Felügyelt eszközigazolás üzembe helyezése
A Felügyelt eszközigazolás egy hatékony technológia a felügyelt eszközök védelméhez, amely segíthet számos különböző típusú támadás megakadályozásában, beleértve az eszközjellemzők elrejtését, a kulcskinyerést és a megszemélyesítést. A felügyelt eszközigazolás két technológiából tevődik össze:
Az eszközinformáció-igazolás a felügyelt eszköz igazolt tulajdonságait adja vissza az eszközfelügyeleti szolgáltatás
DeviceInformationlekérdezésére. Ez fontos biztonsági és megfelelőségi információkat biztosít az eszközfelügyeleti szolgáltatásnak az eszközről.Az ACME-igazolás bizonyítja az eszköz identitását a függő felek számára. Hardverhez kötött identitást készít elő egy eszközön. Amikor az ügyfél tanúsítványt kér egy ACME-szervertől, akkor ugyanazokat az igazolt tulajdonságokat adja meg.
Ez a két technológia erős építőelemként teszi lehetővé, hogy Apple-eszközökön alapuló, teljes felügyeleti architektúrát hozzon létre. Fontos megjegyezni, hogy a szervezetek csak akkor élvezhetik a biztonsági előnyöket, ha a felügyelt eszközök köré épített üzembe helyezési modell megfelelően alkalmazza az igazolásokat. Ez az oldal néhány lehetséges üzembehelyezési modellt mutat be.
Komponensek
A felügyelt eszközigazolás köré épülő üzembehelyezési modell a következő komponenseket foglalja magában:
Eszköz: A felügyelt eszköz, amely lehet iPhone, iPad, Mac, Apple TV és Apple Vision Pro.
Eszközfelügyeleti szolgáltatás: A szolgáltatás, amely eszközfelügyeleti protokoll segítségével felügyeli az eszközöket.
ACME-szerver: A szerver, amely ügyféltanúsítványokat bocsát ki az eszközök számára.
Függő felek: Azok a felek, akik felhasználják az identitás tanúsítványát. Ide tartoznak a webszerverek, a VPN-szerverek, az aláírt e‑mail-üzenetek címzettjei stb. Az eszközfelügyeleti szolgáltatás függő félként is működik.
Üzembehelyezési modellek
Jelen dokumentum három megnövekedett rugalmasságú üzembehelyezési modellt mutat be, amelyek megnövekedett igényt támasztanak az infrastruktúra-követelményekkel és -integrációkkal szemben:
Az eszközfelügyeleti csatorna biztosítása: Ez a modell megerősíti az eszköz és az eszközfelügyeleti szolgáltatás közötti kommunikációt. Ez biztosítja, hogy az eszközfelügyeleti szolgáltatás tudja, hogy melyik eszközt felügyeli, és egyértelmű bizonyítékot biztosít arra vonatkozóan, hogy az eszköz megfelel a szervezeti irányelveknek.
ACME-szerver által vezérelt engedélyezés: Ez a tanúsítványkiadó központnak irányítást biztosít az eszköz hitelesítése és engedélyezése felett. A függő felek csak azt értékelik, hogy a tanúsítvány érvényes-e, és hogy megbízható tanúsítványkiadó központ állította‑e ki.
Differenciális engedélyezés: Az ACME-szerver felelős a hitelesítésért, és a függő felek a hitelesítés alapján végzik el az engedélyezést. Ez lehetővé teszi, hogy az egyes függő felek saját, differenciális engedélyezési döntést hozzanak.
Az eszközfelügyeleti csatorna üzembehelyezési modelljének biztosítása
Az eszközfelügyeleti protokoll megköveteli, hogy az eszköz egy kliensidentitás használatával hitelesítse magát az eszközfelügyeleti szolgáltatásban. Ez az identitás az eszköz regisztrációja során kerül előkészítésre. Ebben az üzembehelyezési modellben a kliensidentitás előkészítése ACME-igazolást használ. Ez rendkívül erős garanciát nyújt az eszközfelügyeleti szolgáltatásnak arra vonatkozóan, hogy a bejövő kapcsolatokat ugyanaz a legitim Apple-eszköz kezdeményezte, amely regisztrált. Ha a regisztráció nem felhasználói regisztráció, akkor az eszközfelügyeleti szolgáltatás rendkívül erős bizonyítékkal fog rendelkezni az eszköz sorozatszámára és UDID-jére vonatkozóan is.
Ebben az üzembehelyezési modellben a kiállított identitásokat csak a felügyelt eszközök használják az eszközfelügyeleti szolgáltatásban való hitelesítéshez. Ez azt jelenti, hogy az eszközfelügyeleti szolgáltatás egyben a függő fél is, és általában az a példány, amely a tanúsítványokat kiállítja.
