macOS-tuotteiden tietoturvasertifikaatit, validoinnit ja ohjeita

Tässä artikkelissa on viitteitä macOS-käyttöjärjestelmäversioiden keskeisiin tuotesertifikaatteihin, salaukseen liittyviin validointeihin sekä suojausohjeisiin. Jos sinulla on kysyttävää, ota meihin yhteyttä osoitteessa security-certifications@apple.com.

Salausmoduulien validoinnit

Kaikki Apple FIPS 140-2 -vaatimustenmukaisuusvalidointivarmenteet ovat CMVP:n valmistajasivulla. Apple osallistuu aktiivisesti CoreCrypton ja CoreCrypto Kernel -moduulien validointiin kaikkien macOS-pääversioiden päivitysten yhteydessä. Validointi voidaan suorittaa vain moduulin lopulliselle julkaisuversiolle ja se julkaistaan virallisesti OS:n julkaisun yhteydessä. CMVP ylläpitää salausmoduulien validointitietoja nykyään kahtena erillisenä luettelona riippuen moduulin senhetkisestä tilasta. Moduulit alkavat Implementation Under Test List -luettelosta ja jatkuvat Modules in Process List -luetteloon.

macOS Mojave

Apple osallistuu aktiivisesti myöhemmin tänä vuonna julkaistavassa macOS Mojavessa käytettävien CoreCrypto v9.0 -moduulien validointiin.

macOS High Sierra

Aiemmat versiot

Näissä aiemmissa OS X -versioissa oli salausmoduulien validoinnit ja ne on nyt arkistoitu:

  • OS X Yosemite 10.10
  • OS X Mavericks 10.9
  • OS X Mountain Lion 10.8
  • OS X Lion 10.7
  • OS X Snow Leopard 10.6

Tietoturvakonfigurointioppaat

Tietoturvaan erikoistuneet organisaatiot tarjoavat tarkasti määritettyä ja tarkistettua opastusta eri alustojen määrittämiseksi hyväksyttyihin käyttötarkoituksiin. Tietoturvakonfigurointioppaissa on yleiskatsaus OS X:n ja iOS:n ominaisuuksista, joilla voi parantaa laitteen suojausta. Eri valtioiden viranomaiset ovat tehneet yhteistyötä Applen kanssa ja kehittäneet oppaita, joissa on ohjeita ja suosituksia turvallisemman käyttöympäristön ylläpitämisestä. 

Oppaiden käyttö edellyttää, että olet kokenut käyttäjä tai järjestelmän ylläpitäjä, tunnet käyttöliittymän ja että sinulla on jonkin verran käytännön tuntemusta kohdekäyttöympäristön hallintatyökaluista. On hyvä tuntea verkkoyhteyksiin liittyvät peruskäsitteet. Jotkin oppaiden ohjeet ovat monimutkaisia, ja poikkeaminen niistä voi johtaa haittavaikutuksiin tai heikentyneeseen suojaan. Testaa kaikki laitteiden asetuksiin tehdyt muutokset huolellisesti ennen käyttöönottoa.

Lue lisää macOS Security Guide -oppaasta (PDF).

 
macOS High Sierra 10.13                 
macOS Sierra 10.12 OS X El Capitan 10.11

Apple
SCAP-On-Apple SCAP-On-Apple SCAP-on-Apple

Iso-Britannia
(NCSC)
EUD Security Guidance: macOS 10.13 High Sierra End User Devices Security Guidance End User Devices Security Guidance

End User Devices Security Guidance
 (PDF)

OS X 10.11 -valmistelukomentosarja

Yhdysvallat
(DISA, NIST ja NSA)
macOS STIGs

macOS 10.12 Workstation STIG

NIST Checklist

Apple OS X 10.11 Workstation STIG

Tietoturvasertifikaatit

Luettelo Applen julkisesti tunnistetuista, aktiivisista ja valmiista sertifikaateista.

ISO 27001- ja 27018-sertifikaatit

Applella on ISO 27001- ja ISO 27018 -sertifikaatit infrastruktuurin, kehityksen ja käytön tietoturvan hallintajärjestelmälle, joka tukee seuraavia tuotteita ja palveluita: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, hallitut Apple ID:t, Siri ja Koulutyöt 11. heinäkuuta 2017 päivätyn soveltuvuuslausunnon (versio 2.1) mukaisesti. British Standards Institution standardoi Applen yhdenmukaisuuden ISO-standardien kanssa. BSI:n sivustossa on ISO 27001:n ja ISO 27018:n vaatimustenmukaisuussertifikaatit.

Common Criteria -sertifiointi

Common Criteria -yhteisön tavoitteena on luoda kansainvälisesti hyväksytyt tietoturvastandardit, joiden avulla voidaan selkeästi ja luotettavasti arvioida IT-tuotteiden tietoturvaominaisuuksia. Common Criteria -sertifiointi tarjoaa riippumattoman arvioinnin tuotteen kyvystä täyttää tietoturvastandardit. Näin asiakkaat voivat paremmin luottaa IT-tuotteiden tietoturvaan ja tehdä valistuneempia päätöksiä.

CCRA (Common Criteria Recognition Arrangement) -järjestelyssä jäsenmaat ovat sopineet, että ne tunnustavat IT-tuotteiden sertifioinnin samalla luotettavuustasolla. Jäsenmäärä sekä suojausprofiilien syvyys ja kattavuus kasvavat vuosi vuodelta uusien teknologioiden myötä. Tämän sopimuksen myötä tuotteen kehittäjä voi hakea yhtä sertifiointia minkä tahansa valtuuttavan järjestelmän puitteissa.

Jos et ole tutustunut äskettäiseen uuden Common Criterian mukaiseen sertifiointikäytännön uudelleenjärjestelyyn, huomaa, että arviointitasoja (EAL#) ei enää käytetä. Aiemmat suojausprofiilit on arkistoitu, ja niitä on alettu korvata kehittämällä kohdistettuja suojausprofiileita, jotka keskittyvät tiettyihin ratkaisuihin ja ympäristöihin. Jotta CCRA:n jäsenet jatkossakin noudattaisivat vastavuoroisen tunnustamisen periaatetta, iTC (International Technical Community) vie suojausprofiilien kehittämistä ja päivityksiä kohti cPP-profiileja (Collaborative Protection Profiles). Niiden kehitystyössä useat järjestelmät ovat alusta pitäen mukana.

Apple on hakenut tiettyjen suojausprofiilien mukaisia sertifiointeja uuden Common Criteria -järjestelyn puitteissa alkuvuodesta 2015 lähtien. Applen julkiset, aktiiviset ja suoritetut sertifioinnit ovat alla.

macOS

Apple osallistuu aktiivisesti macOS:n General Purpose Operating System Protection Profile -suojausprofiilin mukaiseen validointiin. 

Epävakausilmoitukset

Valtion virastot ja niiden alihankkijat, jotka tarvitsevat epävakausilmoituksen tuotteen valmistajalta, saavat ilmoituksen lähettämällä sähköpostitse pyynnön osoitteeseen AppleFederal@apple.com. Pyynnössä täytyy ilmoittaa pyynnön esittävä virasto, Apple-tuotteen nimi, tuotteen sarjanumero sekä viraston tekninen yhteyshenkilö.

Muut käyttöjärjestelmät

Lue lisätietoja tuotteiden suojauksesta, validoinneista ja ohjeista:

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: