Déployer l’attestation d’appareil géré
L’attestation d’appareil géré est une technologie puissante qui permet de sécuriser les appareils gérés et de contrecarrer de nombreux types d’attaques, notamment l’obscurcissement des propriétés de l’appareil, l’extraction de clés et l’usurpation d’identité. L’attestation d’appareil géré repose sur deux technologies :
L’attestation des propriétés de l’appareil fournit des propriétés attestées d’un appareil géré en réponse à la requête
DeviceInformationdu service de gestion des appareils. Cela fournit au service de gestion des appareils des informations importantes de sécurité et de conformité concernant un appareil.Lʼattestation ACME prouve lʼidentité dʼun appareil aux parties qui sʼy fient. Elle fournit une identité liée au matériel sur un appareil. Lorsque le client requiert un certificat auprès d’un serveur ACME, il fournit ces mêmes propriétés attestées.
Ces deux technologies constituent des bases solides vous permettant de créer une architecture de confiance zéro basée sur des appareils Apple. Il est important de noter que les organisations ne bénéficient d’avantages en matière de sécurité que si le modèle de déploiement construit autour d’appareils gérés intègre correctement les attestations. Cette page décrit quelques modèles de déploiement possibles.
Composants
Un modèle de déploiement autour de l’attestation d’appareil géré implique les composants suivants :
L’appareil : l’appareil géré, qui est un iPhone, un iPad, un Mac, une Apple TV ou un Apple Vision Pro.
Le service de gestion des appareils : le service gérant les appareils utilisant le protocole de gestion des appareils.
Le serveur ACME : le serveur qui émet des certificats clients aux appareils.
Parties dépendantes : les parties qui consomment le certificat de l’identité. Il s’agit notamment de serveurs web, de serveurs VPN, de destinataires d’e-mails signés, etc. Le service de gestion des appareils agit également en tant que partie requérante.
Modèles de déploiement
Ce document décrit trois modèles de déploiement offrant une flexibilité croissante ainsi qu’une demande accrue en matière d’exigences d’infrastructure et d’intégrations :
Sécuriser le canal de gestion des appareils : ce modèle renforce la communication entre un appareil et le service de gestion des appareils. Il garantit que le service de gestion des appareils sait quel appareil il gère et fournit des preuves solides que l’appareil est conforme aux politiques organisationnelles.
Autorisation pilotée par le serveur ACME : l’autorité de certification peut ainsi contrôler l’authentification et l’autorisation de l’appareil. Les parties qui s’appuient sur ce certificat ne vérifient que sa validité et son émission par une autorité de certification de confiance.
Autorisation différentielle : le serveur ACME est responsable de l’authentification, et les parties requérantes effectuent l’autorisation en fonction de l’authentification. Cela permet à chaque partie prenante de prendre sa propre décision d’autorisation différentielle.
Sécurisez le modèle de déploiement du canal de gestion des appareils
Le protocole de gestion des appareils requiert que l’appareil s’authentifie auprès du service de gestion des appareils en utilisant une identité client. Cette identité est fournie lors de l’inscription de l’appareil. Dans ce modèle de déploiement, la fourniture de l’identité du client utilise l’attestation ACME. Ceci donne au service de gestion des appareils lʼassurance que chaque connexion entrante a été initiée par le même appareil Apple légitime qui sʼest inscrit. Lorsque l’inscription n’est pas une inscription d’utilisateur, le service de gestion des appareils dispose également d’une preuve très forte du numéro de série et de l’UDID de l’appareil.
Dans ce modèle de déploiement, les identités émises ne sont utilisées que par les appareils gérés pour s’authentifier auprès du service de gestion des appareils. Cela signifie que le service de gestion des appareils est également l’entité de confiance et généralement l’instance émettant les certificats.
