Nasazení atestace spravovaných zařízení
Atestace spravovaných zařízení je výkonná technologie pro zabezpečení spravovaných zařízení, která umožňuje zabránit mnoha typům útoků, včetně zakrývání vlastností zařízení, extrakce klíčů nebo vydávání se za jinou osobu. Atestaci spravovaných zařízení zajišťuje kombinace dvou technologií:
Atestace informací o zařízení umožňuje v odpovědi na dotaz
DeviceInformationze služby správy zařízení poskytnout atestované vlastnosti spravovaného zařízení. Služba správy zařízení tak získá důležité informace o zabezpečení zařízení a jeho shodě s předpisy.Atestace ACME prokazuje stranám, které se chtějí spoléhat na důvěryhodné informace, identitu zařízení. Poskytuje identitu hardwarově vázanou na zařízení. Když klient požaduje certifikát ze serveru ACME, poskytne tytéž atestované vlastnosti.
Tyto dvě technologie jsou silnými stavebními kameny, které vám umožňují z bodu nula vybudovat architekturu důvěry založenou na zařízeních Apple. Je důležité si uvědomit, že jakákoli organizace bude mít výhody v oblasti zabezpečení pouze tehdy, když do jejich modelu nasazení postaveného na spravovaných zařízeních bude správně zakomponována atestace. Na této stránce jsou popsány některé možné modely nasazení.
Komponenty
Model nasazení zahrnující princip atestace spravovaných zařízení tvoří následující komponenty:
Zařízení: Spravované zařízení, jímž může být iPhone, iPad, Mac, Apple TV nebo Apple Vision Pro.
Služba správy zařízení: Služba spravující zařízení prostřednictvím protokolu správy zařízení.
Server ACME: Server, který zařízením vydává klientské certifikáty.
Spoléhající se strany: Strany, které využívají certifikát identity. Mohou jimi být webové servery, VPN servery, příjemci podepsaných e‑mailových zpráv a další. Služba správy zařízení zde figuruje také jako spoléhající se strana.
Modely nasazení
Tento dokument popisuje tři modely nasazení se zvyšující se flexibilitou a rostoucími nároky ohledně požadavků na infrastrukturu a možnosti integrace:
Zabezpečení kanálu pro správu zařízení: Tento model posiluje zabezpečení komunikace mezi zařízením a službou správy zařízení. Pro službu správy zařízení zajišťuje informace ohledně totožnosti spravovaného zařízení a zároveň důvěryhodně prokazuje, že zařízení je ve shodě se zásadami organizace.
Autorizace prostřednictvím serveru ACME: Při této metodě se kontrola nad ověřováním totožnosti a autorizací zařízení předává certifikační autoritě. Spoléhající se strany vyhodnocují pouze to, zda je certifikát platný a byl vystaven důvěryhodnou certifikační autoritou.
Diferenciální autorizace: Za ověřování totožnosti je odpovědný server ACME a spoléhající se strany provádějí na základě tohoto ověření totožnosti vlastní autorizaci. To umožňuje každé spoléhající se straně provádět vlastní, diferencované rozhodování ohledně autorizace.
Zabezpečení pro model nasazení kanálu správy zařízení
Protokol správy zařízení vyžaduje, aby zařízení prokazovalo svou totožnost ve službě správy zařízení pomocí identity klienta. Tato identita se vytvoří při registraci zařízení. V tomto modelu nasazení se pro vytváření identity klientů používá atestace ACME. Služba správy zařízení tak získá velmi silnou záruku, že každé příchozí připojení bylo iniciováno týmž legitimním zařízením Apple, které bylo zaregistrováno. Pokud daná registrace není registrací uživatele, má služba správy zařízení také velmi průkazný doklad o sériovém čísle a UDID zařízení.
V tomto modelu nasazení se vydané identity používají pouze k ověřování identity spravovaných zařízení ve službě správy zařízení. To znamená, že služba správy zařízení je zároveň spoléhající se stranou a obvykle i instancí, která vydává certifikáty.
