Visão geral de MDM para implementações de dispositivos Apple
Está disponível o acesso seguro a redes empresariais privadas no iOS, no iPadOS e no macOS, através de protocolos de redes privadas virtuais (VPN) com normas estabelecidas no setor.
Protocolos suportados
Os sistemas operativos iOS, iPadOS e macOS suportam os seguintes protocolos e métodos de autenticação:
IKEv2: suporte para ambos IPv4 e IPv6 e os seguintes:
Authentication methods (Métodos de autenticação): segredo partilhado, certificados, EAP–TLS e EAP–MSCHAPv2;
Suite B cryptography (Criptografia suite B): certificados ECDSA, cifragem ESP com GCM e grupos ECP para o grupo Diffie–Hellman;
Additional features (Funcionalidades adicionais): MOBIKE, fragmentação IKE, redirecionamento do servidor, túnel dividido.
L2TP via IPsec: autenticação do utilizador por palavra-passe MS–CHAP v2, token de dois fatores, certificado, autenticação de máquina por segredo partilhado ou certificado;
O macOS pode usar também a autenticação de máquina Kerberos por segredo partilhado ou certificado com L2TP em IPsec.
VPN SSL: autenticação do utilizador por palavra-passe, chave de dois fatores e certificados que utilizam a aplicação do fornecedor
IPsec Cisco: autenticação do utilizador por palavra-passe, token de dois fatores e autenticação de máquina por segredo partilhado e certificados;
Se a organização suporta IKEv, L2TP over IPsec ou Cisco IPsec, não é necessária nenhuma configuração de rede adicional nem aplicações de terceiros para ligar os dispositivos Apple a uma rede privada virtual.
O iOS, iPadOS e macOS também suportam tecnologias como IPv6, servidores proxy e túneis divididos. O túnel dividido fornece uma experiência de VPN flexível ao estabelecer ligação às redes de uma organização.
VPN a pedido
No iOS, iPadOS e macOS, a VPN a pedido permite que os dispositivos Apple estabeleçam uma ligação automaticamente consoante esta seja necessária. Requer um método de autenticação que não envolve interação do utilizador, por exemplo, autenticação com base em certificados. A VPN por pedido é configurada através da chave OnDemandRules numa carga útil de VPN de um perfil de configuração. As regras aplicam-se em duas fases:
Network detection stage (Fase de deteção da rede): define os requisitos de VPN a aplicar quando a ligação da rede principal do dispositivo se altera.
Connection evaluation stage (Fase de avaliação da ligação): define os requisitos da VPN para pedidos de ligação a nomes de domínio conforme a necessidade.
As regras podem servir para efetuar ações como:
reconhecer quando um dispositivo Apple está ligado a uma rede interna e a VPN não é necessária;
reconhecer quando uma rede Wi-Fi desconhecida está a ser usada e necessita de uma VPN toda a atividade de rede;
solicitar uma VPN quando falha um pedido de DNS para um nome de domínio especificado.
VPN por aplicação
Com o iOS, o iPadOS e o macOS, as ligações da VPN podem ser estabelecidas por aplicação, o que oferece um controlo granular maior sobre quais os dados transmitidos via VPN. Esta capacidade para segregar tráfego ao nível da aplicação permite a separação de dados pessoais dos dados da empresa ou organização, resultando numa rede segura para aplicações de uso interno enquanto preserva a privacidade da atividade de dispositivos pessoais.
A VPN por aplicação permite que cada aplicação gerida por uma solução de gestão de dispositivos móveis (MDM) comunique com a rede privada através de um túnel seguro enquanto impede que aplicações não geridas utilizem a rede privada. As aplicações geridas podem ser configuradas com diferentes ligações de VPN para maior salvaguarda dos dados. Por exemplo, uma aplicação de cotação de vendas poderá usar um centro de dados completamente diferente de uma aplicação de pagamentos.
Após ativar a VPN por aplicação para qualquer ligação da VPN, será necessário associar essa ligação às aplicações que a utilizam para assegurar o tráfego de rede para essas aplicações. A associação pode ser feita com a carga útil de mapeamento da VPN por aplicação (macOS) ou especificando a ligação VPN dentro do comando de instalação de aplicações (iOS e iPadOS).
A VPN por aplicação pode ser configurada para funcionar com o cliente de VPN integrado no iOS e no iPadOS, que suportam clientes de VPN IKEv2.
IKEv2 é suportado pelo cliente IPsec. Para mais informações acerca do suporte da VPN por aplicação, contacte os fornecedores do SSL de terceiros ou da VPN.
Nota: de forma a usar a VPN por aplicação no iOS e iPadOS, as aplicações devem ser geridas pela MDM e utilizar API de rede padronizadas.
VPN sempre ligada
A VPN sempre ligada permite que a organização tenha o controlo total do tráfego do iOS e iPadOS ao canalizar todo o tráfego IP de volta à organização. O protocolo de túnel predefinido, o IKEv2, mantém a segurança na transmissão do tráfego com a cifragem dos dados. A organização pode agora monitorizar e filtrar o tráfego de e para os dispositivos, manter a segurança dos dados dentro da rede e restringir o acesso dos dispositivos à Internet.
A ativação da VPN sempre ligada exige a supervisão do dispositivo. Depois de o perfil da VPN sempre ligada estar instalado num dispositivo, a VPN sempre ligada é automaticamente ativada sem nenhuma interação do utilizador e permanece ativada (incluindo durante reinicializações) até que o perfil de VPN sempre ligada seja desinstalado.
Com a VPN sempre ligada ativada no dispositivo, o acionamento e o corte do túnel da VPN estão ligados ao estado da interface IP. Quando a interface ganha disponibilidade da rede IP, ela tenta estabelecer um túnel. Quando o estado da interface IP cai, o túnel é cortado.
A VPN sempre ligada suporta também túneis por interface. Nos dispositivos com ligações de rede móvel, existe um túnel para cada interface IP ativa (um túnel para a interface de rede móvel e um túnel para a interface Wi-Fi). Desde que os túneis da VPN estejam acionados, todo o tráfego IP é canalizado pelo túnel. O tráfego inclui todo o tráfego IP direcionado e todo o tráfego IP abrangente (tráfego de aplicações de entidades primárias, como FaceTime e Mensagens). Se os túneis não estiverem ativos, todo o tráfego IP é interrompido.
Todo o tráfego canalizado pelo túnel de um dispositivo chega a um servidor de VPN. É possível aplicar tratamentos de filtragem e monitorização antes de enviar o tráfego para o seu destino dentro da rede da organização ou para a Internet. De forma semelhante, o tráfego para o dispositivo é direcionado para ao servidor da organização, onde os processos de filtragem e monitorização podem ser aplicados antes de ser enviado para o dispositivo.