Prehľad VPN pre nasadenie Apple zariadení
V systémoch iOS, iPadOS, macOS, tvOS, watchOS a visionOS je k dispozícii zabezpečený prístup k súkromným podnikovým sieťam použitím protokolov virtuálnych súkromných sietí (VPN), ktoré vyhovujú priemyselným štandardom.
Podporované protokoly
Systémy iOS, iPadOS, macOS, tvOS, watchOS a visionOS podporujú nasledujúce protokoly a metódy autentifikácie:
IKEv2: Podpora pre IPv4 aj IPv6 a pre nasledujúce:
Metódy overenia: Zdieľaný kľúč, certifikáty, EAP-TLS a EAP-MSCHAPv2
Kryptografia Suite B: Certifikáty ECDSA, šifrovanie ESP s GCM a skupiny ECP pre Diffie-Hellman Group
Dodatočné funkcie: MOBIKE, IKE fragmentácia, presmerovanie serverov, delené tunelovanie
Systémy iOS, iPadOS, macOS a visionOS podporujú aj nasledujúce protokoly a metódy autentifikácie:
L2TP cez IPsec: Overenie užívateľa heslom MS-CHAP v2, dvojfaktorovým tokenom, certifikátmi, strojovým overením zdieľaným kľúčom alebo certifikátom
macOS môže použiť aj strojovú autentifikáciu protokolu Kerberos zdieľaným kľúčom alebo certifikátom s L2TP cez IPsec.
IPsec: Overenie užívateľa heslom, dvojfaktorovým tokenom, strojovým overením zdieľaným kľúčom a certifikátmi
Ak vaša organizácia tieto protokoly podporuje, na pripojenie Apple zariadení k virtuálnej súkromnej sieti nie je potrebná žiadna dodatočná sieťová konfigurácia ani apky tretích strán.
Podpora zahŕňa technológie ako IPv6, proxy servery alebo rozdelené tunelové pripojenie. Rozdelené tunelové pripojenie zaisťuje flexibilné prostredie VPN pri pripájaní k sieťam organizácie.
Framework Network Extension navyše umožňuje nezávislým vývojárom vytvárať vlastné riešenia VPN pre systémy iOS, iPadOS, macOS, tvOS a visionOS. Niektorí poskytovatelia VPN vytvorili apky, ktoré uľahčujú konfiguráciu Apple zariadení na spoluprácu s ich riešeniami. Na konfiguráciu zariadenia pre konkrétne riešenie nainštalujte sprievodnú apku poskytovateľa a prípadne vložte do konfiguračného profilu potrebné nastavenia.
VPN na požiadanie
VPN na požiadanie v systémoch iOS, iPadOS, macOS a tvOS umožňuje Apple zariadeniam automaticky nadväzovať pripojenie podľa aktuálnych potrieb. Vyžaduje autentifikáciu, ktorá nezahŕňa interakciu užívateľa, napríklad autentifikáciu na báze certifikátov. VPN na požiadanie sa konfiguruje pomocou kľúča OnDemandRules v objeme dát VPN konfiguračného profilu. Pravidlá sa použijú v dvoch fázach:
Fáza zisťovania siete: Definuje požiadavky VPN, ktoré sa použijú pri zmene primárneho sieťového pripojenia zariadenia.
Fáza hodnotenia pripojenia: Definuje požiadavky VPN pre snahy o pripojenie v zmysle názvov domén podľa aktuálnej potreby.
Pravidlá je možné použiť napríklad na:
Zistenie, kedy je Apple zariadenie pripojené k internej sieti a VPN teda nie je potrebné
Zistenie, že sa používa neznáma Wi-Fi sieť, a vyžadovanie VPN
Spustenie VPN, keď zlyhá požiadavka DNS na zadaný názov domény
Per-app VPN
Systémy iOS, iPadOS, macOS, watchOS a visionOS 1.1 umožňujú nadväzovať VPN pripojenie na úrovni jednotlivých apiek, vďaka čomu je možné získať podrobnejšiu kontrolu nad tým, ktoré dáta budú VPN sieťou prechádzať. Táto možnosť rozčlenenia prevádzky na úrovni apiek umožňuje oddeliť osobné dáta od organizačných – výsledkom je bezpečné sieťové prostredie pre interné apky, ktoré súčasne chráni súkromie aktivít na osobných zariadeniach.
VPN na úrovni apiek umožňuje každej apke spravovanej riešením na správu mobilných zariadení (MDM) komunikovať so súkromnou sieťou pomocou zabezpečeného tunela a zároveň zo súkromnej siete vylučuje nespravované apky. Spravované apky môžu byť nakonfigurované s odlišnými VPN pripojeniami na ešte lepšie zabezpečenie dát. Napríklad apka na vytváranie cenových ponúk môže používať úplne odlišné dátové centrum ako apka na spracovanie finančných záväzkov.
Ak ste pri niektorom VPN pripojení vytvorili konfiguráciu VPN na úrovni apiek, musíte toto pripojenie priradiť k apke, ktorá ho využíva na zabezpečenú sieťovú komunikáciu. Vykonať to možno prostredníctvom objemu dát mapovania VPN na úrovni apiek (macOS) alebo zadaním konfigurácie VPN v príkaze na inštaláciu apky (iOS, iPadOS, macOS, visionOS 1.1).
VPN na úrovni apiek je možné nakonfigurovať na spoluprácu s VPN klientom IKEv2 vstavaným v systémoch iOS, iPadOS, watchOS a visionOS 1.1. Informácie o podpore VPN na úrovni apiek vo vlastných riešeniach VPN vám poskytnú vaši dodávatelia riešení VPN.
Poznámka: Aby bolo možné VPN na úrovni apiek v systémoch iOS, iPadOS, watchOS 10 a visionOS 1.1 používať, musí byť daná apka spravovaná riešením MDM.
Vždy zapnuté VPN
Vždy zapnuté VPN dostupné pre IKEv2 poskytuje organizácii plnú kontrolu nad komunikáciou v systémoch iOS a iPadOS tak, že presmeruje celú IP komunikáciu späť do organizácie. Vaša organizácia môže odteraz filtrovať monitorovať a filtrovať komunikáciu zariadení, zabezpečiť dáta v rámci vašej siete a obmedziť prístup zariadení na internet.
Aktivácia funkcie Vždy zapnuté VPN vyžaduje, aby bolo zariadenie pod dohľadom. Po nainštalovaní profilu Vždy zapnuté VPN na zariadení sa funkcia Vždy zapnuté VPN automaticky aktivuje bez interakcie užívateľa a zostane aktívna (vrátane reštartovaní) až do odinštalovania profilu Vždy zapnuté VPN.
Po aktivovaní funkcie Vždy zapnuté VPN na zariadení bude zapnutie a vypnutie tunela VPN prepojené so stavom IP rozhrania. Keď rozhranie zistí zastihnuteľnosť IP siete, pokúsi sa vytvoriť tunel. Keď stav IP rozhrania prestane fungovať, VPN sa zruší.
Vždy zapnuté VPN podporuje aj tunely podľa rozhrania. Pri zariadeniach s mobilným dátovým pripojením je jeden tunel pre každé aktívne IP rozhranie (jeden tunel pre mobilné rozhranie a jeden pre Wi-Fi rozhranie). Pokiaľ fungujú tunely VPN, celá IP komunikácia sa takisto tuneluje. Medzi komunikáciu patrí všetka smerovaná IP komunikácia a IP komunikácia daná rozsahom (komunikácia z natívnych apiek ako FaceTime a Správy). Pokiaľ nefungujú tunely VPN, celá IP komunikácia sa vypne.
Všetka komunikácia tunelovaná zo zariadenia dosiahne server VPN. Pred presmerovaním komunikácie do jej cieľa v rámci siete vašej organizácie alebo na internete môžete aplikovať voliteľné opatrenia filtrovania a monitorovania. Podobne sa komunikácia do zariadenia presmeruje na server VPN vašej organizácie, kde je možné pred presmerovaním do zariadenia aplikovať procesy filtrovania a monitorovania.
Poznámka: Pri používaní vždy zapnutého VPN nie je podporované párovanie Apple Watch.
Transparentné proxy
Transparentné proxy servery predstavujú špeciálny typ proxy v systéme macOS, ktorý možno použiť rôznymi spôsobmi na sledovanie a transformáciu sieťových prenosov. Bežne ich využívajú riešenia na filtrovanie obsahu a sprostredkovatelia prístupu ku cloudovým službám. Vzhľadom na rôznorodosť použitia je dobré definovať poradie, v akom budú tieto proxy servery zobrazovať a spracovávať prenosy. Príklad: Chcete vyvolať proxy server filtrujúci sieťové prenosy pred vyvolaním proxy servera, ktorý prenosy šifruje. Požadovaný výsledok dosiahnete definovaním poradia v objeme dát VPN.