Chcete‑li používat tento model nasazení, je při registraci zařízení potřeba vytvořit identitu prostřednictvím registračního profilu s datovou částí ACME (i když je možné jen „upgradovat“ stávající registraci, která původně atestaci spravovaného zařízení nevyužívala). Zařízení s použitím poskytnutých informací kontaktuje komponentu ACME služby správy zařízení a požádá o certifikát. Můžete použít také vlastní pravidla, nicméně certifikát se obvykle vydává při splnění těchto podmínek:
Zařízení je předem známé, například díky tomu, že je zaregistrované v Apple School Manageru nebo Apple Business Manageru.
Zařízení je spojeno s registrací, kterou uživatel ověřil.
Po zaregistrování zařízení může služba správy zařízení navíc pozastavit činnost aplikací, konfigurací a účtů, dokud zařízení nesplňuje požadavky dané organizace. K tomu se využívá atestace informací o zařízení, jejímž prostřednictvím se lze dotázat na atestované dynamické vlastnosti, jako je verze operačního systému nebo stav FileVaultu.
Když dojde k podstatným změnám, lze si stejným postupem vyžádat novou atestaci.
Složitější nastavení pro tento scénář zahrnuje server ACME, který je vůči službě správy zařízení externím subjektem. To vyžaduje integraci mezi ACME a službou správy zařízení, která má načítat údaje o zařízení a stavu ověření registrace, nebo vydávání certifikátů obsahujících trvalé informace z atestace, aby služba správy zařízení mohla provádět vlastní vyhodnocování důvěryhodnosti.
Model nasazení autorizace prostřednictvím serveru ACME
V tomto modelu nasazení je autorizace zařízení založená pouze na určení, zda je vydaný certifikát důvěryhodný. Během procesu ACME rozhoduje server ACME o tom, zda má být vystaven certifikát. Pokud rozhodnutí vyžaduje jiné informace než údaje obsažené v atestačním certifikátu, musí je server ACME shromáždit. Server ACME vydá certifikát pouze v případě, že vyhodnocení jeho důvěryhodnosti je úspěšné a zařízení splňuje kritéria stanovená organizací.
Pokud vaše organizace například vyžaduje registraci autorizovaných zařízení ve službě správy zařízení, musí existovat propojení mezi službou ACME a službou správy zařízení.
Tento model nasazení je nejvhodnější v situaci, kdy existuje více spoléhajících se stran, které používají stejné podmínky autorizace. Po vyhodnocení důvěryhodnosti serverem ACME stačí, když spoléhající se strany kvůli ověření přístupu provedou standardní ověření certifikátu a vyhodnocení důvěryhodnosti.
Poznámka: V závislosti na vašich požadavcích na zabezpečení můžete zvážit, jak nasazení pracovat se zařízeními, která ztratila autorizaci, například následkem změny doby platnosti certifikátů nebo po kontrole odvolání provedené spoléhající se stranou.
Model nasazení s diferenciální autorizací
V tomto modelu nasazení je server ACME zodpovědný pouze za vydání certifikátu, který potvrzuje totožnost zařízení. Spoléhající se strany určují autorizaci při každém vyhodnocení certifikátu ohledně identity zařízení a používají vlastní individuální pravidla autorizace.
Server ACME by měl do vydaného certifikátu zahrnout všechny bezstavové informace, které spoléhající se strany potřebují k identifikaci a autorizaci zařízení, například veškerá data, která server ACME obdržel v atestačním certifikátu.
Když se zařízení připojí, může spoléhající se strana kromě ověření důvěryhodnosti vydaného certifikátu si od služby správy zařízení také vyžádat veškeré dynamické vlastnosti. Díky tomu lze o autorizaci rozhodovat na základě aktuálních informací a tento přístup také podporuje události zrušení a obnovení autorizace. V závislosti na požadavcích organizace a na míře kritičnosti spoléhající se strany se mohou rozhodnutí o autorizaci také na definovanou dobu ukládat do mezipaměti, což umožňuje zpracovávat opakované události připojení a urychlit rozhodování o autorizaci.