VPN-yleiskatsaus Applen laitteiden käyttöönottoa varten
iOS, iPadOS, macOS, tvOS, visionOS ja watchOS voivat yhdistää suojatusti yksityisiin yritysverkkoihin vakiintuneilla standardien mukaisilla VPN-protokollilla.
Tuetut protokollat
iOS, iPadOS, macOS, tvOS, visionOS ja watchOS tukevat seuraavia protokollia ja todentamismenetelmiä:
IKEv2: Tuki sekä IPv4:lle että IPv6:lle ja seuraaville:
Kvanttiturvallisuus: Laitteet, joissa on iOS 26, iPadOS 26, macOS 26, tvOS 26, visionOS 26 tai watchOS 26 tai uudempi, voidaan määrittää suorittamaan ylimääräisiä avaimen vaihtoja ML-KEM-mekanismilla kvanttiturvallista salausta varten.
Todentamismenetelmät Jaettu salaisuus, varmenteet, EAP-TLS ja EAP-MSCHAPv2
Suite B ‑salausalgoritmit: ECDSA-varmenteet, ESP-salaus + GCM ja ECP-ryhmät Diffie-Hellman-ryhmälle
Lisäominaisuudet: MOBIKE, IKE-fragmentointi, palvelimen uudelleenohjaus, jaettu tunneli
iOS, iPadOS, macOS, tvOS ja visionOS tukevat myös seuraavia protokollia ja todentamismenetelmiä:
L2TP over IPsec: käyttäjä todennetaan MS-CHAPV2-salasanalla ja kone todennetaan jaetulla salaisuudella
macOS voi myös käyttää RSA SecurID:tä tai CRYPTOCardia.
Cisco IPsec: käyttäjä todennetaan salasanalla, RSA SecurID:llä tai CRYPTOCardilla
macOS voi myös käyttää Kerberosta koneen todentamiseen jaetulla salaisuudella.
Jos organisaatio tukee näitä protokollia, Applen laitteiden yhdistämiseen organisaation VPN-verkkoon ei tarvita lisämäärityksiä tai muiden valmistajien appeja.
Tukeen sisältyvät sellaiset teknologiat kuten IPv6, välipalvelimet ja jaettu tunnelointi. Jaettu tunnelointi tarjoaa joustavan VPN-käyttökokemuksen organisaation verkkoihin yhdistettäessä.
Lisäksi kehittäjät voivat luoda verkkolaajennuskehystä käyttäen iOS:lle, iPadOS:lle, macOS:lle, tvOS:lle ja visionOS:lle räätälöidyn VPN-ratkaisun. Useilla VPN-tarjoajilla on appeja, jotka auttavat määrittämään Apple-laitteet heidän ratkaisujaan varten. Kun haluat määrittää laitteen tiettyä ratkaisua varten, asenna toimittajan oheisappeja ja tarjoa tarvittaessa asetusprofiili, jossa on tarvittavat asetukset.
VPN On Demand
Applen laitteet, joissa on iOS, iPadOS, macOS, tvOS tai visionOS, voivat muodostaa VPN On Demandilla yhteyden automaattisesti tarvittaessa. Se vaatii todentamismenetelmän, johon ei liity käyttäjän toimintaa, kuten varmennepohjaisen todentamisen. VPN On Demand määritetään OnDemandRules-avaimella asetusprofiilin VPN-tietosisällössä. Sääntöjä käytetään kahdessa vaiheessa:
Verkon tunnistusvaihe: Määrittelee VPN-vaatimukset, joita käytetään laitteen ensisijaisen verkkoyhteyden vaihtuessa.
Yhteyden arviointivaihe: Määrittelee VPN-vaatimukset yhteyspyynnöille domain-nimiin tarpeen mukaan.
Sääntöjä voidaan käyttää esimerkiksi:
Tunnistamaan, kun Applen laite on yhteydessä sisäiseen verkkoon, ja VPN:ää ei tarvita.
Tunnistamaan, kun käytetään tuntematonta Wi-Fi-verkkoa ja vaatimaan VPN:ää.
Käynnistämään VPN:n, kun määritetyn domain-nimen DNS-pyyntö epäonnistuu.
Appikohtainen VPN
Laitteissa, joissa on iOS, iPadOS, macOS, visionOS tai valvottu watchOS, VPN-yhteyksiä voidaan muodostaa appikohtaisesti. Tämä tarjoaa tarkemman hallinnan sen suhteen, mikä data kulkee VPN:n kautta. Kyky erottaa liikenne appitasolla mahdollistaa henkilökohtaisten tietojen ja organisaatiolle kuuluvien tietojen erottamisen. Se tarjoaa turvallisen verkon sisäisessä käytössä oleville apeille ja suojaa samalla henkilökohtaisen laitteen toimintojen yksityisyyden.
