iOS için ürün güvenliği sertifikaları, doğrulamaları ve yönergeleri

Bu makalede iOS platformları için önemli ürün sertifikalarına, şifreleme doğrulamalarına ve güvenlik yönergelerine ilişkin referanslar yer almaktadır. Herhangi bir sorunuz olursa security-certifications@apple.com adresinden bizimle irtibat kurun.

Şifreleme modülü doğrulamaları

Tüm Apple FIPS 140-2 Uygunluk Doğrulama Sertifikaları CMVP satıcı sayfasında bulunabilir. Apple, yayınlanan her bir ana iOS sürümüne ilişkin CoreCrypto ve CoreCrypto Çekirdek modüllerinin doğrulanmasında etkin bir şekilde görev almaktadır. Doğrulama işlemi, yalnızca son modül sürümünde gerçekleştirilebilir ve işletim sistemi genel kullanıma sunulduktan sonra resmi olarak gönderilir. CMVP, artık şifreleme modüllerinin doğrulama durumlarını, geçerli durumlarına göre iki ayrı listede saklamaktadır. Modüller önce Implementation Under Test List'e eklenir, ardından Modules in Process List'e taşınır.

iOS 12

Apple, bu yılın sonlarında kullanıma sunulacak iOS 12'de kullanılan CoreCrypto v9.0 modüllerinin doğrulanmasına etkin bir şekilde katılmaktadır.

İlgili doğrulama

iOS 10

iOS 9

Önceki sürümler

Şu eski iOS sürümlerinin şifreleme modülü doğrulamaları yapılmış ve artık arşivlenmiştir:

  • iOS 8
  • iOS 7

Güvenlik konfigürasyonu kılavuzları

Güvenliğe önem veren kuruluşlar, çeşitli platformların kabul edilen kullanım için nasıl yapılandırılacağı hakkında iyi tanımlanmış ve ayrıntılı yönergeler sağlar. Güvenlik Konfigürasyonu Kılavuzları, macOS ve iOS'te korumayı geliştirmek için kullanabileceğiniz ve "aygıtınızı güçlendirme" olarak bilinen özelliklerle ilgili genel bakış sağlar. Dünya çapında çeşitli hükümetler Apple ile birlikte çalışarak daha güvenli bir ortamın sağlanması için yönergeler ve öneriler içeren kılavuzlar hazırlamıştır. 

Bu kılavuzları kullanmak için deneyimli bir kullanıcı veya sistem yöneticisi olmanız, kullanıcı arabirimine aşina olmanız ve hedef platform için hazırlanmış yönetim araçlarını kullanma deneyimine sahip olmanız gerekir. Ağ ile ilgili temel kavramlara aşina olmanız da işinize yarayacaktır. Bu kılavuzlardaki bazı yönergeler karmaşıktır ve bunların hatalı uygulanması olumsuz etkiler yaratabilir veya koruma düzeyinin düşmesine yol açabilir. Dağıtımdan önce aygıtınızın ayarlarında yapılan tüm değişiklikleri dikkatli bir şekilde test edin.

iOS Güvenliği Kılavuzu'nda (PDF) daha fazla bilgi sağlanmıştır.

Almanya (BSI)
Konfigürasyon Önerisi


Birleşik Krallık (NCSC)
EUD Security Guidance: iOS 11


Amerika Birleşik Devletleri (DISA, NIST ve NSA)
Apple iOS 10 ISCG
SCAP-on-Apple
CIS: Center for Internet Security

Avustralya (ASD)
iOS Hardening Guidance
iOS Hardening Guide (PDF)
iOS Hardening Guide (iBook)


Yeni Zelanda (GCSB)
iOS Hardening Guidance
iOS Hardening Guide (PDF)
iOS Hardening Guide (iBook)

 

Güvenlik sertifikaları

Apple'ın genel olarak bilinen, etkin ve tamamlanmış sertifikalarının listesi.

ISO 27001 ve 27018 Sertifikası

Apple, 11 Temmuz 2017 tarihli Uygulanabilirlik Bildirgesi 2.1 uyarınca şu ürünleri ve servisleri destekleyen altyapı, geliştirme ve işlemlere ilişkin olarak Bilgi Güvenliği Yönetim Sistemi standardı için ISO 27001 ve ISO 27018 sertifikalarını almıştır: Apple Okul Yönetimi, iTunes U, iCloud, iMessage, FaceTime, Yönetilen Apple Kimlikleri, Siri ve Okul. Apple'ın ISO standartlarına uygunluğu Birleşik Krallık Ulusal Standartlar Kurumu (BSI) tarafından sertifikalanmıştır. BSI web sitesinde ISO 27001 ve ISO 27018 uyumluluk sertifikaları yer almaktadır.

Ortak Kriterler Sertifikası

Bu sertifikanın amacı, Ortak Kriterler topluluğu tarafından belirtildiği şekilde, Bilgi Teknolojisi ürünlerinin anlaşılır ve güvenilir bir değerlendirmesini sunmak için uluslararası düzeyde onaylı güvenlik standartlarının oluşturulmasıdır. Ortak Kriterler Sertifikası ürünün, güvenlik standartlarını karşılayıp karşılamadığına ilişkin bağımsız bir değerlendirme sağlayarak müşterilerin Bilgi Teknolojisi ürünlerinin güvenliğinden emin olmasına ve daha bilinçli kararlar vermesine olanak sağlar.

İmzalanan Ortak Kriterleri Tanıma Anlaşması (CCRA) ile, üye ülkeler, Bilgi Teknolojisi ürünlerine yönelik bu sertifikayı aynı güven düzeyinde tanımayı kabul etmiştir. Yeni teknolojilerin ele alınması için üye sayısı ve Koruma Profilleri'nin kapsamı yıllık bazda büyümeye devam etmektedir. Bu anlaşma, ürün geliştiricilerinin, herhangi bir Yetkilendirme Programı kapsamında tek bir sertifika almak için çalışmasına izin verir.

Belirli çözümlere ve ortamlara odaklanan, hedefe yönelik Koruma Profilleri'nin (PP) geliştirilmesiyle eski Koruma Profilleri arşivlenmiş ve değiştirilmeye başlanmıştır. International Technical Community (iTC), tüm CCRA üyelerinin tanıma konusunda ortak hareket edebilmesini sağlamak için PP'lerde yapılacak tüm geliştirme ve güncellemelerin, sürecin başından beri birden çok programın katılımıyla geliştirilen İş Birliğine Dayalı Koruma Profilleri (cPP) olarak hazırlanmasını teşvik etmektedir.

Apple, 2015 yılının başından itibaren belirli PP'lerde bu yeni Ortak Kriterler yapılanması kapsamındaki sertifikaları almak için gereken çalışmalara başlamıştır. Apple'ın genel olarak bilinen, etkin ve tamamlanmış sertifikaları aşağıda listelenmiştir. 

iOS 11

 

Koruma Profili

VID

Tamamlanma Tarihi

Mobil Aygıt

PP_MD_v3.1

10851

30.03.2018

MDM Aracısı

EP_MDM_Agent_v3.0

10851

30.03.2018

WLAN Aracısı

PP_WLAN_CLI_EP_v1.0

10851

30.03.2018

VPN İstemcisi

PP_VPN_IPSEC_CLIENT_V1.4

10876

10.05.2018

Uygulama Yazılımı (Kişiler)

PP_APP_v1.2

10915

ETA: Ağustos 2018

Tarayıcı (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA: Ağustos 2018

Önceki sürümler

Önceki iOS sürümleri artık arşivlenmiş olan sertifikalara sahiptir:

  • iOS 10
  • iOS 9

Ortak Kriterler topluluğu tarafından Koruma Profilleri'nde yapılan ana sürüm güncellemelerinin ek veya güncellenmiş Güvenlik Fonksiyonel Gereksinimleri (SFR) ile birlikte genel olarak 12-18 aylık bir döngüyle yayınlanması beklenmektedir.

Ortak Kriterler Portalı'nda Koruma Profilleri'nin (PP'ler) ve İş Birliğine Dayalı Koruma Profilleri'nin (cPP'ler) tam listesini ve geçerlilik sürelerini bulabilirsiniz. Bunları, ABD programı olan Ulusal Bilgi Güvenliği İş Ortaklığı (NIAP) gibi kendi seçtiğiniz bir programda da bulabilirsiniz.

Devlet kurumlarında kullanım için onaylananlar

Aygıtların devlet kurumlarında kullanılmasını onaylamış belirli ülkelerden bilgiler.

Avustralya Hükümeti


EPL - Değerlendirilen Ürünler Listesi sayfasında özetlendiği gibi:

Avustralya Sinyal Başkanlığı (ASD), Avustralya ve Yeni Zelanda devlet kurumlarında kullanımı açısından ASD tarafından değerlendirilen ICT güvenlik ürünlerinin Değerlendirilen Ürünler Listesini (EPL) tutmaktadır.

