Rull ut administrert enhetsattestering
Administrert enhetsattestering er en avansert teknologi for sikring av administrerte enheter, og den kan bidra til å forhindre mange typer angrep, inkludert skjuling av enhetsegenskaper, uthenting av nøkler og etterligning. Administrert enhetsattestering består av to teknologier:
Attestering av enhetsinformasjon gir attesterte egenskaper for en administrert enhet som svar på spørringen
DeviceInformationfra tjenesten for enhetsadministrering. Dette gir tjenesten for enhetsadministrering viktig informasjon om sikkerhet og samsvar for en enhet.ACME-attestering beviser identiteten til en enhet overfor mottakende parter. Den klargjør en maskinvarebundet identitet på en enhet. Når klienten ber om et sertifikat fra en ACME-tjener, oppgir den de samme attesterte egenskapene.
Disse to teknologiene er solide byggeklosser som gjør det mulig å opprette en nulltillitsarkitektur basert på Apple-enheter. Det er viktig å merke seg at organisasjoner kun får sikkerhetsfordeler hvis utrullingsmodellen som er basert på administrerte enheter, inkluderer attesteringer på riktig måte. Denne siden beskriver noen mulige utrullingsmodeller.
Komponenter
En utrullingsmodell basert på administrert enhetsattestering består av følgende komponenter:
Enheten: Enheten som administreres, som er en iPhone, iPad, Mac, Apple TV eller Apple Vision Pro.
Tjenesten for enhetsadministrering: Tjenesten som administrerer enhetene ved hjelp av protokollen for enhetsadministrering.
ACME-tjeneren: Tjeneren som utsteder klientsertifikater til enheter.
Mottakende parter: Partene som bruker identitetens sertifikat. Disse inkluderer nettjenere, VPN-tjenere, mottakere av signerte e-postmeldinger og så videre. Tjenesten for enhetsadministrering fungerer også som en mottakende part.
Utrullingsmodeller
Dette dokumentet beskriver tre utrullingsmodeller med økende fleksibilitet samt økende krav til infrastruktur og integrasjoner:
Sikre kanalen for enhetsadministrering: Denne modellen gjør kommunikasjonen mellom en enhet og tjenesten for enhetsadministrering mer robust. Den sikrer at tjenesten for enhetsadministrering vet hvilken enhet den administrerer, og den gir pålitelige bevis på at enheten er i samsvar med organisasjonens retningslinjer.
ACME-tjenerstyrt autorisering: Dette gir sertifikatautoriteten kontroll over autentisering og autorisering av enheten. Mottakende parter evaluerer kun om sertifikatet er gyldig og utstedt av en godkjent sertifikatautoritet.
Differensiert autorisering: ACME-tjeneren er ansvarlig for autentisering, og mottakende parter utfører autorisering basert på autentiseringen. Dette gjør det mulig for hver mottakende part å ta sin egen beslutning basert på differensiert autorisering.
Sikre utrullingsmodellen med kanal for enhetsadministrering
Protokollen for enhetsadministrering krever at enheten autentiserer seg mot tjenesten for enhetsadministrering ved hjelp av en klientidentitet. Denne identiteten klargjøres under registrering av enheten. I denne utrullingsmodellen bruker klargjøringen av klientidentiteten ACME-attestasjon. Dette gir tjenesten for enhetsadministrering en svært pålitelig forsikring om at hver innkommende tilkobling ble startet av den samme legitime Apple-enheten som ble registrert. Når registreringen ikke er en brukerregistrering, har også tjenesten for enhetsadministrering svært pålitelige bevis for enhetens serienummer og UDID.
I denne utrullingsmodellen brukes de utstedte identitetene kun av administrerte enheter til å autentisere overfor tjenesten for enhetsadministrering. Dette betyr at tjenesten for enhetsadministrering også er den mottakende parten og vanligvis instansen som utsteder sertifikater.