Pour utiliser ce modèle de déploiement, l’identité est fournie au moment de l’inscription en fournissant à l’appareil un profil d’inscription comprenant des données utile ACME (bien qu’il soit possible de « mettre à niveau » une inscription existante qui n’utilisait pas initialement l’attestation d’appareil géré). À l’aide des informations fournies, l’appareil contacte le composant ACME du service de gestion des appareils pour demander un certificat. Vous pouvez également utiliser des règles personnalisées, mais généralement un certificat est délivré si :
l’appareil est connu à l’avance, par exemple parce qu’il est enregistré dans Apple School Manager ou Apple Business Manager ;
l’appareil est associé à une inscription authentifiée par un utilisateur.
Après l’inscription de l’appareil, le service de gestion des appareils peut également bloquer des apps, des configurations et des comptes jusqu’à ce que l’appareil réponde aux exigences organisationnelles en utilisant l’attestation d’informations d’appareil pour interroger des propriétés dynamiques attestées telles que la version du système d’exploitation et l’état de FileVault.
La même approche peut être utilisée pour demander une attestation à jour lorsque des modifications pertinentes surviennent.
Une configuration plus complexe pour ce scénario implique un serveur ACME externe au service de gestion des appareils. Cela requiert soit une intégration entre ACME et le service de gestion des appareils pour récupérer des informations concernant l’appareil et l’état d’authentification de l’inscription, soit l’émission de certificats qui incluent des informations persistantes provenant de l’attestation pour permettre au service de gestion des appareils d’effectuer son évaluation de confiance.
Modèle de déploiement d’autorisation piloté par le serveur ACME
Dans ce modèle de déploiement, l’autorisation d’un appareil est uniquement basée sur la confiance accordée au certificat émis. Pendant le processus ACME, le serveur ACME décide d’émettre ou non un certificat. Si la décision requiert des informations autres que celles figurant dans le certificat d’attestation, le serveur ACME doit les recueillir. Le serveur ACME n’émet un certificat que si son évaluation de confiance est réussie et que l’appareil remplit les critères définis par l’organisation.
Par exemple, si votre organisation exige que les appareils autorisés soient inscrits à un service de gestion des appareils, une connexion doit être établie entre ACME et le service de gestion des appareils.
Ce modèle de déploiement fonctionne mieux lorsqu’il y a de nombreux utilisateurs qui utilisent les mêmes conditions d’autorisation. Une fois que le serveur ACME a effectué son évaluation de la fiabilité, les parties dépendantes n’ont qu’à effectuer une validation et une évaluation de fiabilité standard du certificat pour vérifier l’accès.
Remarque : selon vos exigences de sécurité, vous pouvez envisager comment le déploiement gère les appareils ayant perdu leur autorisation, par exemple en ajustant la durée de vie des certificats ou en vérifiant la révocation effectuée par la partie requérante.
Modèle de déploiement d’autorisation différentiel
Dans ce modèle de déploiement, le serveur ACME est uniquement responsable de l’émission d’un certificat qui authentifie l’appareil. Les parties qui s’appuient sur ces informations déterminent l’autorisation à chaque fois qu’elles évaluent le certificat d’identité de l’appareil et appliquent leurs propres règles d’autorisation individuelles.
Le serveur ACME doit inclure dans le certificat émis toute information sans état dont les parties prenantes ont besoin pour identifier et autoriser l’appareil, par exemple toute donnée que le serveur ACME a reçue dans le certificat d’attestation.
Lorsque l’appareil se connecte et, en plus de vérifier la confiance du certificat émis, la partie qui s’appuie sur ce dernier peut également interroger le service de gestion de l’appareil pour obtenir des propriétés dynamiques. Cela permet aux décisions d’autorisation de se baser sur des informations actualisées et peut également prendre en charge les événements de désautorisation et de réautorisation. Selon les exigences de l’établissement et le caractère critique de la partie requérante, les décisions d’autorisation peuvent également être mises en cache pendant une durée définie pour gérer les événements de connexion répétés et accélérer les décisions d’autorisation.