Hallitun laitteen todennuksen käyttöönotto
Hallitun laitteen todennus on tehokas hallittuja laitteita suojaava teknologia, joka voi auttaa estämään monentyyppisiä hyökkäyksiä, kuten laitteen ominaisuuksien hämärtämisen, avainten paljastumisen ja toisena esiintymisen. Hallitun laitteen todennus koostuu kahdesta teknologiasta:
Laitetietojen todennus tarjoaa vastauksena laitehallintapalvelun
DeviceInformation-kyselyyn hallitun laitteen todennetut ominaisuudet. Tämä tarjoaa laitehallintapalvelulle tärkeitä tietoturva- ja vaatimustenmukaisuustietoja laitteesta.ACME-todennus varmistaa laitteen identiteetin varmenteen käyttäjille. Se provisioi laitteen laiteidentiteetin. Kun asiakas pyytää varmennetta ACME-palvelimelta, se tarjoaa kyseiset todennetut ominaisuudet.
Nämä kaksi teknologiaa muodostavat vahvan perustan, jonka avulla voit luoda Apple-laitteisiin perustuvan nollaluottamusarkkitehtuurin. On tärkeää huomioida se, että organisaatiot saavat tietoturvahyötyjä vain, jos hallittuihin laitteisiin perustuvassa käyttöönottomallissa käytetään todennuksia oikein. Tällä sivulla kuvataan muutamia mahdollisia käyttöönottomalleja.
Komponentit
Hallitun laitteen todennukseen perustuva käyttöönotto sisältää seuraavat komponentit:
Laite: Hallittu laite, joka on iPhone, iPad, Mac, Apple TV tai Apple Vision Pro.
Laitehallintapalvelu: Palvelu, joka hallitsee laitteita laitehallintaprotokollalla.
ACME-palvelin: Palvelin, joka myöntää laitteille asiakasvarmenteet.
Varmenteen käyttäjät: Identiteetin varmenteen käyttäjät. Näitä ovat esimerkiksi verkkopalvelimet, VPN-palvelimet ja allekirjoitettujen sähköpostiviestien vastaanottajat. Myös laitehallintapalvelu toimii varmenteen käyttäjänä.
Käyttöönottomallit
Tässä dokumentissa kuvataan kolme entistäkin joustavampaa käyttöönottomallia, jotka vastaavat kasvaviin infrastruktuurin ja integraatioiden vaatimuksiin:
Laitehallintakanavan suojaaminen: Tämä malli vahvistaa laitteen ja laitehallintapalvelun välistä kommunikaatiota. Se varmistaa, että laitehallintapalvelu tietää, mitä laitetta se hallitsee, ja tarjoaa vahvat todisteet siitä, että laite noudattaa organisaation käytäntöjä.
ACME-palvelimella tehtävä valtuutus: Tämä antaa laitteen todennuksen ja valtuutuksen hallinnan varmentajalle. Varmenteen käyttäjät arvioivat vain, onko varmenne kelvollinen ja onko se myöntänyt luotettu varmentaja.
Erotteleva valtuutus: ACME-palvelin vastaa todentamisesta ja varmenteen käyttäjät tekevät valtuutuksen todentamisen perusteella. Näin jokainen varmenteen käyttäjä voi tehdä oman, erilaisen valtuutuspäätöksen.
Laitehallintakanavan suojaamisen käyttöönottomalli
Laitehallintaprotokolla edellyttää, että laite todentaa itsensä laitehallintapalvelulle asiakasidentiteetillä. Tämä identiteetti provisioidaan laitteen rekisteröinnin aikana. Tässä käyttöönottomallissa asiakasidentiteetin provisiointi käyttää ACME-todennusta. Näin laitehallintapalvelu saa erittäin vahvan varmuuden siitä, että jokainen saapuva yhteys tulee samalta, rekisteröityneeltä ja oikealta Apple-laitteelta. Kun rekisteröinti ei ole käyttäjärekisteröinti, laitehallintapalvelulla on myös erittäin vahvat todisteet laitteen sarjanumerosta ja UDID:stä.
Tässä käyttöönottomallissa vain hallitut laitteet käyttävät myönnettyjä identiteettejä todentaakseen itsensä laitehallintapalvelulle. Tämä tarkoittaa, että laitehallintapalvelu on myös varmenteen käyttäjä ja yleensä se taho, joka myöntää varmenteet.