For å bruke denne utrullingsmodellen klargjøres identiteten ved utrulling ved å gi enheten en registreringsprofil, inkludert en ACME-nyttelast (selv om det er mulig å «oppgradere» en eksisterende registrering som ikke brukte administrert enhetsattestering i utgangspunktet). Enheten bruker den oppgitte informasjonen til å kontakte ACME-komponenten i tjenesten for enhetsadministrering for å be om et sertifikat. Du kan også bruke tilpassede regler, men vanligvis utstedes et sertifikat hvis:
enheten er kjent på forhånd, for eksempel fordi den er registrert i Apple School Manager eller Apple Business Manager
enheten er knyttet til en registrering som er godkjent av en bruker
Når enheten er registrert, kan tjenesten for enhetsadministrering også holde tilbake apper, konfigurasjoner og kontoer til enheten oppfyller organisasjonens krav, ved å bruke attestering av enhetsinformasjon for å spørre etter attesterte dynamiske egenskaper, for eksempel operativsystemversjon og FileVault-status.
Samme framgangsmåte kan brukes for å be om en ny attestering når det skjer relevante endringer.
Et mer komplekst oppsett for dette scenarioet bruker en ACME-tjener som er ekstern for tjenesten for enhetsadministrering. Dette krever enten en integrering mellom ACME og tjenesten for enhetsadministrering for å hente informasjon om enheten og status for registreringsautentisering, eller utstedelse av sertifikater som inneholder vedvarende informasjon fra attesteringen, for å gjøre det mulig for tjenesten for enhetsadministrering å utføre sin godkjenningsevaluering.
Utrullingsmodell med ACME-tjenerstyrt autorisering
I denne utrullingsmodellen baseres autorisering av en enhet kun på om det utstedte sertifikatet er pålitelig. I ACME-flyten avgjør ACME-tjeneren om det skal utstedes et sertifikat. Hvis avgjørelsen krever annen informasjon enn den som finnes i attesteringssertifikatet, må ACME-tjeneren innhente den. ACME-tjeneren utsteder kun et sertifikat hvis godkjenningsevalueringen er bestått og enheten oppfyller kriteriene som er definert av organisasjonen.
Hvis organisasjonen din for eksempel krever at autoriserte enheter må være registrert i en tjeneste for enhetsadministrering, må det være en kobling mellom ACME og tjenesten for enhetsadministrering.
Denne utrullingsmodellen fungerer best når det er mange mottakende parter som bruker de samme betingelsene for autorisering. Når ACME-tjeneren har utført godkjenningsevalueringen, trenger mottakende parter bare å utføre standard sertifikatvalidering og godkjenningsevaluering for å verifisere tilgang.
Merk: Avhengig av sikkerhetskravene dine kan du vurdere hvordan utrullingen håndterer enheter som har mistet autorisasjonen, for eksempel ved å tilpasse sertifikatets gyldighetstid eller tilbakekallingskontroll utført av den mottakende parten.
Utrullingsmodell med differensiert autorisering
I denne utrullingsmodellen er ACME-tjeneren kun ansvarlig for å utstede et sertifikat som autentiserer enheten. Mottakende parter fastsetter autorisering hver gang de evaluerer enhetens identitetssertifikat, og de bruker sine egne, individuelle autoriseringsregler.
ACME-tjeneren må inkludere all tilstandsløs informasjon i det utstedte sertifikatet som mottakende parter trenger for å identifisere og autorisere enheten, for eksempel data som ACME-tjeneren mottok i attesteringssertifikatet.
Når enheten kobles til, og i tillegg til å verifisere godkjenningen av det utstedte sertifikatet, kan den mottakende parten også spørre tjenesten for enhetsadministrering om eventuelle dynamiske egenskaper. Dette gjør det mulig å basere autoriseringsavgjørelser på oppdatert informasjon, og det kan også støtte hendelser for fjerning av autorisering og reautorisering. Avhengig av organisasjonens krav og hvor kritisk det er for den mottakende parten, kan autoriseringsbeslutninger også bufres i en definert periode for å håndtere gjentatte tilkoblingshendelser og ta autoriseringsbeslutninger raskere.