אישורים, אימותים ומשאבי הדרכה הקשורים לאבטחת מוצרים בפלטפורמות iOS

מאמר זה מכיל הפניות לאישורי מוצרים, אימותי הצפנה ומשאבי הדרכה חשובים בנושא אבטחה עבור פלטפורמות iOS. אם יש לכם שאלות, פנו אלינו לכתובת security-certifications@apple.com.

אימותים של מודולי הצפנה

כל האישורים המאמתים את התאימות של Apple לתקן FIPS 140-2 נמצאים בדף הספקים של תוכנית CMVP. Apple ממלאת תפקיד פעיל באימות של המודולים CoreCrypto ו-CoreCrypto Kernel בכל גרסה עיקרית של iOS. ניתן לבצע את האימות רק עבור הגרסה הסופית של המודול, וניתן להגיש אותו באופן רשמי רק עם הגרסה הציבורית של מערכת ההפעלה. מצבי האימות של מודולי ההצפנה מנוהלים כיום בתוכנית CMVP בשתי רשימות נפרדות, בהתאם למצב הנוכחי של כל מודול. המודולים מתחילים ברשימה הטמעה בבדיקה ולאחר מכן ממשיכים לרשימה מודולים בעיבוד.

iOS 12

מדריכים לקביעת תצורת האבטחה

ארגונים המתמקדים באבטחה מספקים משאבי הדרכה שהוגדרו היטב ונבחנו בקפידה, ושמוסבר בהם כיצד יש לקבוע את התצורה של פלטפורמות שונות כדי לאפשר שימוש מקובל. מדריכים לקביעת תצורת האבטחה מספקים סקירה כוללת של תכונות ב-macOS וב-iOS שאפשר לשפר באמצעותן את ההגנה; התהליך הזה נקרא "הקשחת המכשיר". ממשלות ברחבי העולם פועלות בשיתוף פעולה עם Apple בנושא זה. במסגרת שיתוף הפעולה, הן פיתחו מדריכים הכוללים הוראות והמלצות לניהול סביבה בעלת אבטחה משופרת. 

כדי להשתמש במדריכים האלו, עליכם להיות משתמשים מנוסים או מנהלי מערכת בפלטפורמה הרלוונטית, להכיר את ממשק המשתמש שלה ולדעת איך להשתמש בכלי הניהול שלה. בנוסף, רצוי להכיר מושגים בסיסיים בתחום העבודה ברשת. המדריכים כוללים בין השאר גם הוראות מורכבות. סטייה מההוראות עשויה להוביל לתוצאות שליליות או לרמת אבטחה נמוכה יותר. לפני הפריסה, עליכם לבדוק ביסודיות את כל השינויים שביצעתם בהגדרות המכשיר.

ניתן לקבל מידע נוסף במדריך בנושא אבטחה ב-iOS‏ ‏(PDF).

אישורי אבטחה

רשימה של אישורים פעילים של Apple שהושלמו ופורסמו באופן ציבורי.

אישור ISO 27001 ו-ISO 27018

Apple קיבלה אישורי ISO 27001 ו-ISO 27018 על כך שהטמיעה מערכת לניהול אבטחת מידע (ISMS) עבור התשתית, הפיתוח והתפעול שתומכים במוצרים ובשירותים הבאים: Apple School Manager‏, iTunes U‏, iCloud‏, iMessage‏, FaceTime, מזהי Apple ID מנוהלים, Siri ו-Schoolwork בהתאם לדרישות המפורטות ב-Statement of Applicability v2.2 (הצהרת הישימות) מתאריך 5 בנובמבר 2018. העמידה של Apple בדרישות של תקני ISO אושרה על-ידי מכון התקנים הבריטי (British Standards Institution – ‏BSI). אתר האינטרנט של ה-BSI כולל את אישורי התאימות עבור תקן ISO 27001 ותקן ISO 27018.