  • EPL'deki ürünler belirli amaçlar için sertifikalandırılmıştır.
  • EPL'deki ürünler, Avustralya Hükümeti'nin Information Security Manual (ISM) belgesinde açıklandığı gibi güvenli sistemlerin ve ağların oluşturulması için kullanılabilir.
  • Ürünler, uluslararası olarak kabul gören ISO 15408 Ortak Kriterler (CC) açısından sertifikalandırılmıştır. CC Portalı, ayrıca kullanılabilecek karşılıklı olarak tanınmış sertifikalara sahip diğer ürünleri listeler.
  • ASD'nin sertifikalandırma ofisi olan Australasian Certification Authority, lisanslı ticari değerlendirme tesisleri tarafından yapılan ürün testlerini yöneten Avustralasya Bilgi Güvenliği Değerlendirme Programı'nı (AISEP) denetler.
  • EPL, ASD'nin Şifreli Değerlendirmelerini de listeler.

Ürün: iOS 9
Ürün türü: Mobil Ürünler
Ürün Durumu: Tamamlandı
Güvence Düzeyi: ASD tarafından değerlendirildi
Sürüm: 9.3.5 veya sonraki bir sürümü
Kılavuz: PDF

Birleşik Krallık Hükümeti


NCSC'nin Commercial Product Assurance (Ticari Ürün Güvencesi) - Foundation Grade (Temel Düzey) kapsamındaki ürünler sayfasında açıklandığı üzere:

CPA, raf ömrü olmayan ticari ürünleri ve bunların geliştiricilerini yayınlanmış güvenlik ve geliştirme standartlarına göre değerlendirir. Değerlendirmeden başarılı sonuç alan bir güvenlik ürününe Temel Düzey sertifikası verilir. Bu sertifika, ürünün ticari anlamda iyi bir güvenlik uygulaması sergilediğinin ve tehdit düzeyi düşük ortamlar için uygun olduğunun kanıtlandığı anlamına gelir.

  • CPA sertifikası 2 yıl boyunca geçerlidir ve güvenlik açıklarının yanı sıra güncellemeler gerektiğinde, ürünün sertifika süresince güncellenebilmesine olanak verir. 
  • CPA sertifikası, NATO kataloğu tarafından kabul edilir ve AB kataloğu için gereken değerlendirmelerden biri olarak tanınır.
  • Temel Düzey, NCSC tarafından daha ayrıntılı bir şekilde açıklanmıştır.

ABD Hükümeti


Commercial Solutions for Classified (Gizli Veriler İçin Ticari Çözümler) sayfasında belirtildiği gibi:

ABD Hükümeti'ndeki müşterilerin, misyonlarla ilgili hedeflere ulaşmak üzere piyasanın Ulusal Güvenlik Sistemleri (NSS) kapsamındaki en modern ticari donanım ve yazılım teknolojilerinin anında kullanılmasına yönelik talepleri giderek artmaktadır. Bu nedenle, Ulusal Güvenlik Ajansı/Merkezi Güvenlik Servisi'nin (NSA/CSS) Bilgi Güvence Direktörlüğü (IAD), hızla değişen ve gelişen müşteri gereksinimlerini daha kısa sürede karşılayacak IA çözümleri sunmak için yeni teknolojilerden yararlanma yöntemleri geliştirmektedir.

Gizli NSS verilerini koruyan katmanlı çözümlerde ticari ürünlerin kullanılmasına olanak sağlanması için NSA/CSS'nin Gizli Veriler İçin Ticari Çözümler (CSfC) Programı oluşturulmuştur. Bu program, yıllar değil aylar içinde kullanılmaya başlanabilecek bir çözümle ticari standartlarda güvenli iletişim olanağı sağlayacaktır.

Apple çözümleri giderek daha çok sayıda gizli ortamda kullanılmak isteniyor ancak ürün sertifikalandırma nedenleriyle bu süreçler yavaşlamaktadır. Apple'ın yukarıda belirtilen Koruma Profilleri için Ortak Kriterler Sertifikaları alma çabası, Apple ürünlerinin CSfC Bileşenler Listesi'ne girmesini sağlamıştır.

Apple ürünleri, ilgili koruma profillerinin her biri için Ortak Kriterler Sertifikası almaya başladıkça, ilgili Apple bileşenleri, CSfC Bileşenler Listesi'ne eklenmek üzere onay için gönderilecek ve aşağıdaki tabloya eklenecektir.

CSfC Bileşenler Listesi

Aşağıdaki Apple ürünleri bir CSfC çözümünde kullanılmaya uygundur:

Apple ürünlerini ürünler listenize ekleyin

Giderek daha fazla devlet kurumu, CPA, EPL ve CSfC gibi programlarına Apple ürünlerinin gönderilmesini talep etmektedir. Hükümetinizin çözüm programları konusundaki yetkili temsilcisiyseniz ve Apple ürünlerinin eş değer ürün listenizde yer almasını istiyorsanız lütfen security-certifications@apple.com adresinden bize ulaşın.

Diğer işletim sistemleri

Aşağıdaki ürünler için ürün güvenliği, doğrulamaları ve yönergeleri hakkında daha fazla bilgi edinin:

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: