06
  • Akvorado 教學:NetFlow/IPFIX/sFlow 流量分析架構與適用情境
    從 Akvorado 的 Inlet、Kafka、Outlet、ClickHouse 與 Console 架構出發,說明 NetFlow/IPFIX/sFlow 流量資料如何被收集、補充欄位並轉成可用於容量規劃與異常分析的視覺化資料。
    全面 IT / MIS 代管全面 IT / MIS 代管 - 辦公室網路全面 IT / MIS 代管 - 機房網路
    更新:2026/06/04
  • Akvorado 流量分析教學:Top Talkers、異常流量與容量規劃
    以 Akvorado Console 的查詢與圖表為核心,說明如何從 Top Talkers、ASN/國家分布、流量方向與時間序變化建立可重複的流量分析流程。
    全面 IT / MIS 代管全面 IT / MIS 代管 - 辦公室網路全面 IT / MIS 代管 - 機房網路
    更新:2026/06/03

相關 FAQ