Implementar la atestación de dispositivos gestionados
La atestación de dispositivos gestionados es una tecnología potente para proteger los dispositivos gestionados que puede ayudar a frustrar muchos tipos de ataques, como la ofuscación de las propiedades del dispositivo, la extracción de claves y la suplantación de identidad. La atestación de dispositivos gestionados está formada por dos tecnologías:
La atestación de la información del dispositivo proporciona las propiedades atestadas de un dispositivo gestionado como respuesta a la consulta
DeviceInformationdel servicio de gestión de dispositivos. De esta forma, el servicio de gestión de dispositivos dispone de información importante sobre la seguridad y el cumplimiento de normativas de un dispositivo.La atestación ACME prueba la identidad de un dispositivo ante las entidades de confianza. Proporciona una identidad vinculada por hardware en un dispositivo. Cuando el cliente solicita un certificado a un servidor ACME, se le proporcionan las mismas propiedades atestadas.
Estas dos tecnologías son las bases sólidas que permiten crear una arquitectura de confianza cero basada en dispositivos Apple. Es importante advertir que las organizaciones solo obtienen beneficios de seguridad si el modelo de implementación basado en dispositivos gestionados incorpora correctamente las atestaciones. En esta página se describen algunos modelos de implementación posibles.
Componentes
Un modelo de implementación que gira en torno a la atestación de dispositivos gestionados incluye los siguientes componentes:
El dispositivo: El dispositivo que se está gestionando, que puede ser un iPhone, iPad, Mac, Apple TV o Apple Vision Pro.
El servicio de gestión de dispositivos: El servicio que gestiona los dispositivos mediante el protocolo de gestión de dispositivos.
El servidor ACME: El servidor que emite certificados de cliente a los dispositivos.
Entidades de confianza: Las partes que consumen el certificado de la identidad. Entre ellas se encuentran los servidores web, los servidores VPN, los destinatarios de los mensajes de correo electrónico firmados, etc. El servicio de gestión de dispositivos también actúa como parte responsable.
Modelos de implementación
En este documento se describen tres modelos de implementación con flexibilidad creciente, así como una demanda creciente de requisitos de infraestructura e integraciones:
Salvaguardar el canal de gestión de dispositivos: Este modelo refuerza la comunicación entre un dispositivo y el servicio de gestión de dispositivos. Así se tiene la seguridad de que el servicio de gestión de dispositivos sabe qué dispositivo está gestionando y proporciona pruebas sólidas de que cumple con las políticas de la organización.
Autorización basada en el servidor ACME: Permite a la autoridad de certificación controlar la autenticación y la autorización del dispositivo. Las entidades de confianza solo evalúan si el certificado es válido y si ha sido emitido por una autoridad de certificación de confianza.
Autorización diferencial: El servidor ACME es responsable de la autenticación, y las entidades de confianza realizan la autorización en función de la autenticación. Esto permite que cada entidad de confianza tome su propia decisión de autorización diferencial.
Salvaguardar el modelo de implementación del canal de gestión de dispositivos
El protocolo de gestión de dispositivos requiere que el dispositivo se autentique ante el servicio de gestión de dispositivos mediante una identidad de cliente. Esta identidad se aprovisiona durante la inscripción del dispositivo. En este modelo de implementación, se usa la atestación ACME para aprovisionar la identidad del cliente. Esto proporciona al servicio de gestión de dispositivos una garantía muy alta de que cada conexión entrante se inició desde el mismo dispositivo Apple legítimo que se inscribió. Cuando la inscripción no es una inscripción de usuario, el servicio de gestión de dispositivos también dispone de pruebas muy sólidas del número de serie y el UDID del dispositivo.
En este modelo de implementación, los dispositivos gestionados solo usan las identidades emitidas para autenticarse en el servicio de gestión de dispositivos. Esto significa que el servicio de gestión de dispositivos también es la entidad de confianza y, por lo general, la instancia que emite los certificados.
Para usar este modelo de implementación, la identidad se aprovisiona durante la inscripción proporcionando al dispositivo un perfil de inscripción que incluye una carga útil ACME (aunque es posible “actualizar” una inscripción existente que no usara inicialmente la certificación de dispositivos gestionados). A partir de la información proporcionada, el dispositivo contacta con el componente ACME del servicio de gestión de dispositivos para solicitar un certificado. También se pueden usar reglas personalizadas, pero normalmente se emite un certificado si:
Al dispositivo se le conoce de antemano; por ejemplo, porque está registrado en Apple School Manager o Apple Business Manager.
El dispositivo está relacionado con una inscripción autenticada por un usuario.
Después de que el dispositivo se inscribe, el servicio de gestión de dispositivos puede retener las aplicaciones, configuraciones y cuentas hasta que cumpla con los requisitos de la organización. Para ello, utiliza la atestación de información del dispositivo, que permite verificar propiedades dinámicas como la versión del sistema operativo y el estado de FileVault.
El mismo enfoque se puede usar para solicitar una atestación nueva cuando se produzcan cambios importantes.
Una configuración más compleja de este escenario implicaría el uso de un servidor ACME externo al servicio de gestión de dispositivos. Para ello, es necesario integrar el servicio ACME con el servicio de gestión de dispositivos. Esta integración permite obtener información sobre el dispositivo y el estado de autenticación durante la inscripción, o bien emitir certificados que contengan datos persistentes de atestación, de modo que el servicio de gestión de dispositivos pueda evaluar el nivel de confianza del dispositivo.
Modelo de implementación de autorización basada en el servidor ACME
En este modelo de implementación, la autorización de un dispositivo se basa únicamente en si el certificado emitido es de confianza. Durante el flujo de ACME, el servidor ACME decide si emitir un certificado. Si para tomar la decisión necesita otra información distinta a la que contiene el certificado de atestación, debe recopilarla. El servidor ACME solo emite un certificado si se ha pasado su evaluación de confianza y el dispositivo cumple los criterios definidos por la organización.
Por ejemplo, si en tu organización se exige que los dispositivos autorizados estén inscritos en un servicio de gestión de dispositivos, debe haber una conexión entre el ACME y el servicio de gestión de dispositivos.
Este modelo de implementación funciona mejor cuando hay muchas entidades de confianza que utilizan las mismas condiciones de autorización. Tras la evaluación de confianza ‘or parte del servidor ACME, las entidades de confianza solo tienen que realizar la validación de certificados estándar y la evaluación de confianza para verificar el acceso.
Nota: Según tus requisitos de seguridad, podrías considerar cómo la implementación gestiona los dispositivos que han perdido su autorización, por ejemplo, ajustando la validez de los certificados o la comprobación de la revocación por la entidad de confianza.
Modelo de implementación de autorización diferencial
En este modelo de implementación, el servidor ACME solo es responsable de emitir un certificado que autentique al dispositivo. Las entidades de confianza determinan la autorización cada vez que evalúan el certificado de identidad del dispositivo y aplican sus propias reglas de autorización individuales.
El servidor ACME debe incluir en el certificado emitido toda la información sin estado que necesiten las entidades de confianza para identificar y autorizar el dispositivo, por ejemplo, cualquier dato que haya recibido el servidor en el certificado de atestación.
Cuando el dispositivo se conecta, además de verificar la confianza del certificado emitido, la entidad de confianza también puede consultar el servicio de gestión de dispositivos para obtener información sobre cualquier propiedad dinámica. Esto permite que las decisiones de autorización se basen en información actualizada y también pueden admitir eventos de desautorización y reautorización. Dependiendo de los requisitos de la organización y la relevancia de la entidad de confianza, las decisiones de autorización también se pueden almacenar en caché durante un periodo de tiempo determinado para gestionar eventos de conexión repetidos y acelerar las decisiones de autorización.