אישור Common Criteria

המטרה, כפי שהוגדרה על-ידי קהילת Common Criteria, היא שתקני בטיחות שאושרו ברמה הבינלאומית יספקו הערכה ברורה ואמינה לגבי יכולות האבטחה של מוצרי טכנולוגיות מידע. אישור Common Criteria מספק הערכה עצמאית של יכולתו של מוצר מסוים לעמוד בתקני אבטחה. בשל כך הוא מעניק ללקוחות ביטחון רב יותר ביכולות האבטחה של מוצרי טכנולוגיות מידע ומאפשר החלטות מושכלות יותר.

בהסכם Common Criteria Recognition Arrangement (‏CCRA‏), מדינות ואזורים הרשומים כחברים הסכימו להכיר באישור של מוצרי טכנולוגיות מידע באותה מידה של ביטחון. מספר החברים גדל משנה לשנה ופרופילי ההגנה זמינים ברמת פירוט מעמיקה יותר ובהיקף נרחב יותר כדי לתת מענה לטכנולוגיות חדשות. הסכם זה מאפשר למפתח מוצר לפעול לקבלת אישור מסוים דרך כל אחת ממסגרות האישור (Authorizing Schemes).

פרופילי הגנה שהיו בעבר הועברו לארכיון ובמקומם התחילו לפתח פרופילי הגנה ממוקדים המתמקדים בפתרונות ובסביבות ספציפיים. הקהילה הטכנית הבינלאומית (International Technical Community – ‏iTC) שואפת להבטיח את המשך ההכרה ההדדית של כל החברים החתומים על הסכם ה-CCRA. לשם כך נעשה מאמץ משותף להוביל לכך שכל עבודות הפיתוח והעדכון של פרופילי הגנה עתידיים יבוצעו בתהליך של פרופילי הגנה שיתופיים (Collaborative Protection Profiles – ‏cPP). אלו פרופילים שבפיתוחם מעורבות מסגרות מרובות כבר מהשלבים הראשונים.

מתחילת שנת 2015, פועלת Apple בכפוף לתהליך החדש של Common Criteria לקבלת אישורים המבוססים על פרופילי הגנה נבחרים. להלן רשימה של אישורים פעילים של Apple שהושלמו ופורסמו באופן ציבורי. 

iOS 12

 

פרופיל הגנה

VID

השלמה

מכשיר נייד

PP_MD_v3.1

10937

2019.03

רכיב MDM

EP_MDM_Agent_v3.0

10937

2019.03

רכיב WLAN

PP_WLAN_CLI_EP_v1.0

10937

2019.03

לקוח VPN

MOD_VPN_CLI_V2.1

10937

2019.03

תוכנת אפליקציה (אנשי קשר)

PP_APP_v1.2

10961

2019.02

דפדפן (Safari‏)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10960

מועד השלמה משוער: 2019.06

קישור למוצרים בהערכהk

iOS 11

 

פרופיל הגנה

VID

השלמה

מכשיר נייד

PP_MD_v3.1

10851

2018.03.30

רכיב MDM

EP_MDM_Agent_v3.0

10851

2018.03.30

רכיב WLAN

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

לקוח VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

תוכנת אפליקציה (אנשי קשר)

PP_APP_v1.2

10915

2018.09.13

דפדפן (Safari‏)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

2018.11.09

גרסאות קודמות

לגרסאות iOS קודמות היו אישורים שנמצאים כעת בארכיון:

  • iOS 10
  • iOS 9

פרסומים של עדכוני גרסה חשובים של פרופילי הגנה מאת קהילת Common Criteria צפויים לרוב לצאת כל 12-18 חודשים ולכלול דרישות אבטחה פונקציונליות (SFR) נוספות או מעודכנות.

בפורטל Common Criteria ניתן לראות רשימה מלאה של פרופילי ההגנה (PP‏), פרופילי ההגנה השיתופיים (cPP), כולל התאריכים שבהם הם בתוקף. ניתן גם לאתר אותם דרך המסגרת שבחרתם, כמו למשל המסגרת של ארה"ב, שנקראת National Information Assurance Partnership (‏NIAP).

אישור לשימוש ממשלתי

מידע ממדינות ומאזורים נבחרים שאישרו מכשירים לשימוש ממשלתי.

הממשלה האוסטרלית

סיכום מתוך הדף ‏רשימת מוצרים שעברו הערכה – EPL‏:

מינהל האותות האוסטרלי (Australian Signals Directorate – ‏ASD) מנהל רשימת מוצרים שעברו הערכה (EPL), הכוללת מוצרי אבטחה מתחום ה-ICT (טכנולוגיות מידע ותקשורת) שעברו הערכה על-ידי המינהל ואושרו לשימוש בסוכנויות ממשלתיות של אוסטרליה וניו-זילנד.

  • המוצרים ברשימת ה-EPL מאושרים למטרות ספציפיות.
  • מוצרים ברשימת ה-EPL יכולים לשמש לבניית מערכות ורשתות מאובטחות כמתואר במדריך לניהול אבטחת מידע (ISM)‏ של ממשלת אוסטרליה.
  • המוצרים מאושרים על-בסיס תקן Common Criteria (‏CC‏) –‏ ISO 15408 המוכר במדינות רבות ברחבי העולם. בפורטל CC מפורטים מוצרים נוספים עם אישור המבוסס על הכרה הדדית שגם בהם ניתן להשתמש.
  • לשכת האישורים של מינהל האותות האוסטרלי, רשות האישורים של אוסטרלאסיה (Australasian Certification Authority), מפקחת על התוכנית Australasian Information Security Evaluation Program (‏AISEP‏), שבמסגרתה מנוהלות בדיקות מוצרים המתבצעות על-ידי מכוני הערכה מסחריים בעלי רישיון.
  • ברשימת ה-EPL מפורטות גם הערכות ההצפנה של מינהל האותות האוסטרלי.

מוצר: iOS 9
סוג מוצר: מוצרים ניידים
מצב המוצר: הושלם
רמת הבטחה: עבר הערכה על-ידי מינהל האותות האוסטרלי
גרסה: 9.3.5 ואילך
מדריך: PDF

ממשלת בריטניה

סיכום מתוך הדף ‏Commercial Product Assurance – מוצרים בעלי אישור ברמה בסיסית של NCSC‏:

Commercial Product Assurance (‏CPA) היא מסגרת שבה מתבצעת הערכה של מוצרי מדף מסחריים ושל המפתחים שלהם, על-בסיס תקני אבטחה ופיתוח שפורסמו. מוצר אבטחה שעובר את ההערכה בהצלחה מקבל אישור Foundation Grade. אישור זה מעיד על כך שהמוצר כולל תהליכי אבטחה טובים ברמה מסחרית ומתאים לסביבות שבהן רמת האיומים נמוכה.

  • התוקף של אישור ה-CPA הוא לשנתיים. הוא מאפשר לעדכן את המוצרים במהלך מחזור חיי האישור, בהתאם לדרישות העדכונים והפגיעויות. 
  • אישור ה-CPA מאושר על-ידי קטלוג נאט"ו ומוכר כאחת ההערכות הדרושות כדי להיכלל בקטלוג האיחוד האירופי.
  • ניתן לקבל הסבר נוסף על Foundation Grade דרך NCSC.

ממשלת גרמניה

כפי שמצוין בדף תקשורת סלולרית:

סקירה כללית

טלפונים חכמים וטאבלטים מציעים שלל תועלות בעבודה ובחיים הפרטיים. אנשים היום לוקחים אותם איתם כמעט לכל מקום. עם זאת, כשמדובר במידע רגיש, השימוש בטכנולוגיה סלולרית לצורכי תקשורת ו-IT לעתים קרובות עלול להוביל לסיכוני אבטחה.

פתרונות של תקשורת סלולרית מאובטחת המיועדים לשימוש הממשל הפדרלי חייבים תמיד לשאוף לעמוד הן בדרישות העבודה המודרניות הכוללות שימוש במכשירים ניידים והן בדרישות האבטחה הגבוהות הנובעות מהעיבוד של נתונים רגישים.

כדי להבטיח את אבטחת האספקה לממשל הפדרלי, חשוב גם לבחור כמה ספקים. ניתן למצוא מידע נוסף בחוברת "Secure mobile work: problem definition, technical requirements and solutions based on the requirements for mobile devices in the federal administration" (עבודה ברשת סלולרית מאובטחת: הגדרת הבעיות, הדרישות הטכניות והפתרונות על סמך הדרישות לשימוש במכשירים ניידים בממשל הפדרלי).

SecurePIM Government SDS

מערכת הפעלה: iOS

אישור עד VS-NfD

יצרן: virtual solution AG

מכשירי iOS החדשים (iPhone‏, iPad בגרסת iOS 12 ואילך)

הממשל של ארה"ב

כפי שמצוין בדף Commercial Solutions for Classified:

בקרב לקוחות הממשל של ארה"ב יש דרישה גוברת לשימוש מיידי בטכנולוגיות החומרה והתוכנה המסחריות המודרניות ביותר בתוך המערכות לשמירה על הביטחון הלאומי (NSS) על מנת להשיג את יעדי המשימות. כתוצאה מכך, הנהלת הבטחת המידע (Information Assurance Directorate) של הסוכנות לביטחון לאומי/שירות הביטחון המרכזי (National Security Agency/Central Security Service) מפתחת דרכים חדשות לספק פתרונות הבטחת מידע (IA) עדכניים יותר באמצעות טכנולוגיות חדשות, כדי לעמוד בדרישות הלקוחות שמתפתחות בקצב מהיר.

התוכנית Commercial Solutions for Classified (‏CSfC) של הסוכנות לביטחון לאומי/שירות הביטחון המרכזי נוצרה כדי לאפשר לשלב מוצרים מסחריים בתוך פתרונות רב-שכבתיים המספקים הגנה לנתונים מסווגים הקשורים למערכות לשמירה על הביטחון הלאומי. כך ניתן יהיה לקיים תקשורת באמצעות טכנולוגיה מאובטחת המבוססת על תקנים מסחריים במסגרת פתרון שאפשר ליישם בשטח תוך חודשים, במקום תוך שנים.

היום יש מספר הולך וגדל של סביבות מסווגות שבהן קיים רצון לפרוס פתרונות של Apple, אך הרצון לא ממומש מסיבות הקשורות לדרישות לאישורי מוצרים. Apple פועלת לקבלת אישורי Common Criteria המבוססים על פרופילי ההגנה שצוינו לעיל. מהלך זה מאפשר לכלול את מוצרי Apple ברשימת הרכיבים של CSfC כמוצרים זמינים.

ברגע שיתחילו תהליכים לקבלת אישורי Common Criteria נוספים המבוססים על פרופילי ההגנה הרלוונטיים, רכיבי Apple המתאימים יוגשו לאישור צירופם לרשימת הרכיבים של CSfC ויתווספו למטה.

רשימת הרכיבים של CSfC

מוצרי Apple הבאים עומדים בדרישות לשילוב בפתרונות הנכללים בתוכנית CSfC:

הוספת מוצרי Apple לרשימת המוצרים

מספר הולך וגדל של סביבות ממשלתיות כבר ביקשו שמוצרי Apple יוגשו לשילוב בתוכניות שלהן, כגון CPA‏, EPL ו-CSfC. אם אתם סוכנות מורשית בתוכנית הפתרונות של הממשלה שלכם ואתם מעוניינים לכלול מוצרי Apple ברשימת המוצרים שלכם, פנו אלינו בכתובת security-certifications@apple.com.

מערכות הפעלה אחרות

קבלו מידע נוסף על אבטחת מוצרים, אימותים ומשאבי הדרכה עבור:

מידע על מוצרים שאינם מיוצרים על ידי Apple, או אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופקים ללא המלצות או חסות. Apple לא תישא באחריות לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מייצגת את מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. הסיכונים כרוכים בעצם השימוש באינטרנט. צור קשר עם הספק לקבלת מידע נוסף. שמות של חברות ומוצרים אחרים עשויים להוות סימנים מסחריים של בעליהם, בהתאמה.

תאריך פרסום: