Visão geral de VPN para implementação de dispositivos Apple
O acesso seguro a redes corporativas privadas está disponível no iOS, iPadOS, macOS, tvOS, watchOS e visionOS pelo uso de protocolos de rede virtual privada (VPN) estabelecidos como padrão na indústria.
Protocolos compatíveis
O iOS, iPadOS, macOS, tvOS, watchOS e visionOS são compatíveis com os seguintes protocolos e métodos de autenticação:
IKEv2: suporte a IPv4 e IPv6 e aos seguintes:
Métodos de autenticação: segredo compartilhado, certificados, EAP-TLS e EAP-MSCHAPv2
Criptografia Suite B: certificado ECDSA, criptografia ESP com GCM e Grupos ECP para o Grupo Diffie-Hellman
Recursos adicionais: MOBIKE, fragmentação IKE, redirecionamento de servidor e túnel dividido
O iOS, iPadOS, macOS e visionOS também são compatíveis com os seguintes protocolos e métodos de autenticação:
L2TP sobre IPsec: autenticação de usuário através de senha MS-CHAP v2, token de dois fatores, certificado e autenticação do equipamento através de segredo compartilhado ou certificado
O macOS também pode usar a autenticação por equipamento Kerberos através de segredo compartilhado ou certificado com L2TP sobre IPsec.
IPsec: autenticação de usuário através de senha, token de dois fatores e autenticação do equipamento através de segredo compartilhado e certificado
Se a sua organização oferece suporte a esses protocolos, nenhuma configuração adicional de rede ou app de terceiros é necessária para a conexão de dispositivos Apple à rede virtual privada.
A compatibilidade inclui tecnologias como IPv6, servidores de proxy e túnel dividido. O túnel dividido fornece uma experiência VPN flexível ao se conectar às redes de uma organização.
Além disso, o framework de Extensão de Rede permite que equipes de desenvolvimento de terceiros criem uma solução VPN personalizada para iOS, iPadOS, macOS, tvOS e visionOS. Vários provedores de VPN criaram apps para ajudar a configurar suas soluções em dispositivos Apple. Para configurar um dispositivo para uma solução específica, instale o app do provedor e, se desejado, forneça um perfil de configuração com os ajustes necessários.
VPN Sob Demanda
No iOS, iPadOS, macOS e tvOS, a VPN Sob Demanda permite que dispositivos Apple estabeleçam automaticamente uma conexão conforme seja necessário. Ela requer um método de autenticação que não envolva interação do usuário, como uma autenticação baseada em certificado, por exemplo. A chave OnDemandRules de um payload de VPN em um perfil de configuração é usada para configurar a VPN Sob Demanda. As regras são aplicadas em dois estágios:
Estágio de detecção da rede: define os requisitos de VPN aplicados quando a conexão de rede primária do dispositivo é alterada.
Estágio de avaliação da rede: define os requisitos de VPN para pedidos de conexão aos nomes de domínios conforme for necessário.
As regras podem ser usadas para:
Reconhecer quando um dispositivo da Apple estiver conectado a uma rede interna e não for necessário usar VPN
Reconhecer quando uma rede Wi‑Fi desconhecida estiver sendo usada e exigir VPN
Iniciar a VPN quando um pedido de DNS para um nome de domínio específico falhar
VPN por Aplicativo
No iOS, iPadOS, macOS, watchOS e visionOS 1.1, as conexões VPN podem ser estabelecidas por app, o que oferece um controle mais granular sobre quais dados são transmitidos pela VPN. Essa capacidade de segregar o tráfego no nível do app permite a separação dos dados pessoais dos organizacionais, resultando em uma rede segura para apps de uso interno, ao mesmo tempo em que preserva a privacidade de atividades pessoais no dispositivo.
A VPN por app permite que cada app gerenciado por uma solução MDM se comunique com a rede privada através de um túnel seguro e impede que os apps não gerenciados usem a rede privada. Apps Gerenciados podem ser configurados com conexões VPN diferentes para resguardar ainda mais os dados. Por exemplo, um app de orçamento de vendas poderia usar um data center totalmente distinto do app de contabilidade.
Depois de criar uma VPN por app em qualquer configuração de VPN, é preciso associar essa conexão aos apps que a usam para dar segurança ao tráfego de rede desses apps. Isso é feito pelo payload de mapeamento de VPN por app (macOS) ou pela especificação da configuração de VPN dentro do comando de instalação do app (iOS, iPadOS, macOS, visionOS 1.1).
A VPN por app pode ser configurada para funcionar com o cliente VPN IKEv2 integrado do iOS, iPadOS, watchOS e visionOS 1.1. Para obter informações sobre a compatibilidade da VPN por app em soluções de VPN personalizadas, contate os fornecedores da VPN.
Nota: para usar a VPN por app no iOS, iPadOS, watchOS 10 e visionOS 1.1, o app precisa ser gerenciado pelo MDM.
VPN Sempre Ativa
A VPN Sempre Ativa disponível para IKEv2 proporciona a organizações controle total do tráfego no iOS e iPadOS, direcionando por tunelamento todo o tráfego IP de volta para as mesmas. As organizações podem monitorar e filtrar o tráfego de seus dispositivos, proteger os dados de suas redes e restringir o acesso de dispositivos à internet.
A VPN Sempre Ativa requer a supervisão de dispositivos. Depois de instalar o perfil de VPN Sempre Ativa em um dispositivo, a VPN Sempre Ativa é ativada automaticamente sem interação do usuário, mantendo-se ativa (inclusive entre reinicializações) até que o perfil de VPN Sempre Ativa seja desinstalado.
Com a VPN Sempre Ativa em funcionamento no dispositivo, o acionamento e desligamento do túnel VPN está atrelado ao estado IP da interface. Quando a interface obtém alcançabilidade de rede de IP, ela tenta estabelecer um túnel. Quando o estado IP da interface é perdido, o túnel é desligado.
A VPN Sempre Ativa também oferece suporte a túneis por interface. Em dispositivos com conexões celulares, há um túnel para cada interface IP ativa (um túnel para a interface celular e outro para a interface Wi‑Fi). Enquanto os túneis VPN estiverem ativos, todo o tráfego de IP é transmitido por túneis. Esse tráfego inclui todo o tráfego genérico roteado por IP, assim como o tráfego específico de IP (como o de apps nativos, como FaceTime e Mensagens). Se os túneis não estiverem ativos, todo o tráfego de IP é desligado.
Todo o tráfego transmitido por túneis a partir de um dispositivo chega a um servidor VPN. Filtros opcionais e tratamentos de monitoração podem ser aplicados antes de encaminhar o tráfego ao destino, seja ele dentro da rede da organização ou na internet. De forma similar, o tráfego para o dispositivo é roteado para o servidor VPN da organização, onde processos de filtragem e monitoração podem ser aplicados antes do encaminhamento para o dispositivo.
Nota: o emparelhamento do Apple Watch não é compatível com a VPN Sempre Ativa.
Proxy transparente
Proxies transparentes são um tipo especial de VPN no macOS e podem ser usados de diversas maneiras para monitorar e transformar o tráfego de rede. Usos comuns incluem soluções de filtro de conteúdo e negociadores para acessar serviços na nuvem. Devido à variedade de usos, recomenda‑se definir a ordem em que os proxies veem e gerenciam o tráfego. Por exemplo, acione o filtro de proxy no tráfego da rede antes de acionar um proxy que criptografe o tráfego. Para fazer isso, defina a ordem no payload de VPN.