प्रबंधित डिवाइस प्रमाणन डिप्लॉय करें
प्रबंधित डिवाइस अटेस्टेशन प्रबंधित डिवाइस को सुरक्षित करने की शक्तिशाली तकनीक है जो डिवाइस प्रोफ़ाइल की अस्पष्टता, की-एक्सट्रैक्शन और नक़ली पहचान पेश करने सहित कई तरह के हमलों को रोकने में मदद कर सकती है। प्रबंधित डिवाइस सत्यापन दो तकनीकों से मिलकर बना होता है :
डिवाइस जानकारी प्रमाणन से डिवाइस प्रबंधन सेवा
DeviceInformationक्वेरी के जवाब में प्रबंधित डिवाइस की प्रमाणित प्रॉपर्टी प्राप्त होती है। इससे डिवाइस प्रबंधन सेवा को डिवाइस के बारे में महत्वपूर्ण सुरक्षा और अनुपालन जानकारी मिलती है।ACME प्रमाणन से विश्वसनीय पक्षों को डिवाइस की पहचान प्रमाणित होती है। इससे डिवाइस पर हार्डवेयर से संबद्ध पहचान प्राप्त होती है। जब क्लाइंट ACME सर्वर से सर्टिफ़िकेट का अनुरोध करता है, तो वह वही प्रमाणित प्रॉपर्टी प्रदान करता है।
ये दो तकनीकें आपको Apple डिवाइस पर आधारित ज़ीरो-ट्रस्ट आर्किटेक्चर बनाने में सक्षम करने के लिए मज़बूत आधार प्रदान करती हैं। ध्यान दें कि संगठनों को केवल तभी सुरक्षा संबंधी लाभ मिलते हैं जब प्रबंधित डिवाइस के इर्द-गिर्द बनाए गए डिप्लॉयमेंट मॉडल में अटेस्टेशन को सही तरीक़े से शामिल किया जाता है। यह पृष्ठ कुछ संभावित डिप्लॉयमेंट मॉडल का वर्णन करता है।
कंपोनेंट
प्रबंधित डिवाइस प्रमाणन के इर्द-गिर्द बनाए गए डिप्लॉयमेंट मॉडल में निम्नलिखित कंपोनेंट शामिल होते हैं :
डिवाइस : प्रबंधित किया जा रहा डिवाइस, जो iPhone, iPad, Mac, Apple TV या Apple Vision Pro है।
डिवाइस प्रबंधन सेवा : डिवाइस प्रबंधन प्रोटोकॉल का इस्तेमाल करने वाले डिवाइस को प्रबंधित करने वाली सेवा।
ACME सर्वर : डिवाइस को क्लाइंट सर्टिफ़िकेट जारी करने वाला सर्वर।
विश्वसनीय पक्ष : पहचान के सर्टिफ़िकेट का इस्तेमाल करने वाले पक्ष। इनमें वेब सर्वर, VPN सर्वर, सिग्नेचर वाले ईमेल संदेश के प्राप्तकर्ता आदि शामिल हैं। डिवाइस प्रबंधन सेवा विश्वसनीय पक्ष के रूप में भी काम करती है।
डिप्लॉयमेंट मॉडल
यह दस्तावेज़ बुनियादी ढाँचे की आवश्यकताओं और इंटीग्रेशन के साथ बढ़ते लचीलेपन के साथ-साथ बढ़ती माँग समेत तीन डिप्लॉयमेंट मॉडल का वर्णन करता है :
डिवाइस प्रबंधन चैनल सुरक्षित करें : यह मॉडल डिवाइस और डिवाइस प्रबंधन सेवा के बीच संचार को बेहतर करता है। यह सुनिश्चित करता है कि डिवाइस प्रबंधन सेवा यह जान सके कि वह कौन सा डिवाइस प्रबंधित कर रही है और इस बारे में ठोस साक्ष्य प्रस्तुत करता है कि डिवाइस संगठनात्मक नीतियों का अनुपालन कर रहा है।
ACME सर्वर द्वारा संचालित ऑथराइज़ेशन : इससे सर्टिफ़िकेट अथॉरिटी को डिवाइस के प्रमाणन और ऑथराइज़ेशन पर नियंत्रण प्राप्त होता है। विश्वसनीय पक्ष केवल यह मूल्यांकन करते हैं कि सर्टिफ़िकेट मान्य है और विश्वसनीय सर्टिफ़िकेट अथॉरिटी द्वारा जारी किया गया है या नहीं।
डिफ़्रेंशियल ऑथराइज़ेशन : प्रमाणन के लिए ACME सर्वर ज़िम्मेदार होता है और प्रमाणन के आधार पर विश्वसनीय पक्षों द्वारा अनुमति प्रदान की जाती है। इससे प्रत्येक विश्वसनीय पक्ष को अपना स्वयं का डिफ़्रेंशियल ऑथराइज़ेशन निर्णय लेने की सुविधा मिलती है।
डिवाइस प्रबंधन चैनल डिप्लॉयमेंट मॉडल सुरक्षित करें
डिवाइस प्रबंधन प्रोटोकॉल के लिए डिवाइस को क्लाइंट पहचान का उपयोग करके डिवाइस प्रबंधन सेवा के लिए अपने को प्रमाणित करना आवश्यक होता है। डिवाइस नामांकन के दौरान इस पहचान का प्रावधान किया जाता है। इस डिप्लॉयमेंट मॉडल में, क्लाइंट पहचान का प्रावधान ACME प्रमाणन का इस्तेमाल करता है। इससे डिवाइस प्रबंधन सेवा को यह बहुत मज़बूत आश्वासन मिलता है कि प्रत्येक इनकमिंग कनेक्शन उसी वैध Apple डिवाइस द्वारा शुरू किया गया था जिससे नामांकन कराया गया था। जब नामांकन यूज़र नामांकन नहीं होता है, तो डिवाइस प्रबंधन सेवा के पास डिवाइस के सीरियल नंबर और UDID का भी अत्यधिक ठोस साक्ष्य होता है।
इस डिप्लॉयमेंट मॉडल में जारी की गई पहचान का इस्तेमाल केवल प्रबंधित डिवाइस द्वारा डिवाइस प्रबंधन सेवा को प्रमाणित करने के लिए किया जाता है। इसका मतलब है कि डिवाइस प्रबंधन सेवा भी विश्वसनीय पक्ष है और आम तौर पर सर्टिफ़िकेट जारी करने वाला इंस्टेंस है।
इस डिप्लॉयमेंट मॉडल का इस्तेमाल करने के लिए ACME पेलोड सहित नामांकन प्रोफ़ाइल प्रदान करके नामांकन के समय इसकी पहचान प्रदान की जाती है (हालाँकि, यह संभव है कि किसी मौजूदा नामांकन को “अपग्रेड” किया जाए जो शुरू में प्रबंधित डिवाइस अटेस्टेशन का इस्तेमाल नहीं करता था)। प्रदान की गई जानकारी के आधार पर, डिवाइस सर्टिफ़िकेट के लिए अनुरोध करने के लिए डिवाइस प्रबंधन सेवा के ACME कंपोनेंट से संपर्क करता है। आप कस्टम नियमों का भी इस्तेमाल कर सकते हैं, लेकिन आम तौर पर सर्टिफ़िकेट जारी किया जाता है यदि :
डिवाइस पहले से ज्ञात होता है, उदाहरण के लिए क्योंकि यह Apple School Manager या Apple Business Manager में पंजीकृत है।
डिवाइस यूज़र द्वारा प्रमाणित नामांकन से संबंधित है।
डिवाइस नामांकित होने के बाद, डिवाइस प्रबंधन सेवा द्वारा ऐप्स, कॉन्फ़िगरेशन और खातों को तब तक रोका जा सकता है जब तक कि डिवाइस ऑपरेटिंग सिस्टम संस्करण और FileVault स्टेटस जैसी प्रमाणित डायनैमिक प्रॉपर्टी को क्वेरी करने के लिए डिवाइस जानकारी अटेस्टेशन का उपयोग करके संगठनात्मक आवश्यकताओं को पूरा नहीं करता है।
संबंधित बदलाव होने पर नए प्रमाणीकरण का अनुरोध करने के लिए समान तरीक़े का इस्तेमाल किया जा सकता है।
इस परिदृश्य के लिए अधिक जटिल सेटअप में ACME सर्वर शामिल होता है जो डिवाइस प्रबंधन सेवा से बाहर होता है। इसके लिए डिवाइस और नामांकन प्रमाणन स्टेटस के बारे में जानकारी पाने के लिए ACME और डिवाइस प्रबंधन सेवा के बीच इंटीग्रेशन की आवश्यकता होती है या ऐसे सर्टिफ़िकेट जारी करने की आवश्यकता होती है जिनमें अटेस्टेशन से मिली सतत जानकारी शामिल हो ताकि डिवाइस प्रबंधन सेवा अपना विश्वास मूल्यांकन निष्पादित कर सके।
ACME सर्वर द्वारा संचालित ऑथराइज़ेशन डिप्लॉयमेंट मॉडल
इस डिप्लॉयमेंट मॉडल में, डिवाइस के लिए ऑथराइज़ेशन केवल इस पर आधारित होता है कि जारी किया गया सर्टिफ़िकेट विश्वसनीय है या नहीं। ACME फ़्लो के दौरान, ACME सर्वर यह तय करता है कि सर्टिफ़िकेट जारी करना है या नहीं। अगर निर्णय के लिए प्रमाणन सर्टिफ़िकेट में मौजूद जानकारी के अलावा किसी अन्य जानकारी की आवश्यकता हो, तो ACME सर्वर को उसे एकत्र करना होगा। ACME सर्वर केवल तभी सर्टिफ़िकेट जारी करता है जब उसके विश्वास मूल्यांकन का परिणाम पास होने के रूप में आता है और डिवाइस संगठन द्वारा निर्धारित मानदंडों को पूरा किया जाता है।
उदाहरण के लिए, अगर आपका संगठन चाहता है कि अधिकृत डिवाइस को डिवाइस प्रबंधन सेवा में नामांकित किया जाना चाहिए, तो ACME और डिवाइस प्रबंधन सेवा के बीच कनेक्शन होना चाहिए।
यह डिप्लॉयमेंट मॉडल तब सबसे अच्छा काम करता है जब बहुत सारे ऐसे विश्वसनीय पक्ष हों जो समान ऑथराइज़ेशन शर्तों का इस्तेमाल करते हैं। ACME सर्वर द्वारा अपना विश्वास मूल्यांकन करने के बाद, ऐक्सेस सत्यापित करने के लिए विश्वसनीय पक्षों को केवल मानक सर्टिफ़िकेट वैलिडेशन और विश्वास मूल्यांकन निष्पादित करना होगा।
नोट : अपनी सुरक्षा संबंधी आवश्यकताओं के आधार पर, आप शायद इस पर विचार करना चाहें कि डिप्लॉयमेंट ऐसे डिवाइस से कैसे निपटता है जिन्होंने अपने अधिकृत होने का अधिकार खो दिया है जैसे कि सर्टिफ़िकेट लाइफ़टाइम को ऐडजस्ट करके या विश्वसनीयता पक्ष द्वारा की जाने वाली निरस्तीकरण जाँच।
डिफ़रेंशियल ऑथराइज़ेशन डिप्लॉयमेंट मॉडल
इस डिप्लॉयमेंट मॉडल में ACME सर्वर केवल डिवाइस को प्रमाणित करने वाले सर्टिफ़िकेट जारी करने के लिए ज़िम्मेदार होता है। विश्वसनीय पक्ष हर बार डिवाइस के पहचान सर्टिफ़िकेट का मूल्यांकन करने पर ऑथराइज़ेशन निर्धारित करते हैं और अपने स्वयं के व्यक्तिगत ऑथराइज़ेशन नियम लागू करते हैं।
ACME सर्वर को जारी किए गए सर्टिफ़िकेट में कोई भी स्थिति रहित जानकारी शामिल करनी चाहिए जिसकी विश्वसनीय पक्षों को डिवाइस की पहचान करने और इसे अधिकृत करने के लिए ज़रूरत होती है, उदाहरण के लिए ऐसा कोई भी डेटा जो ACME सर्वर को अटेस्टेशन सर्टिफ़िकेट में प्राप्त हुआ है।
डिवाइस कनेक्ट होने पर जारी किए गए सर्टिफ़िकेट के विश्वास की पुष्टि करने के अलावा, विश्वसनीय पक्ष किसी भी डायनैमिक प्रॉपर्टी के बारे में डिवाइस प्रबंधन सेवा से पूछ सकता है। इससे ऑथराइज़ेशन के निर्णय अप-टू-डेट जानकारी के आधार पर लिए जा सकते हैं और इससे डीऑथराइज़ेशन और रीऑथराइज़ेशन इवेंट के लिए समर्थन भी मिल सकता है। संगठनात्मक आवश्यकताओं और विश्वसनीय पक्ष की गंभीरता के आधार पर, बार-बार कनेक्शन इवेंट को नियंत्रित करने और ऑथराइज़ेशन निर्णयों को तेज़ी से करने के लिए उन्हें एक निश्चित समय के लिए कैश किया जा सकता है।