Dwie sesje, w których uczestniczyłem podczas zeszłotygodniowej konferencji WWDC, zarządzane certyfikaty urządzeń i bezpieczne punkty końcowe, podkreślają zaangażowanie firmy w zapewnianie większych możliwości narzędziom zabezpieczającym. Chociaż oba rozwiązania były naturalnie bardziej ukierunkowane na twórców rozwiązań do zarządzania urządzeniami i zabezpieczeń niż na użytkowników końcowych lub administratorów IT, warto zwrócić uwagę na niektóre dodatkowe funkcje, które programiści będą mogli zintegrować z narzędziami dla przedsiębiorstw.
Administrowana atestacja urządzeń
Zacznijmy od atestacji urządzeń zarządzanych, nowej funkcji, która pomaga zapewnić, że serwery i usługi (lokalne lub w chmurze) odpowiadają tylko na uzasadnione żądania dostępu do zasobów.
Zarówno wykorzystanie usług w chmurze, jak i wdrażanie urządzeń mobilnych rosły równolegle (i wykładniczo) w ciągu ostatnich 10 lat, drastycznie zmieniając stan bezpieczeństwa przedsiębiorstwa. Dziesięć lat temu silne zabezpieczenia obwodowe sieci w połączeniu z VPN i podobnymi bezpiecznymi narzędziami zdalnego dostępu były podstawowym sposobem ochrony sieci — i całego przedsiębiorstwa.
Dzisiejsze zabezpieczenia są jednak znacznie bardziej złożone. Wiele zasobów znajduje się całkowicie poza siecią korporacyjną, co oznacza, że ocena zaufania musi być przeprowadzana w szerokim zakresie usług lokalnych, zdalnych i w chmurze. Zwykle dotyczy to wielu dostawców i każdy z nich musi być w stanie ustalić, czy użytkownicy i urządzenia łączące się z nimi są zgodne z prawem; wykracza daleko poza proste uwierzytelnianie i autoryzację.
Obecnie usługi polegają na tożsamości użytkownika, tożsamości urządzenia, lokalizacji, łączności, dacie i godzinie oraz stanie zarządzania urządzeniem w celu określenia, czy żądania dostępu są ważne. Usługi mogą wykorzystywać dowolne lub wszystkie z tych kryteriów, a większość, w tym rozwiązania MDM, może wykorzystywać te kryteria podczas udzielania lub odmawiania dostępu.
W zależności od wrażliwości danych proste uwierzytelnienie użytkownika może być wystarczające dla danego stanu bezpieczeństwa lub rozważne może być poleganie na wszystkich tych kryteriach przed udzieleniem dostępu, zwłaszcza w przypadku wrażliwych lub administracyjnych systemów.
Tożsamość urządzenia jest jednym z najpotężniejszych kryteriów. Zapewnia, że każde urządzenie uzyskujące dostęp do systemów i zasobów Twojej organizacji (w tym usług MDM) jest znane i zaufane. Tożsamość urządzenia Apple obejmuje obecnie następujące informacje: unikalny identyfikator urządzenia w protokole MDM firmy Apple, informacje zwracane przez zapytanie o informacje o urządzeniu MDM (które obejmuje numer seryjny, numer IMEI itp.) oraz certyfikaty bezpieczeństwa, które zostały wydany. do urządzenia.
W systemie iOS/iPadOS/tvOS 16 firma Apple dodaje dodatkową funkcję ustalania tożsamości urządzenia: Certyfikacja urządzenia. Zasadniczo jest to sposób na ustalenie autentyczności urządzenia przy użyciu znanych informacji na jego temat, które Apple może zweryfikować za pomocą serwerów certyfikujących firmy. Informacje, których Apple używa w tym celu, obejmują szczegóły dotyczące bezpiecznej enklawy na urządzeniu, dokumentację produkcyjną i katalog systemu operacyjnego.
Atest dotyczy samego urządzenia, a nie systemu operacyjnego czy zainstalowanych na nim aplikacji. Jest to ważne, ponieważ oznacza to, że urządzenie może zostać naruszone, ale Apple nadal ręczy, że jest to urządzenie, za które się podaje. Dopóki bezpieczna enklawa jest nienaruszona, certyfikacja będzie kontynuowana. (Usługi MDM mogą jednak weryfikować integralność systemu operacyjnego).
Certyfikat można wykorzystać na dwa sposoby. Pierwszym z nich jest zweryfikowanie tożsamości urządzenia, aby usługa MDM wiedziała, że urządzenie jest tym, za co się podaje. Drugi służy do bezpiecznego dostępu do zasobów w Twoim środowisku. Wdrożenie tego drugiego zastosowania zaświadczeń wymaga wdrożenia serwera lub usługi środowiska automatycznego zarządzania certyfikatami (ACME) w organizacji. Zapewnia to najsilniejszy dowód tożsamości urządzenia i konfiguruje certyfikaty klienta podobne do protokołu SCEP (Simple Certificate Enrollment Protocol).
Kiedy serwer ACME otrzyma zaświadczenie, wystawia certyfikat, który umożliwia dostęp do zasobów. Certyfikaty potwierdzające poświadczenie zapewniają, że urządzenie jest autentycznym sprzętem Apple i obejmują tożsamość urządzenia, właściwości urządzenia oraz sprzętowe klucze tożsamości (związane z bezpieczną enklawą urządzenia).
Apple zauważa, że istnieje wiele powodów, dla których poświadczanie może się nie powieść, a niektóre awarie, takie jak problemy z siecią lub problemy z firmowymi serwerami poświadczającymi, nie wskazują na złośliwy problem. Jednak trzy rodzaje awarii wskazują na potencjalny problem, który należy naprawić lub zbadać. Obejmuje to zmodyfikowany sprzęt urządzenia, zmodyfikowane lub nierozpoznane oprogramowanie lub sytuacje, w których urządzenie nie jest oryginalnym urządzeniem Apple.
Poświadczanie urządzeń zapewnia bezprecedensową weryfikację tożsamości urządzenia. Nawet jeśli nie jesteś zainteresowany wdrażaniem usług ACME w swoim środowisku, włączenie atestacji dla Twojego rozwiązania MDM jest prostym i oczywistym wyborem. Jednak dokładnie to, jak to działa, będzie zależeć od tego, jak różni dostawcy MDM wdrażają tę funkcję. Niektórzy dostawcy mogą również integrować usługi ACME ze swoimi ofertami MDM, umożliwiając pełne wykorzystanie tej nowej funkcjonalności.
bezpieczny punkt końcowy
Druga sesja WWDC dotyczyła Secure Endpoint. Wprowadził nowe funkcje interfejsu Apple Secure Endpoint API i był skierowany do twórców różnych typów narzędzi zabezpieczających Mac. Apple umożliwia programistom wdrażanie nowych typów zdarzeń, w tym zdarzeń uwierzytelniania, logowania/wylogowania i XProtect. /gatekeeper.
- Uwierzytelnianie Zdarzenia, do których interfejs Secure Endpoint API może teraz uzyskać dostęp, obejmują uwierzytelnianie hasłem, Touch ID, wydawanie tokenów kryptograficznych i automatyczne odblokowywanie za pomocą zegarka Apple Watch. Deweloperzy mogą ich używać do znajdowania wzorców podejrzanych prób logowania (udanych lub nieudanych) i traktować je na różne sposoby, od prostych alertów po inne działania.
- Deweloperzy będą teraz mogli przeglądać interfejs API bezpiecznego punktu końcowego Zaloguj Wyloguj różnych typów, w tym z okna logowania (bezpośrednie połączenie z komputerem Mac za pomocą klawiatury), połączenia udostępniania ekranu, połączenia SSH i połączenia wiersza poleceń. Ponownie, wartością jest tutaj możliwość znalezienia i zgłoszenia podejrzanej aktywności lub prób logowania.
- XProtect/Guardian Umożliwi programistom korzystanie z interfejsu Secure Endpoint API w celu uzyskiwania dostępu do informacji w przypadku wykrycia złośliwego oprogramowania, a także w przypadku jego załatania, automatycznie lub przez personel IT.
Niektóre z tych funkcji były wcześniej dostępne dla programistów korzystających ze ścieżki audytu OpenBSM, która została wycofana począwszy od systemu macOS Big Sur. Chociaż jest nadal dostępny, zostanie usunięty w przyszłej wersji systemu macOS.
Chociaż obie sesje były skierowane do programistów, a nie do personelu IT pierwszej linii, zwracają uwagę na nowe technologie, które Apple oferuje przedsiębiorstwom i dostawcom zabezpieczeń. Podkreślają również zrozumienie przez Apple zmieniającego się krajobrazu bezpieczeństwa korporacyjnego oraz zaangażowanie firmy w dostarczanie firmom narzędzi potrzebnych do wzmocnienia bezpieczeństwa.
Prawa autorskie © 2022 IDG Communications, Inc.