Nasadenie atestácie spravovaných zariadení
Atestácia spravovaných zariadení je výkonná technológia na zabezpečenie spravovaných zariadení, ktorá môže pomôcť pri odvracaní mnohých typov útokov vrátane maskovania vlastností zariadenia, extrakcie kľúčov a vydávania sa za iné zariadenie. Atestáciu spravovaných zariadení tvoria dve technológie:
Atestácia informácií o zariadení poskytuje atestované vlastnosti spravovaného zariadenia v odpovedi na požiadavku služby správy zariadení
DeviceInformation. Tým získa služba správy zariadení dôležité informácie o zabezpečení a súlade zariadenia s pravidlami.Atestácia ACME preukazuje závislým stranám identitu zariadenia. Na zariadení zriaďuje identitu viazanú na hardvér. Keď klient požiada ACME server o certifikát, poskytne mu tie isté overené vlastnosti.
Tieto dve technológie predstavujú silné stavebné zložky, ktoré vám umožňujú vytvoriť architektúru nulovej dôvery založenú na Apple zariadeniach. Je dôležité poznamenať, že bezpečnostné prínosy pre organizácie má len model nasadenia postavený na spravovaných zariadeniach, do ktorého sú správne zahrnuté atestácie. Táto stránka opisuje niektoré možné modely nasadenia.
Komponenty
Model nasadenia atestácie spravovaných zariadení zahŕňa nasledujúce komponenty:
Zariadenie: Spravované zariadenie, ktorým je iPhone, iPad, Mac, Apple TV alebo Apple Vision Pro.
Služba správy zariadení: Služba spravujúca zariadenia pomocou protokolu správy zariadení.
ACME server: Server, ktorý zariadeniam vydáva klientske certifikáty.
Závislé strany: Strany, ktoré používajú certifikát identity. Patria sem webové servery, VPN servery, príjemcovia podpísaných emailových správ a pod. Služba správy zariadení tiež funguje ako závislá strana.
Modely nasadenia
Tento dokument opisuje tri modely nasadenia s rastúcou flexibilitou a rastúcimi nárokmi na infraštruktúru a integrácie:
Zabezpečenie kanála správy zariadení: Tento model posilňuje komunikáciu medzi zariadením a službou správy zariadení. Stará sa o to, aby služba správy zariadení vedela, ktoré zariadenie spravuje, a poskytuje presvedčivé dôkazy o tom, že zariadenie spĺňa pravidlá organizácie.
Autorizácia riadená ACME serverom: Tento model udeľuje certifikačnej autorite kontrolu nad autentifikáciou a autorizáciou zariadenia. Závislé strany vyhodnocujú len to, či je certifikát platný a či ho vydala dôveryhodná certifikačná autorita.
Diferenciálna autorizácia: Za autentifikáciu je zodpovedný ACME server a závislé strany vykonávajú autorizáciu na základe autentifikácie. To umožňuje každej závislej strane prijímať vlastné, diferencované rozhodnutia o autorizácii.
Model nasadenia typu Zabezpečenie kanála správy zariadení
Protokol správy zariadení vyžaduje, aby sa zariadenie autentifikovalo v službe správy zariadení pomocou identity klienta. Táto identita sa zriaďuje počas registrácie zariadenia. V tomto modeli nasadenia sa na zriadenie identity klienta používa ACME atestácia. Tým získa služba správy zariadení záruku, že každé prichádzajúce pripojenie bolo iniciované tým istým legitímnym Apple zariadením, ktoré bolo zaregistrované. Ak registrácia nie je registráciou užívateľa, služba správy zariadení má tiež silné dôkazy o sériovom čísle a UDID zariadenia.
V tomto modeli nasadenia sa vydané identity používajú len na spravovaných zariadeniach na autentifikáciu v službe správy zariadení. To znamená, že služba správy zariadení je zároveň závislou stranou a zvyčajne aj inštanciou, ktorá vydáva certifikáty.
