Ανάπτυξη Βεβαίωσης διαχειριζόμενης συσκευής
Η Βεβαίωση διαχειριζόμενης συσκευής είναι μια ισχυρή τεχνολογία για την ασφάλεια των διαχειριζόμενων συσκευών που μπορεί να βοηθήσει στην αποτροπή πολλών τύπων επιθέσεων, όπως η απόκρυψη ιδιοτήτων συσκευής, η εξαγωγή κλειδιών και η πλαστοπροσωπία. Η Βεβαίωση διαχειριζόμενης συσκευής αποτελείται από δύο τεχνολογίες:
Η βεβαίωση πληροφοριών συσκευής παρέχει βεβαιωμένες ιδιότητες μιας διαχειριζόμενης συσκευής ως απάντηση στο ερώτημα
DeviceInformationτης υπηρεσίας διαχείρισης συσκευών. Με αυτόν τον τρόπο, η υπηρεσία διαχείρισης συσκευών λαμβάνει σημαντικές πληροφορίες ασφάλειας και συμμόρφωσης σχετικά με μια συσκευή.Η βεβαίωση ACME αποδεικνύει την ταυτότητα μιας συσκευής σε υπηρεσίες αξιοπιστίας. Παρέχει μια ταυτότητα δεσμευμένη με το υλισμικό σε μια συσκευή. Όταν ο πελάτης ζητά ένα πιστοποιητικό από έναν διακομιστή ACME, παρέχει τις ίδιες επιβεβαιωμένες ιδιότητες.
Αυτές οι δύο τεχνολογίες είναι ισχυρά δομικά στοιχεία που σας επιτρέπουν να δημιουργήσετε μια αρχιτεκτονική μηδενικής αξιοπιστίας βασισμένη σε συσκευές Apple. Είναι σημαντικό να σημειωθεί ότι οι οργανισμοί λαμβάνουν οφέλη ασφάλειας μόνο αν το μοντέλο ανάπτυξης που είναι δομημένο γύρω από τις διαχειριζόμενες συσκευές ενσωματώνει σωστά τις βεβαιώσεις. Αυτή η σελίδα περιγράφει ορισμένα πιθανά μοντέλα ανάπτυξης.
Στοιχεία
Ένα μοντέλο ανάπτυξης που βασίζεται στη Βεβαίωση διαχειριζόμενης συσκευής περιλαμβάνει τα ακόλουθα στοιχεία:
Η συσκευή: Η διαχειριζόμενη συσκευή, η οποία είναι iPhone, iPad, Mac, Apple TV ή Apple Vision Pro.
Η υπηρεσία διαχείρισης συσκευών: Η υπηρεσία που διαχειρίζεται τις συσκευές χρησιμοποιώντας το πρωτόκολλο διαχείρισης συσκευών.
Ο διακομιστής ACME: Ο διακομιστής που εκδίδει πιστοποιητικά πελάτη σε συσκευές.
Υπηρεσίες αξιοπιστίας: Τα μέρη που χρησιμοποιούν το πιστοποιητικό της ταυτότητας. Περιλαμβάνουν διακομιστές ιστού, διακομιστές VPN, παραλήπτες υπογεγραμμένων μηνυμάτων email και άλλα. Η υπηρεσία διαχείρισης συσκευών λειτουργεί επίσης ως υπηρεσία αξιοπιστίας.
Μοντέλα ανάπτυξης
Αυτό το έγγραφο περιγράφει τρία μοντέλα ανάπτυξης με αυξανόμενη ευελιξία, καθώς και αυξανόμενη ζήτηση για απαιτήσεις υποδομής και ενσωματώσεις:
Διασφάλιση του καναλιού διαχείρισης συσκευών: Αυτό το μοντέλο ενισχύει την επικοινωνία μεταξύ μιας συσκευής και της υπηρεσίας διαχείρισης συσκευών. Διασφαλίζει ότι η υπηρεσία διαχείρισης συσκευών γνωρίζει ποια συσκευή διαχειρίζεται και παρέχει ισχυρές αποδείξεις ότι η συσκευή συμμορφώνεται με τις πολιτικές του οργανισμού.
Εξουσιοδότηση βάσει διακομιστή ACME: Αυτό δίνει στην Αρχή πιστοποίησης τον έλεγχο του ελέγχου ταυτότητας και της εξουσιοδότησης της συσκευής. Οι υπηρεσίες αξιοπιστίας αξιολογούν μόνο αν το πιστοποιητικό είναι έγκυρο και αν έχει εκδοθεί από αξιόπιστη Αρχή πιστοποίησης.
Διαφορική εξουσιοδότηση: Ο διακομιστής ACME είναι υπεύθυνος για τον έλεγχο ταυτότητας και οι υπηρεσίες αξιοπιστίας εκτελούν εξουσιοδότηση βάσει του ελέγχου ταυτότητας. Αυτό επιτρέπει σε κάθε υπηρεσία αξιοπιστίας να λαμβάνει τη δική της, διαφορική απόφαση εξουσιοδότησης.
Μοντέλο ανάπτυξης «Διασφάλιση του καναλιού διαχείρισης συσκευών»
Το πρωτόκολλο διαχείρισης συσκευών απαιτεί από τη συσκευή να πραγματοποιεί έλεγχο ταυτότητας στην υπηρεσία διαχείρισης συσκευών χρησιμοποιώντας μια ταυτότητα πελάτη. Αυτή η ταυτότητα παρέχεται κατά την εγγραφή της συσκευής. Σε αυτό το μοντέλο ανάπτυξης, η παροχή της ταυτότητας πελάτη χρησιμοποιεί βεβαίωση ACME. Αυτό παρέχει στην υπηρεσία διαχείρισης συσκευών μια πολύ ισχυρή διαβεβαίωση ότι κάθε εισερχόμενη σύνδεση ξεκίνησε από την ίδια νόμιμη συσκευή Apple που εγγράφηκε. Όταν η εγγραφή δεν είναι εγγραφή χρήστη, η υπηρεσία διαχείρισης συσκευών έχει επίσης πολύ ισχυρές αποδείξεις για τον σειριακό αριθμό και το UDID της συσκευής.
Σε αυτό το μοντέλο ανάπτυξης, οι εκδοθείσες ταυτότητες χρησιμοποιούνται μόνο από διαχειριζόμενες συσκευές για έλεγχο ταυτότητας στην υπηρεσία διαχείρισης συσκευών. Αυτό σημαίνει ότι η υπηρεσία διαχείρισης συσκευών είναι επίσης η υπηρεσία αξιοπιστίας και συνήθως η παρουσία που εκδίδει πιστοποιητικά.
Για να χρησιμοποιήσετε αυτό το μοντέλο ανάπτυξης, η ταυτότητα παρέχεται κατά τη στιγμή της εγγραφής, παρέχοντας στη συσκευή ένα προφίλ εγγραφής που περιλαμβάνει ένα φορτίο ACME (αν και είναι δυνατή η «αναβάθμιση» μιας υπάρχουσας εγγραφής που δεν χρησιμοποίησε αρχικά Βεβαίωση διαχειριζόμενης συσκευής). Χρησιμοποιώντας τις παρεχόμενες πληροφορίες, η συσκευή επικοινωνεί με το στοιχείο ACME της υπηρεσίας διαχείρισης συσκευών για να ζητήσει ένα πιστοποιητικό. Μπορείτε επίσης να χρησιμοποιήσετε προσαρμοσμένους κανόνες, αλλά συνήθως εκδίδεται πιστοποιητικό αν:
Η συσκευή είναι γνωστή εκ των προτέρων, για παράδειγμα επειδή είναι εγγεγραμμένη στο Apple School Manager ή το Apple Business Manager.
Η συσκευή σχετίζεται με μια εγγραφή που έχει πιστοποιηθεί από χρήστη.
Μετά την εγγραφή της συσκευής, η υπηρεσία διαχείρισης συσκευών μπορεί επιπλέον να παρακρατήσει εφαρμογές, διαμορφώσεις και λογαριασμούς μέχρι η συσκευή να πληροί τις απαιτήσεις του οργανισμού χρησιμοποιώντας τη βεβαίωση πληροφοριών συσκευής για την υποβολή ερωτημάτων σχετικά με επιβεβαιωμένες δυναμικές ιδιότητες, όπως η έκδοση λειτουργικού συστήματος και η κατάσταση του FileVault.
Η ίδια προσέγγιση μπορεί να χρησιμοποιηθεί για να ζητηθεί μια νέα βεβαίωση όταν προκύπτουν σχετικές αλλαγές.
Μια πιο σύνθετη ρύθμιση για αυτό το σενάριο περιλαμβάνει έναν διακομιστή ACME εξωτερικό προς την υπηρεσία διαχείρισης συσκευών. Αυτό απαιτεί είτε ενσωμάτωση μεταξύ της υπηρεσίας ACME και της υπηρεσίας διαχείρισης συσκευών για ανάκτηση πληροφοριών σχετικά με τη συσκευή και την κατάσταση ελέγχου ταυτότητας εγγραφής είτε έκδοση πιστοποιητικών που περιλαμβάνουν μόνιμες πληροφορίες από τη βεβαίωση για να επιτρέπεται στην υπηρεσία διαχείρισης συσκευών να εκτελεί την αξιολόγηση αξιοπιστίας της.