Tämän käyttöönottomallin käyttö edellyttää, että identiteetti provisioidaan rekisteröinnin yhteydessä antamalla laitteelle rekisteröintiprofiili, joka sisältää ACME-tietosisällön (vaikkakin on mahdollista ”päivittää” olemassa oleva rekisteröinti, joka ei alun perin käyttänyt hallitun laitteen todennusta). Näiden tietojen avulla laite ottaa yhteyden laitehallintapalvelun ACME-komponenttiin ja pyytää varmennetta. Myös muokattuja sääntöjä voidaan käyttää, mutta yleensä varmenne myönnetään, jos:
Laitteen tunnetaan etukäteen esimerkiksi siksi, että se on rekisteröity Apple School Manageriin tai Apple Business Manageriin.
Laite liittyy käyttäjän todentamaan rekisteröintiin.
Kun laite on rekisteröity, laitehallintapalvelu voi lisäksi olla luovuttamatta appeja, määrityksiä ja tilejä siihen saakka, kunnes laite täyttää organisaation vaatimukset, kyselemällä laitetietojen todennuksen avulla todennettuja dynaamisia ominaisuuksia, kuten käyttöjärjestelmän versiota ja FileVault-tilaa.
Samaa tapaa voidaan käyttää uuden todennuksen pyytämiseen, kun tapahtuu merkittäviä muutoksia.
Tämän käyttöönoton monimutkaisemmassa käyttötilanteessa ACME-palvelin ei ole osa laitehallintapalvelua. Tämä vaatii joko integroinnin ACME-palvelimen ja laitehallintapalvelun välille, jotta voidaan hakea tietoja laitteesta ja rekisteröinnin todentamisen tilasta, tai todennuksen pysyviä tietoja sisältävien varmenteiden myöntämisen, jotta laitehallintapalvelu voi arvioida sen luotettavuuden.
ACME-palvelimella tehtävä valtuutuksen käyttöönottomalli
Tässä käyttöönottomallissa laitteen valtuutus perustuu ainoastaan siihen, luotetaanko myönnettyyn varmenteeseen. ACME-työnkulussa ACME-palvelin päättää, myöntääkö se varmenteen. Jos päätös vaatii muita kuin todennusvarmenteen sisältämiä tietoja, ACME-palvelimen on kerättävä ne. ACME-palvelin myöntää varmenteen vain, jos varmenne läpäisee sen luottamusarvioinnin ja laite täyttää organisaation määrittämät ehdot.
Jos organisaatiosi esimerkiksi edellyttää, että valtuutetut laitteet on rekisteröity laitehallintapalveluun, ACME-palvelimen ja laitehallintapalvelun välillä on oltava yhteys.
Tämä käyttöönottomalli toimii parhaiten, kun samoja valtuutusehtoja käyttäviä varmenteen käyttäjiä on useita. Kun ACME-palvelin on arvioinut luottamuksen, varmenteen käyttäjien on tehtävä ainoastaan tavallinen varmenteen tarkistus ja luottamuksen arviointi, jotta ne voivat vahvistaa käyttöoikeuden.
Huomaa: Riippuen siitä, millaiset tietoturvatarpeesi ovat, kannattaa ottaa huomioon se, miten käyttöönottomallissa käsitellään laitteita, jotka ovat menettäneet valtuutuksensa. Voit esimerkiksi mukauttaa varmenteiden käyttöaikoja tai hyödyntää varmenteen käyttäjän tekemää varmenteen poiston tarkistusta.
Erotteleva valtuutuksen käyttöönottomalli
Tässä käyttöönottomallissa ACME-palvelimen tehtävänä on vain myöntää varmenne, jolla laite todennetaan. Varmenteen käyttäjät määrittävät valtuutuksen aina, kun ne arvioivat laitteen identiteettivarmennetta ja käyttävät omia, yksilöllisiä valtuutussääntöjään.
ACME-palvelimen tulisi sisällyttää myönnettyyn varmenteeseen kaikki tilattomat tiedot, joita varmenteiden käyttäjät tarvitsevat laitteen tunnistamiseen ja valtuuttamiseen, kuten kaikki tiedot, jotka ACME-palvelin on saanut todennusvarmenteesta.
Kun laite muodostaa yhteyden, varmenteen käyttäjä voi myönnetyn varmenteen luottamuksen tarkistamisen lisäksi myös kysellä laitehallintapalvelulta dynaamisia ominaisuuksia. Näin valtuutuspäätökset voivat perustua ajantasaiseen tietoon, ja myös valtuutuksen poistamista ja uudelleenvaltuutusta voidaan tukea. Organisaation vaatimuksista ja varmenteen käyttäjien kriittisyydestä riippuen valtuutuspäätökset voidaan myös tallentaa välimuistiin tietyksi ajaksi toistuvien yhteydenmuodostustapahtumien käsittelyä ja nopeampaa valtuutuspäätösten tekoa varten.