Ak chcete používať tento model nasadenia, identita sa zriaďuje pri registrácii tým, že zariadeniu poskytnete registračný profil vrátane objemu dát ACME (hoci je možné „upgradovať“ existujúcu registráciu, ktorá pôvodne nepoužívala atestáciu spravovaného zariadenia). Zariadenie pomocou poskytnutých informácií kontaktuje ACME komponent služby správy zariadení a požiada o certifikát. Môžete použiť aj vlastné pravidlá, ale certifikát je bežne vydaný, ak:
Je zariadenie vopred známe, napríklad preto, že je zaregistrované v Apple School Manageri alebo Apple Business Manageri.
Je zariadenie spojené s registráciou, ktorú overil užívateľ.
Služba správy zariadení môže navyše po registrácii zariadenia zadržať apky, konfigurácie a účty, kým zariadenie nebude spĺňať požiadavky organizácie. Robí tak pomocou atestácie informácií o zariadení, ktorou zisťuje atestované dynamické vlastnosti, ako sú verzia operačného systému a stav FileVaultu.
Rovnaký prístup sa dá použiť na vyžiadanie čerstvej atestácie, keď nastanú relevantné zmeny.
O niečo zložitejšie nastavenie pre tento scenár zahŕňa aj ACME server, ktorý je externý voči službe správy zariadení. V takom prípade sa vyžaduje buď integrácia medzi ACME a službou správy zariadení na získanie informácií o zariadení a stave autentifikácie registrácie, alebo vydanie certifikátov, ktoré obsahujú trvalé informácie z atestácie, aby služba správy zariadení mohla vyhodnotiť dôveryhodnosť.
Model nasadenia typu Autorizácia riadená ACME serverom
V tomto modeli nasadenia je autorizácia zariadenia založená len na tom, či je vydaný certifikát dôveryhodný. Počas ACME procesu rozhoduje o vydaní certifikátu ACME server. Ak rozhodnutie vyžaduje iné informácie než tie, ktoré sú uvedené v atestačnom certifikáte, ACME server ich musí získať. ACME server vydá certifikát len v prípade, že úspešne prejde vyhodnotenie jeho dôveryhodnosti a zariadenie spĺňa kritériá definované organizáciou.
Ak napríklad vaša organizácia vyžaduje, aby boli autorizované zariadenia zaregistrované do služby správy zariadení, musí existovať spojenie medzi ACME a službou správy zariadení.
Tento model nasadenia je najvhodnejší, keď existuje veľa závislých strán, ktoré používajú rovnaké autorizačné podmienky. Po vyhodnotení dôveryhodnosti ACME serverom stačí, aby závislé strany pri overovaní prístupu vykonali štandardné overenie certifikátu a vyhodnotili jeho dôveryhodnosť.
Poznámka: V závislosti od vašich bezpečnostných požiadaviek môžete zvážiť, ako sa nasadenie vysporiada so zariadeniami, ktoré stratili autorizáciu, napríklad úpravou trvania platnosti certifikátov alebo kontrolou odvolania, ktorú vykonáva závislá strana.
Model nasadenia typu Diferenciálna autorizácia
V tomto modeli nasadenia je ACME server zodpovedný len za vydanie certifikátu, ktorý autentifikuje zariadenie. Závislé strany určujú autorizáciu pri každom vyhodnotení certifikátu identity zariadenia a používajú svoje vlastné, individuálne pravidlá autorizácie.
ACME server by mal do vydaného certifikátu zahrnúť všetky bezstavové informácie, ktoré potrebujú závislé strany na identifikáciu a autorizáciu zariadenia, napríklad všetky dáta, ktoré ACME server prijal v atestačnom certifikáte.
Keď sa zariadenie pripojí, závislá strana môže okrem overenia dôveryhodnosti vydaného certifikátu požiadať službu správy zariadení aj o dynamické vlastnosti. Vďaka tomu budú rozhodnutia o autorizácii založené na aktuálnych informáciách a podporia sa tak tiež udalosti zrušenia a obnovenia autorizácie. V závislosti od požiadaviek organizácie a kritickosti závislej strany sa môžu autorizačné rozhodnutia na určený čas ukladať do vyrovnávacej pamäte, aby bolo možné spracovávať opakované udalosti pripojenia a zrýchlili sa autorizačné rozhodnutia.