Μοντέλο ανάπτυξης «Εξουσιοδότηση βάσει διακομιστή ACME»
Σε αυτό το μοντέλο ανάπτυξης, η εξουσιοδότηση για μια συσκευή βασίζεται μόνο στο αν το εκδοθέν πιστοποιητικό είναι αξιόπιστο. Κατά τη διάρκεια της ροής ACME, ο διακομιστής ACME αποφασίζει αν θα εκδώσει πιστοποιητικό. Αν η απόφαση απαιτεί πληροφορίες διαφορετικές από αυτές που περιέχονται στο πιστοποιητικό βεβαίωσης, ο διακομιστής ACME πρέπει να τις συλλέξει. Ο διακομιστής ACME εκδίδει πιστοποιητικό μόνο αν είναι επιτυχής η αξιολόγηση αξιοπιστίας του και η συσκευή πληροί τα κριτήρια που ορίζονται από τον οργανισμό.
Για παράδειγμα, αν ο οργανισμός σας απαιτεί οι εξουσιοδοτημένες συσκευές να είναι εγγεγραμμένες σε μια υπηρεσία διαχείρισης συσκευών, πρέπει να υπάρχει σύνδεση μεταξύ της υπηρεσίας ACME και της υπηρεσίας διαχείρισης συσκευών.
Αυτό το μοντέλο ανάπτυξης λειτουργεί καλύτερα όταν υπάρχουν πολλές υπηρεσίες αξιοπιστίας που χρησιμοποιούν τις ίδιες συνθήκες εξουσιοδότησης. Αφού ο διακομιστής ACME εκτελέσει την αξιολόγηση αξιοπιστίας του, οι υπηρεσίες αξιοπιστίας χρειάζεται μόνο να εκτελέσουν τυπική επικύρωση πιστοποιητικού και αξιολόγηση αξιοπιστίας για να επαληθεύσουν την πρόσβαση.
Σημείωση: Ανάλογα με τις απαιτήσεις ασφαλείας σας, μπορείτε να εξετάσετε τον τρόπο με τον οποίο η ανάπτυξη αντιμετωπίζει συσκευές που έχουν χάσει την εξουσιοδότησή τους, για παράδειγμα προσαρμόζοντας τη διάρκεια ζωής των πιστοποιητικών ή τον έλεγχο ανάκλησης που πραγματοποιείται από την υπηρεσία αξιοπιστίας.
Μοντέλο ανάπτυξης «Διαφορική εξουσιοδότηση»
Σε αυτό το μοντέλο ανάπτυξης, ο διακομιστής ACME είναι υπεύθυνος μόνο για την έκδοση ενός πιστοποιητικού που πιστοποιεί τη συσκευή. Οι υπηρεσίες αξιοπιστίας καθορίζουν την εξουσιοδότηση κάθε φορά που αξιολογούν το πιστοποιητικό ταυτότητας της συσκευής και εφαρμόζουν τους δικούς τους, ατομικούς κανόνες εξουσιοδότησης.
Ο διακομιστής ACME θα πρέπει να περιλαμβάνει οποιαδήποτε πληροφορία χωρίς κατάσταση στο εκδοθέν πιστοποιητικό που χρειάζονται οι υπηρεσίες αξιοπιστίας για να αναγνωρίσουν και να εξουσιοδοτήσουν τη συσκευή, για παράδειγμα οποιαδήποτε δεδομένα έλαβε ο διακομιστής ACME στο πιστοποιητικό βεβαίωσης.
Όταν η συσκευή συνδέεται και εκτός από την επαλήθευση της αξιοπιστίας του εκδοθέντος πιστοποιητικού, η υπηρεσία αξιοπιστίας μπορεί επίσης να υποβάλει ερώτημα στην υπηρεσία διαχείρισης συσκευών για οποιεσδήποτε δυναμικές ιδιότητες. Αυτό επιτρέπει οι αποφάσεις εξουσιοδότησης να βασίζονται σε ενημερωμένες πληροφορίες και μπορεί επίσης να υποστηρίξει συμβάντα ανάκλησης εξουσιοδότησης και επαναεξουσιοδότησης. Ανάλογα με τις απαιτήσεις του οργανισμού και την κρισιμότητα της υπηρεσίας αξιοπιστίας, οι αποφάσεις εξουσιοδότησης ενδέχεται επίσης να αποθηκεύονται προσωρινά για ένα καθορισμένο χρονικό διάστημα για τον χειρισμό επαναλαμβανόμενων συμβάντων σύνδεσης και την επιτάχυνση των αποφάσεων εξουσιοδότησης.