Přehled sítí VPN pro nasazení zařízení Apple
Systémy iOS, iPadOS, macOS, tvOS, visionOS a watchOS nabízejí zabezpečený přístup k privátním podnikovým sítím s využitím uznávaného průmyslového standardu protokolů virtuálních privátních sítí (VPN).
Podporované protokoly
Systémy iOS, iPadOS, macOS, tvOS, visionOS a watchOS podporují následující protokoly a metody ověřování:
IKEv2: Podpora protokolů IPv4 i IPv6 a následujících položek:
Kvantová bezpečnost: Zařízení se systémy iOS 26, iPadOS 26, macOS 26, tvOS 26, visionOS 26, watchOS 26 a novějšími lze nakonfigurovat pro doplňkovou výměnu klíčů pomocí protokolu ML-KEM, která jim umožňuje poskytovat kvantové zabezpečení.
Metody ověřování: sdílený tajný klíč, certifikáty, EAP‑TLS a EAP‑MSCHAPv2
Šifrování Suite B: certifikáty ECDSA, šifrování ESP s GCM a skupiny ECP pro Diffieho‑Hellmanovu skupinu
Další funkce: MOBIKE, fragmentace IKE, přesměrování serveru, dělené tunelové propojení
Systémy iOS, iPadOS, macOS, tvOS a visionOS podporují také následující protokoly a metody ověřování:
L2TP over IPsec: s ověřováním totožnosti uživatelů pomocí hesel MS-CHAPV2 a ověřováním totožnosti počítačů pomocí sdílených tajných klíčů
macOS může používat také metody RSA SecurID a CRYPTOCard.
Cisco IPsec: s ověřováním totožnosti uživatelů pomocí hesel nebo metodami RSA SecurID či CRYPTOCard
macOS může používat také ověřování totožnosti počítačů systémem Kerberos pomocí sdílených tajných klíčů.
Pokud vaše organizace tyto protokoly podporuje, pro připojení zařízení Apple k vaší virtuální privátní síti není třeba nastavovat žádné další konfigurační parametry sítě ani používat aplikace nezávislých vývojářů.
Podpora zahrnuje technologie jako IPv6, proxy servery nebo dělené tunelové propojení. Dělené tunelové propojení zajišťuje flexibilní prostředí VPN při připojování k sítím organizace.
Framework Network Extension navíc umožňuje vývojářům vytvářet vlastní prostředí VPN pro iOS, iPadOS, macOS, tvOS a visionOS. Někteří poskytovatelé VPN nabízejí aplikace, které pomáhají nastavit zařízení Apple pro spolupráci s jejich prostředími. Chcete‑li zařízení nakonfigurovat pro prostředí určitého poskytovatele, nainstalujte jeho doprovodnou aplikaci a případně vytvořte konfigurační profil s potřebnými parametry.
VPN na vyžádání
Funkce VPN na vyžádání umožňuje na zařízeních se systémem iOS, iPadOS, macOS, tvOS a visionOS automaticky navazovat připojení podle potřeby. Vyžaduje použití metody ověření totožnosti, která nevyužívá komunikaci s uživatelem, například ověřování pomocí certifikátů. K nakonfigurování funkce VPN na vyžádání slouží klíč OnDemandRules v datové části VPN konfiguračního profilu. Pravidla jsou uplatňována ve dvou fázích:
Fáze detekce sítě: Definuje požadavky VPN, které se uplatní při změně primárního síťového připojení zařízení.
Fáze vyhodnocení připojení: Definuje požadavky VPN na žádosti o připojení k názvům domén podle potřeby.
Pomocí pravidel lze například:
rozpoznat, že je zařízení Apple připojeno k interní síti a použití VPN není nutné;
rozpoznat, že je používána neznámá Wi‑Fi síť, a vyžádat si použití VPN;
spustit VPN, pokud selže DNS požadavek na určený název domény.
VPN na úrovni aplikací
Na iOS, iPadOS, macOS a visionOS zařízeních a na watchOS zařízeních pod dohledem lze navazovat VPN připojení na úrovni jednotlivých aplikací a získat tak podrobnější kontrolu nad tím, která data budou VPN sítí procházet. Tato možnost rozčlenění provozu na úrovni aplikací dovoluje oddělit osobní data od organizačních – výsledkem je bezpečné síťové prostředí pro interní aplikace, které současně chrání soukromí aktivit na osobních zařízeních.
VPN na úrovni aplikací umožňuje každé aplikaci, kterou spravuje služba správy zařízení, komunikovat s privátní sítí prostřednictvím zabezpečeného tunelového propojení a současně brání v používání privátní sítě nespravovaným aplikacím. Pro spravované aplikace můžete nakonfigurovat různá VPN připojení a ještě tak posílit ochranu dat. Aplikace pro prodejní nabídky může například používat zcela jiné datové centrum než aplikace pro účetnictví.
Pokud jste u některého VPN připojení vytvořili konfiguraci VPN na úrovni aplikací, musíte toto připojení přidružit k aplikaci, která je využívá k zabezpečení svého síťového provozu. To lze provést prostřednictvím datové části mapování VPN na úrovni aplikací (macOS) nebo zadáním konfigurace VPN v příkazu pro instalaci aplikace (iOS, iPadOS, macOS, visionOS 1.1).
VPN na úrovni aplikací lze nakonfigurovat pro práci s IKEv2 VPN klientem integrovaným do systému iOS, iPadOS, watchOS a visionOS 1.1. Informace o podpoře VPN na úrovni aplikací ve vlastních řešeních VPN vám poskytnou vaši dodavatelé řešení VPN.
Poznámka: V systémech iOS, iPadOS, watchOS 10 a visionOS 1.1 lze VPN na úrovni aplikací používat jen pro aplikace spravované službou správy zařízení.
Funkce „VPN vždy zapnuto“
Trvale zapnutá VPN dostupná pro IKEv2 poskytuje vaší organizaci plnou kontrolu nad síťovým provozem v systémech iOS, iPadOS a visionOS díky tomu, že veškerý IP provoz směruje tunelovým propojením zpět do organizace. Vaše organizace může nyní monitorovat a filtrovat příchozí i odchozí datový provoz zařízení, zabezpečit data ve vaší síti a omezit přístup zařízení k internetu.
Funkci „VPN vždy zapnuto“ lze aktivovat jen u zařízení pod dohledem. Po instalaci profilu „VPN vždy zapnuto“ na zařízení se tato funkce aktivuje automaticky bez jakékoli interakce s uživatelem a zůstává zapnutá (a to i po novém restartu systému), dokud není profil „VPN vždy zapnuto“ odinstalován.
Pokud je na zařízení aktivována funkce „VPN vždy zapnuto“, váže se navazování a rušení tunelového propojení VPN na stav IP rozhraní. Pokud zařízení získá přístup k IP síti, pokusí se vytvořit tunelové propojení. Když je stav IP rozhraní deaktivován, dojde ke zrušení tunelového propojení.
Funkce „VPN vždy zapnuto“ podporuje také tunelová propojení vázaná na rozhraní. U zařízení s mobilním připojením je zřízeno jedno tunelové propojení pro každé aktivní IP rozhraní (jedno tunelové propojení pro mobilní rozhraní a druhé pro Wi-Fi rozhraní). Pokud jsou tunelová propojení VPN v provozu, prochází jimi veškerý IP provoz, tj. veškerý provoz se směrováním IP a veškerý provoz spadající do oboru IP (data aplikací společnosti Apple, například FaceTime a Messages). Nejsou‑li tunelová propojení v provozu, je veškerý IP provoz zahazován.
Veškerý datový provoz odcházející tunelovým propojením ze zařízení se dostává na VPN server. Před dalším směrováním provozu do cíle ve vaší organizaci nebo na internetu můžete data nechat procházet volitelným filtrováním a monitorováním. Podobně také datový provoz ve směru do zařízení prochází přes VPN server vaší organizace, kde mohou proběhnout filtrovací a monitorovací procesy, než budou data přeposlána do zařízení.
Poznámka: Při použití trvale zapnuté VPN není k dispozici párování Apple Watch.
Transparentní proxy
Transparentní proxy servery jsou speciální typ proxy v systému macOS, který je možné použít různými způsoby ke sledování a transformaci síťového provozu. Běžně je využívají systémy filtrování obsahu a zprostředkovatelé přístupu ke cloudovým službám. Vzhledem k různorodosti použití je dobré definovat pořadí, v jakém budou tyto proxy servery zobrazovat a zpracovávat provoz. Příklad: Chcete vyvolat proxy server filtrující síťový provoz před vyvoláním proxy serveru, který provoz šifruje. Požadovaného výsledku dosáhnete definováním pořadí v datové části VPN.