Az üzembehelyezési modell használatához a rendszer a regisztrációkor előkészíti az identitást azáltal, hogy az eszköz számára egy, ACME adatcsomagot is tartalmazó regisztrációs profilt biztosít (bár lehetséges egy olyan meglévő regisztráció „frissítése” is, amely eredetileg nem használta a felügyelt eszközigazolást). A biztosított információk alapján az eszköz felveszi a kapcsolatot az eszközfelügyeleti szolgáltatás ACME-komponensével egy tanúsítvány igényléséhez. Egyéni szabályokat is használhat, de a tanúsítvány általában akkor kerül kiállításra, ha:
Az eszköz előre ismert, például mert regisztrálva van az Apple School Managerben vagy az Apple Business Managerben.
Az eszköz egy felhasználó által hitelesített regisztrációhoz kapcsolódik.
Az eszköz regisztrálása után az eszközfelügyeleti szolgáltatás további appokat, konfigurációkat és fiókokat tarthat vissza, amíg az eszköz nem felel meg a szervezeti követelményeknek. Ehhez az eszközinformációk igazolását (pl. az operációsrendszer-verzió és FileVault-állapot) használja az igazolt dinamikus tulajdonságok lekérdezéséhez.
Ugyanez a megközelítés használható friss igazolás igénylésére is, releváns változások esetén.
A bonyolultabb beállítási folyamat során az ACME-szerver az eszközfelügyeleti szolgáltatáson kívül található. Ehhez vagy integrációra van szükség az ACME és az eszközfelügyeleti szolgáltatás között az eszközre és a regisztrációs hitelesítési állapotra vonatkozó információk lekéréséhez, vagy olyan tanúsítványok kiállítására, amelyek az igazolásból származó állandó információkat tartalmazzák, hogy az eszközfelügyeleti szolgáltatás elvégezhesse a megbízhatósági értékelését.
Az ACME-szerver által vezérelt engedélyezés üzembehelyezési modellje
Ebben az üzembehelyezési modellben az eszközök engedélyezése kizárólag a kiállított tanúsítvány megbízhatóságán alapul. Az ACME-folyamat során az ACME-szerver dönti el, hogy kiállít‑e tanúsítványt. Ha a döntéshez a hitelesítési tanúsítványban szereplő információkon kívül más információ is szükséges, az ACME-szervernek kell összegyűjtenie azokat. Az ACME-szerver csak akkor állít ki tanúsítványt, ha a megbízhatósági értékelése sikeres, és az eszköz megfelel a szervezet által meghatározott feltételeknek.
Ha például a szervezete megköveteli, hogy az engedélyezett eszközök regisztrálva legyenek egy eszközfelügyeleti szolgáltatásban, akkor az ACME-nek kapcsolatban kell állnia az eszközfelügyeleti szolgáltatással.
Ez az üzembehelyezési modell akkor működik a legmegfelelőbb módon, ha számos függő fél használja ugyanazokat a hitelesítési feltételeket. Miután az ACME-szerver elvégezte a megbízhatósági értékelést, a függő feleknek csak a szabványos tanúsítványérvényesítést és megbízhatósági értékelést kell elvégezniük a hozzáférés ellenőrzéséhez.
Megjegyzés: A biztonsági követelményeitől függően érdemes lehet megfontolni, hogy az üzembe helyezés hogyan kezeli azokat az eszközöket, amelyek elvesztették az engedélyezésüket (pl. a tanúsítványok élettartamának beállításával vagy a függő fél által végzett visszavonás-ellenőrzéssel).
Differenciális engedélyezési üzembehelyezési modell
Ebben az üzembehelyezési modellben az ACME-szerver csak az eszközt hitelesítő tanúsítvány kiállításáért felelős. A függő felek minden alkalommal meghatározzák az engedélyezést, amikor kiértékelik az eszköz identitástanúsítványát, és alkalmazzák a saját, egyéni engedélyezési szabályaikat.
Az ACME-szervernek tartalmaznia kell a kiadott tanúsítványban minden olyan állapotmentes információt, amelyre a függő feleknek szüksége van az eszköz azonosításához és engedélyezéséhez (pl. az ACME-szerver által az igazoló tanúsítványban kapott adatokat).
Amikor az eszköz csatlakozik, és a kiállított tanúsítvány megbízhatóságának ellenőrzése mellett a függő fél is lekérheti a dinamikus tulajdonságokat az eszközfelügyeleti szolgáltatástól. Ily módon az engedélyezési döntések naprakész információkon alapulhatnak, és képesek támogatni az újraengedélyezésre és az engedélyezés törlésére vonatkozó eseményeket. A szervezeti követelmények és a függő fél kritikussága alapján az engedélyezési döntések egy meghatározott ideig gyorsítótárazhatók az ismétlődő kapcsolati események kezelése és az engedélyezési döntések felgyorsítása érdekében.