Appikohtainen VPN sallii jokaisen laitehallintapalvelulla hallitun apin kommunikoida yksityisen verkon kanssa suojatun tunnelin kautta. Samalla se estää hallitsemattomia appeja käyttämästä yksityistä verkkoa. Voit parantaa datan suojausta määrittämällä hallittuihin appeihin erilaiset VPN-yhteydet. Esimerkiksi myyntitarjousappi voisi käyttää aivan eri datakeskusta kuin ostoreskontra-appi.
Kun olet luonut appikohtaisen VPN:n jollekin VPN-määritykselle, sinun pitää yhdistää kyseinen yhteys appeihin, jotka käyttävät sitä, jotta appien verkkoliikenne suojataan. Tämä tehdään appikohtaiseen VPN:ään yhdistävällä tietosisällöllä (macOS) tai määrittämällä VPN-määritys apin asennuskomennossa (iOS, iPadOS, macOS, visionOS 1.1).
Appikohtainen VPN voidaan määrittää toimimaan iOS:n, iPadOS:n, watchOS:n ja visionOS 1.1:n sisäisen IKEv2 VPN ‑asiakkaan kanssa. Jos haluat tietoja appikohtaisen VPN:n tuesta räätälöidyissä VPN-ratkaisuissa, ota yhteys VPN-toimittajiin.
Huomaa: Appikohtaisen VPN:n käyttäminen iOS:ssä, iPadOS:ssä, watchOS 10:ssä ja visionOS 1.1:ssä edellyttää, että appi on laitehallintapalvelun hallitsema.
Aina päällä -VPN
IKEv2:lle saatavilla olevalla Aina päällä ‑VPN:llä organisaatio voi hallita täydellisesti iOS:n, iPadOS:n ja visionOS:n liikennettä tunneloimalla kaiken IP-liikenteen takaisin organisaatioon. Organisaatiot voivat nyt tarkkailla ja suodattaa laitteiden välillä tapahtuvaa liikennettä, suojata organisaation verkossa olevia tietoja ja rajoittaa laitteiden pääsyä internetiin.
Aina päällä -VPN:n aktivointia varten laitteiden on oltava valvottuja. Kun Aina päällä -VPN -profiili on asennettu laitteeseen, Aina päällä -VPN aktivoituu automaattisesti ilman käyttäjän toimenpiteitä ja pysyy aktiivisena (myös aina kun laite käynnistetään uudelleen), kunnes Aina päällä -VPN-profiilin asennus poistetaan.
Kun Aina päällä -VPN on aktiivisena laitteella, VPN-tunnelin rakentaminen ja purkaminen on sidottu liitännän IP:n tilaan. Kun liittymä pääsee IP-verkon ulottuville, se pyrkii muodostamaan tunnelin. Kun liitännän IP-tila heikkenee, tunneli puretaan.
Aina päällä -VPN tukee myös liitäntäkohtaisia tunneleita. Laitteissa, joissa on mobiiliyhteys, on yksi tunneli jokaiselle aktiiviselle IP-liitännälle (yksi mobiililiitännälle ja yksi Wi-Fi-liitännälle). Niin kauan kuin VPN-tunnelit ovat olemassa, kaikki IP-liikenne tunneloidaan. Liikenteellä tarkoitetaan kaikkea IP-reititettyä ja IP-alueista liikennettä (liikennettä saman valmistajan apista, kuten FaceTime ja Viestit). Jos tunneleita ei ole, kaikki IP-liikenne hylätään.
Kaikki laitteelta tunneloitu liikenne saavuttaa VPN-palvelimen. Voit käyttää valinnaisia suodatus- ja valvontakäsittelyjä ennen liikenteen ohjaamista kohteeseensa organisaation verkossa tai internetissä. Vastaavasti laitteeseen tuleva liikenne reititetään organisaation VPN-palvelimelle, joissa voidaan käyttää suodatus- ja/tai valvontaprosesseja ennen laitteelle ohjaamista.
Huomaa: Apple Watch ‑laiteparia ei tueta Aina päällä ‑VPN:n kanssa.
Läpinäkyvä välipalvelin
Läpinäkyvät välipalvelimet ovat erityinen VPN-tyyppi macOS:lle, ja niitä voidaan käyttää eri tavoin verkkoliikenteen valvomiseen ja muuttamiseen. Tavallisia käyttökohteita ovat sisällönsuodatusratkaisut ja välittäjät, joiden avulla käytetään pilvipalveluita. Erilaisten käyttötarkoitusten vuoksi kannattaa määritellä, missä järjestyksessä välipalvelimet näkevät liikenteen ja käsittelevät sitä. Esimerkiksi verkkoliikennettä suodattavan välipalvelimen pitäisi toimia ennen liikennettä salaavaa välipalvelinta. Se toteutetaan määrittelemällä järjestys VPN-tietosisällössä.