iOS için ürün güvenliği sertifikaları, doğrulamaları ve yönergeleri

Bu makalede iOS platformları için önemli ürün sertifikalarına, şifreleme doğrulamalarına ve güvenlik yönergelerine ilişkin referanslar yer almaktadır. Herhangi bir sorunuz olursa security-certifications@apple.com adresinden bizimle irtibat kurun.

Şifreleme modülü doğrulamaları

Tüm Apple FIPS 140-2 Uygunluk Doğrulama Sertifikaları CMVP tedarikçisinin sayfasında bulunabilir. Apple, yayınlanan her bir ana iOS sürümüne ilişkin CoreCrypto ve CoreCrypto Çekirdek modüllerinin doğrulanmasında etkin bir şekilde görev almaktadır. Doğrulama işlemi, yalnızca son modül sürümünde gerçekleştirilebilir ve işletim sistemi genel kullanıma sunulduktan sonra resmi olarak gönderilir. CMVP, artık şifreleme modüllerinin doğrulama durumlarını, geçerli durumlarına göre iki ayrı listede saklamaktadır. Modüller önce Implementation Under Test List'e eklenir, ardından Modules in Process List'e taşınır.

iOS 12

İlgili doğrulama (Module in Process)

iOS 11

İlgili doğrulama
Önceki sürümler

Şu eski iOS sürümlerinin şifreleme modülü doğrulamaları yapılmış ve artık arşivlenmiştir:

  • iOS 10
  • iOS 9
  • iOS 8
  • iOS 7

Güvenlik konfigürasyonu kılavuzları

Güvenliğe önem veren kuruluşlar, çeşitli platformların kabul edilen kullanım için nasıl yapılandırılacağı hakkında iyi tanımlanmış ve ayrıntılı yönergeler sağlar. Güvenlik Konfigürasyonu Kılavuzları, macOS ve iOS'te korumayı geliştirmek için kullanabileceğiniz ve "aygıtınızı güçlendirme" olarak bilinen özelliklerle ilgili genel bakış sağlar. Dünya çapında çeşitli hükümetler Apple ile birlikte çalışarak daha güvenli bir ortamın sağlanması için yönergeler ve öneriler içeren kılavuzlar hazırlamıştır. 

Bu kılavuzları kullanmak için deneyimli bir kullanıcı veya sistem yöneticisi olmanız, kullanıcı arabirimine aşina olmanız ve hedef platform için hazırlanmış yönetim araçlarını kullanma deneyimine sahip olmanız gerekir. Ağ ile ilgili temel kavramlara aşina olmanız da işinize yarayacaktır. Bu kılavuzlardaki bazı yönergeler karmaşıktır ve bunların hatalı uygulanması olumsuz etkiler yaratabilir veya koruma düzeyinin düşmesine yol açabilir. Dağıtımdan önce aygıtınızın ayarlarında yapılan tüm değişiklikleri dikkatli bir şekilde test edin.

iOS Güvenliği Kılavuzu'nda (PDF) daha fazla bilgi sağlanmıştır.

Güvenlik sertifikaları

Apple'ın genel olarak bilinen, etkin ve tamamlanmış sertifikalarının listesi.

ISO 27001 ve 27018 Sertifikası

Apple, 05.11.2018 tarihli Uygulanabilirlik Bildirgesi 2.2 uyarınca şu ürünleri ve servisleri destekleyen altyapı, geliştirme ve işlemlere ilişkin olarak Bilgi Güvenliği Yönetim Sistemi standardının uygulanması için ISO 27001 ve ISO 27018 sertifikalarını almıştır: Apple Okul Yönetimi, iTunes U, iCloud, iMessage, FaceTime, Yönetilen Apple Kimlikleri, Siri ve Okul. Apple'ın ISO standartlarına uygunluğu Birleşik Krallık Ulusal Standartlar Kurumu tarafından sertifikalanmıştır. BSI web sitesinde ISO 27001 ve ISO 27018 uyumluluk sertifikaları yer almaktadır.

Ortak Kriterler Sertifikası

Bu sertifikanın amacı, Ortak Kriterler topluluğu tarafından belirtildiği şekilde, Bilgi Teknolojisi ürünlerinin anlaşılır ve güvenilir bir değerlendirmesini sunmak için uluslararası düzeyde onaylı güvenlik standartlarının oluşturulmasıdır. Ortak Kriterler Sertifikası ürünün, güvenlik standartlarını karşılayıp karşılamadığına ilişkin bağımsız bir değerlendirme sağlayarak müşterilerin Bilgi Teknolojisi ürünlerinin güvenliğinden emin olmasına ve daha bilinçli kararlar vermesine olanak sağlar.

İmzalanan Ortak Kriterleri Tanıma Anlaşması (CCRA) ile, üye ülkeler ve bölgeler, Bilgi Teknolojisi ürünlerine yönelik bu sertifikayı aynı güven düzeyinde tanımayı kabul etmiştir. Yeni teknolojilerin ele alınması için üye sayısı ve Koruma Profilleri'nin kapsamı yıllık bazda büyümeye devam etmektedir. Bu anlaşma, ürün geliştiricilerinin, herhangi bir Yetkilendirme Programı kapsamında tek bir sertifika almak için çalışmasına izin verir.

Belirli çözümlere ve ortamlara odaklanan, hedefe yönelik Koruma Profilleri'nin (PP) geliştirilmesiyle eski Koruma Profilleri arşivlenmiş ve değiştirilmeye başlanmıştır. International Technical Community (iTC), tüm CCRA üyelerinin tanıma konusunda ortak hareket edebilmesini sağlamak için PP'lerde yapılacak tüm geliştirme ve güncellemelerin, sürecin başından beri birden çok programın katılımıyla geliştirilen İş Birliğine Dayalı Koruma Profilleri (cPP) olarak hazırlanmasını teşvik etmektedir.

Apple, 2015 yılının başından itibaren belirli PP'lerde bu yeni Ortak Kriterler yapılanması kapsamındaki sertifikaları almak için gereken çalışmalara başlamıştır. Apple'ın genel olarak bilinen, etkin ve tamamlanmış sertifikaları aşağıda listelenmiştir. 

iOS 12

 

Koruma Profili

VID

Tamamlanma Tarihi

Mobil Aygıt

PP_MD_v3.1

10937

2019.03

MDM Aracısı

EP_MDM_Agent_v3.0

10937

2019.03

WLAN Aracısı

PP_WLAN_CLI_EP_v1.0

10937

2019.03

VPN İstemcisi

MOD_VPN_CLI_V2.1

10937

2019.03

Uygulama Yazılımı (Kişiler)

PP_APP_v1.2

10961

2019.02

Tarayıcı (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10960

ETA: 2019.06

In Eval Link

iOS 11

 

Koruma Profili

VID

Tamamlanma Tarihi

Mobil Aygıt

PP_MD_v3.1

10851

30.03.2018

MDM Aracısı

EP_MDM_Agent_v3.0

10851

30.03.2018

WLAN Aracısı

PP_WLAN_CLI_EP_v1.0

10851

30.03.2018

VPN İstemcisi

PP_VPN_IPSEC_CLIENT_V1.4

10876

10.05.2018

Uygulama Yazılımı (Kişiler)

PP_APP_v1.2

10915

2018.09.13

Tarayıcı (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

2018.11.09

Önceki sürümler

Önceki iOS sürümleri artık arşivlenmiş olan sertifikalara sahiptir:

  • iOS 10
  • iOS 9

Ortak Kriterler topluluğu tarafından Koruma Profilleri'nde yapılan ana sürüm güncellemelerinin ek veya güncellenmiş Güvenlik Fonksiyonel Gereksinimleri (SFR) ile birlikte genel olarak 12-18 aylık bir döngüyle yayınlanması beklenmektedir.

Ortak Kriterler Portalı'nda Koruma Profilleri'nin (PP'ler) ve İş Birliğine Dayalı Koruma Profilleri'nin (cPP'ler) tam listesini ve geçerlilik sürelerini bulabilirsiniz. Bunları, ABD programı olan Ulusal Bilgi Güvenliği İş Ortaklığı (NIAP) gibi kendi seçtiğiniz bir programda da bulabilirsiniz.

Devlet kurumlarında kullanım için onaylananlar

Aygıtların devlet kurumlarında kullanılmasını onaylamış belirli ülke ve bölgelerden bilgiler.

Avustralya Hükümeti

EPL - Değerlendirilen Ürünler Listesi sayfasında özetlendiği gibi:

Avustralya Sinyal Başkanlığı (ASD), Avustralya ve Yeni Zelanda devlet kurumlarında kullanımı açısından ASD tarafından değerlendirilen ICT güvenlik ürünlerinin Değerlendirilen Ürünler Listesini (EPL) tutmaktadır.

  • EPL'deki ürünler belirli amaçlar için sertifikalandırılmıştır.
  • EPL'deki ürünler, Avustralya Hükümeti'nin Information Security Manual (ISM) belgesinde açıklandığı gibi güvenli sistemlerin ve ağların oluşturulması için kullanılabilir.
  • Ürünler, uluslararası olarak kabul gören ISO 15408 Ortak Kriterler (CC) açısından sertifikalandırılmıştır. CC Portalı, ayrıca kullanılabilecek karşılıklı olarak tanınmış sertifikalara sahip diğer ürünleri listeler.
  • ASD'nin sertifikalandırma ofisi olan Australasian Certification Authority, lisanslı ticari değerlendirme tesisleri tarafından yapılan ürün testlerini yöneten Avustralasya Bilgi Güvenliği Değerlendirme Programı'nı (AISEP) denetler.
  • EPL, ASD'nin Şifreli Değerlendirmelerini de listeler.

Ürün: iOS 9
Ürün türü: Mobil Ürünler
Ürün Durumu: Tamamlandı
Güvence Düzeyi: ASD tarafından değerlendirildi
Sürüm: 9.3.5 veya sonraki bir sürümü
Kılavuz: PDF

Birleşik Krallık Hükümeti

NCSC'nin Commercial Product Assurance (Ticari Ürün Güvencesi) - Foundation Grade (Temel Düzey) kapsamındaki ürünler sayfasında açıklandığı üzere:

CPA, raf ömrü olmayan ticari ürünleri ve bunların geliştiricilerini yayınlanmış güvenlik ve geliştirme standartlarına göre değerlendirir. Değerlendirmeden başarılı sonuç alan bir güvenlik ürününe Temel Düzey sertifikası verilir. Bu sertifika, ürünün ticari anlamda iyi bir güvenlik uygulaması sergilediğinin ve tehdit düzeyi düşük ortamlar için uygun olduğunun kanıtlandığı anlamına gelir.

  • CPA sertifikası 2 yıl boyunca geçerlidir ve güvenlik açıklarının yanı sıra güncellemeler gerektiğinde, ürünün sertifika süresince güncellenebilmesine olanak verir. 
  • CPA sertifikası, NATO kataloğu tarafından kabul edilir ve AB kataloğu için gereken değerlendirmelerden biri olarak tanınır.
  • Temel Düzey, NCSC tarafından daha ayrıntılı bir şekilde açıklanmıştır.

Almanya Hükümeti

Mobil İletişim sayfasında belirtildiği gibi:

Genel Bakış

Mesleki ve özel hayata yönelik bir dizi avantaj sunan akıllı telefonlar ve tabletler hayatın tüm alanlarında vazgeçilmez hale gelmiştir. Ancak, hassas bilgilerle işlem yaparken, mobil BT ve iletişim teknolojisi kullanılması sık sık güvenlik riskine yol açar.

Federal yönetimde güvenli mobil iletişim çözümlerinin kullanılması, her zaman için hem modern mobil çalışma gereksinimlerinin hem de hassas verilerin işlenmesinden kaynaklanan yüksek güvenlik gereksinimlerinin karşılanması amacına yönelik olmalıdır.

Federal yönetimde arz güvenliğinin sağlanması için, çeşitli sağlayıcılar bulunması da önemlidir. "Güvenli mobil çalışma: problem tanımı, teknik gereksinimler ve federal yönetimde mobil aygıt kullanımı gereksinimlerini temel alan çözümler" başlıklı broşürde ayrıntılı bilgi sağlanmıştır.

SecurePIM Government SDS

İşletim sistemi: iOS

Onay: VS-NfD

Üretici: Virtual Solution AG

En yeni iOS aygıtları (iPhone, iPad - iOS sürüm ≥ 12)

ABD Hükümeti

Commercial Solutions for Classified (Gizli Veriler İçin Ticari Çözümler) sayfasında belirtildiği gibi:

ABD Hükümeti'ndeki müşterilerin, misyonlarla ilgili hedeflere ulaşmak üzere piyasanın Ulusal Güvenlik Sistemleri (NSS) kapsamındaki en modern ticari donanım ve yazılım teknolojilerinin anında kullanılmasına yönelik talepleri giderek artmaktadır. Bu nedenle, Ulusal Güvenlik Ajansı/Merkezi Güvenlik Servisi'nin (NSA/CSS) Bilgi Güvence Direktörlüğü (IAD), hızla değişen ve gelişen müşteri gereksinimlerini daha kısa sürede karşılayacak IA çözümleri sunmak için yeni teknolojilerden yararlanma yöntemleri geliştirmektedir.

Gizli NSS verilerini koruyan katmanlı çözümlerde ticari ürünlerin kullanılmasına olanak sağlanması için NSA/CSS'nin Gizli Veriler İçin Ticari Çözümler (CSfC) Programı oluşturulmuştur. Bu program, yıllar değil aylar içinde kullanılmaya başlanabilecek bir çözümle ticari standartlarda güvenli iletişim olanağı sağlayacaktır.

Apple çözümleri giderek daha çok sayıda gizli ortamda kullanılmak isteniyor ancak ürün sertifikalandırma nedenleriyle bu süreçler yavaşlamaktadır. Apple'ın yukarıda belirtilen Koruma Profilleri için Ortak Kriterler Sertifikaları alma çabası, Apple ürünlerinin CSfC Bileşenler Listesi'ne girmesini sağlamıştır.

Apple ürünleri, ilgili koruma profillerinin her biri için Ortak Kriterler Sertifikası almaya başladıkça, ilgili Apple bileşenleri, CSfC Bileşenler Listesi'ne eklenmek üzere onay için gönderilecek ve aşağıdaki tabloya eklenecektir.

CSfC Bileşenler Listesi

Aşağıdaki Apple ürünleri bir CSfC çözümünde kullanılmaya uygundur:

Apple ürünlerini ürünler listenize ekleyin

Giderek daha fazla devlet kurumu, CPA, EPL ve CSfC gibi programlarına Apple ürünlerinin gönderilmesini talep etmektedir. Hükümetinizin çözüm programları konusundaki yetkili temsilcisiyseniz ve Apple ürünlerinin eş değer ürün listenizde yer almasını istiyorsanız lütfen security-certifications@apple.com adresinden bize ulaşın.

Diğer işletim sistemleri

Aşağıdaki ürünler için ürün güvenliği, doğrulamaları ve yönergeleri hakkında daha fazla bilgi edinin:

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: