Kerahkan Pengakusaksian Peranti Terurus
Pengakusaksian Peranti Terurus ialah teknologi berkuasa untuk melindungi peranti terurus yang boleh membantu menggagalkan pelbagai jenis serangan, termasuk pengeliruan sifat peranti, pengekstrakan kunci dan penyamaran. Pengakusaksian Peranti Terurus terdiri daripada dua teknologi:
Pengakusaksian maklumat peranti menyediakan sifat peranti terurus yang diakusaksikan sebagai tindak balas kepada pertanyaan
DeviceInformationperkhidmatan pengurusan peranti. Ini memberikan perkhidmatan pengurusan peranti maklumat keselamatan dan pematuhan penting tentang peranti.Pengakusaksian ACME membuktikan identiti peranti kepada pihak bergantung. Ia menyediakan identiti terikat perkakasan pada peranti. Apabila klien meminta sijil daripada pelayan ACME, ia menyediakan sifat diakusaksikan yang sama.
Dua teknologi ini ialah blok binaan kukuh yang membolehkan anda mencipta seni bina tanpa kepercayaan berdasarkan peranti Apple. Anda hendaklah mengingati bahawa organisasi hanya mendapat manfaat keselamatan jika model pengerahan yang dibina sekitar peranti terurus menggabungkan pengakusaksian dengan betul. Halaman ini menerangkan beberapa model pengerahan yang mungkin.
Komponen
Model pengerahan sekeliling Pengakusaksian Peranti Terurus melibatkan komponen berikut:
Peranti: Peranti yang diurus, iaitu iPhone, iPad, Mac, Apple TV atau Apple Vision Pro.
Perkhidmatan pengurusan peranti: Perkhidmatan yang mengurus peranti menggunakan protokol pengurusan peranti.
Pelayan ACME: Pelayan yang mengeluarkan sijil klien kepada peranti.
Pihak bergantung: Pihak yang menggunakan sijil identiti. Ini termasuk pelayan web, pelayan VPN, penerima mesej e-mel ditandatangani dan seterusnya. Perkhidmatan pengurusan peranti juga bertindak sebagai pihak bergantung.
Model pengerahan
Dokumen ini menerangkan tiga model pengerahan dengan fleksibiliti yang meningkat serta permintaan yang meningkat untuk keperluan dan integrasi infrastruktur:
Lindungi saluran pengurusan peranti: Model ini menguatkan komunikasi antara peranti dan perkhidmatan pengurusan peranti. Ia memastikan perkhidmatan pengurusan peranti mengetahui peranti yang diurusnya dan memberikan bukti kukuh bahawa peranti tersebut mematuhi dasar organisasi.
Kebenaran dipacu pelayan ACME: Ini memberikan Autoriti Sijil kawalan ke atas pengesahan dan kebenaran peranti. Pihak bergantung hanya menilai sama ada sijil adalah sah dan dikeluarkan oleh Autoriti Sijil yang dipercayai.
Kebenaran pembezaan: Pelayan ACME bertanggungjawab untuk pengesahan dan pihak bergantung melaksanakan kebenaran berdasarkan pengesahan. Ini membolehkan setiap pihak bergantung membuat keputusan kebenaran pembezaannya sendiri.
Lindungi model pengerahan saluran pengurusan peranti
Protokol pengurusan peranti memerlukan peranti mengesahkan dirinya kepada perkhidmatan pengurusan peranti menggunakan identiti klien. Identiti ini diperuntukkan semasa pendaftaran peranti. Dalam model pengerahan ini, peruntukan identiti klien menggunakan pengakusaksian ACME. Ini memberikan perkhidmatan pengurusan peranti jaminan yang sangat kukuh bahawa setiap sambungan masuk dimulakan oleh peranti Apple sah yang sama yang didaftarkan. Apabila pendaftaran bukan Pendaftaran Pengguna, perkhidmatan pengurusan peranti juga mempunyai bukti yang sangat kukuh tentang nombor siri dan UDID peranti.
Dalam model pengerahan ini, identiti yang dikeluarkan hanya digunakan oleh peranti terurus untuk mengesahkan kepada perkhidmatan pengurusan peranti. Ini bermakna perkhidmatan pengurusan peranti juga merupakan pihak bergantung dan biasanya tika yang mengeluarkan sijil.
Untuk menggunakan model pengerahan ini, identiti diperuntukkan pada masa pendaftaran dengan menyediakan profil pendaftaran untuk peranti yang termasuk muat beban ACME (walaupun anda boleh “menaik taraf” pendaftaran sedia ada yang pada mulanya tidak menggunakan Pengakusaksian Peranti Terurus). Menggunakan maklumat yang disediakan, peranti menghubungi komponen ACME untuk perkhidmatan pengurusan peranti bagi meminta sijil. Anda juga boleh menggunakan peraturan tersuai, tetapi lazimnya sijil dikeluarkan jika:
Peranti diketahui terlebih dahulu, contohnya kerana ia didaftarkan dalam Apple School Manager atau Apple Business Manager.
Peranti berkaitan dengan pendaftaran yang disahkan oleh pengguna.
Selepas peranti didaftarkan, perkhidmatan pengurusan peranti boleh menahan app, konfigurasi dan akaun secara tambahan sehingga peranti memenuhi keperluan organisasi dengan menggunakan pengakusaksian maklumat peranti untuk bertanya sifat dinamik yang diakusaksikan seperti versi sistem pengendalian dan status FileVault.
Pendekatan yang sama boleh digunakan untuk meminta pengakusaksian baharu apabila perubahan berkaitan berlaku.
Persediaan yang lebih kompleks untuk senario ini melibatkan pelayan ACME luaran ke perkhidmatan pengurusan peranti. Ini memerlukan integrasi antara ACME dan perkhidmatan pengurusan peranti untuk mendapatkan maklumat tentang peranti dan status pengesahan pendaftaran atau mengeluarkan sijil yang termasuk maklumat berterusan daripada pengakusaksian untuk mendayakan perkhidmatan pengurusan peranti bagi melaksanakan penilaian kepercayaannya.
Model pengerahan kebenaran dipacu pelayan ACME
Dalam model pengerahan ini, keizinan untuk peranti adalah berdasarkan sama ada sijil yang dikeluarkan dipercayai. Semasa aliran ACME, pelayan ACME memutuskan sama ada untuk mengeluarkan sijil. Jika keputusan memerlukan sebarang maklumat selain daripada yang terdapat dalam sijil pengakusaksian, pelayan ACME mesti mengumpulkannya. Pelayan ACME hanya mengeluarkan sijil jika penilaian kepercayaannya diluluskan dan peranti memenuhi kriteria yang ditakrifkan oleh organisasi.
Sebagai contoh, jika organisasi anda memerlukan peranti yang dibenarkan mesti didaftarkan dalam perkhidmatan pengurusan peranti, perlu ada sambungan antara ACME dan perkhidmatan pengurusan peranti.
Model pengerahan ini berfungsi dengan terbaik apabila terdapat banyak pihak bergantung yang menggunakan syarat kebenaran yang sama. Selepas pelayan ACME melaksanakan penilaian kepercayaannya, pihak bergantung hanya perlu melaksanakan pengesahan sijil standard dan penilaian kepercayaan untuk mengesahkan akses.
Nota: Bergantung pada keperluan keselamatan, anda mungkin mahu mempertimbangkan cara pengerahan mengendalikan peranti yang telah kehilangan keizinan mereka, contohnya dengan melaraskan jangka hayat sijil atau pemeriksaan pembatalan yang dilakukan oleh pihak bergantung.
Model pengerahan kebenaran pembezaan
Dalam model pengerahan ini, pelayan ACME hanya bertanggungjawab untuk mengeluarkan sijil yang mengesahkan peranti. Pihak bergantung menentukan kebenaran setiap kali mereka menilai sijil identiti peranti dan menggunakan peraturan kebenaran individu mereka sendiri.
Pelayan ACME seharusnya menyertakan sebarang maklumat tanpa keadaan dalam sijil dikeluarkan yang diperlukan oleh pihak bergantung untuk mengenal pasti dan membenarkan peranti, contohnya sebarang data yang diterima oleh pelayan ACME dalam sijil pengakusaksian.
Apabila peranti bersambung dan sebagai tambahan kepada mengesahkan kepercayaan sijil yang dikeluarkan, pihak bergantung juga boleh bertanya perkhidmatan pengurusan peranti untuk sebarang sifat dinamik. Ini membolehkan keputusan kebenaran dibuat berdasarkan maklumat terkini dan juga boleh menyokong peristiwa nyahbenar serta benarkan semula. Bergantung pada keperluan organisasi dan kepentingan pihak bergantung, keputusan kebenaran juga mungkin dicache untuk tempoh masa yang ditentukan untuk mengendalikan peristiwa sambungan berulang dan mempercepatkan keputusan kebenaran.