Yönetilen Aygıt Onaylama’yı dağıtma
Yönetilen Aygıt Onaylama, aygıt özelliğinin gizlenmesi, anahtar çıkarılması ve kimliğe bürünme gibi birçok saldırı türünü engellemeye yardımcı olabilecek yönetilen aygıtları korumak için güçlü bir teknolojidir. Yönetilen Aygıt Onaylama iki teknolojiden oluşur:
Aygıt bilgileri onaylaması, aygıt yönetimi servisi
DeviceInformationsorgusuna yanıt olarak yönetilen bir aygıtın onaylanmış özelliklerini sağlar. Bu, aygıt yönetimi servisine aygıtla ilgili önemli güvenlik ve uyumluluk bilgileri verir.ACME onaylaması, güvenen taraflara aygıtın kimliğini kanıtlar. Aygıtta donanıma bağlı bir kimlik sağlar. İstemci bir ACME sunucusundan sertifika istediğinde, aynı onaylanmış özellikleri sağlar.
Bu iki teknoloji, Apple aygıtlarına bağlı sıfır güven mimarisi yaratmanızı sağlayan güçlü yapı taşlarıdır. Yönetilen aygıtlar etrafında oluşturulmuş dağıtım modelinin onaylamaları doğru bir şekilde içermesi durumunda kuruluşların yalnızca güvenlik yararlarını elde ettiği belirtmek önemlidir. Bu sayfa bazı olası dağıtım modellerini açıklar.
Bileşenler
Yönetilen Aygıt Onaylama çevresindeki bir dağıtım modeli şu bileşenleri içerir:
Aygıt: Yönetilen aygıt (iPhone, iPad, Mac, Apple TV veya Apple Vision Pro).
Aygıt yönetimi servisi: Aygıt yönetimi protokolünü kullanarak aygıtları yöneten servis.
ACME sunucusu: Aygıtlara istemci sertifikaları veren sunucu.
Güvenen taraflar: Kimliğin sertifikasını kullanan taraflar. Bunlar arasında web sunucuları, VPN sunucuları, imzalı e-posta iletilerinin alıcıları vb. bulunur. Aygıt yönetimi servisi aynı zamanda güvenen bir taraf olarak da işlev görür.
Dağıtım modelleri
Bu belge, altyapı gereksinimleri ve entegrasyonlar açısından artan talebin yanı sıra artan esneklik ile üç dağıtım modelini açıklar:
Aygıt yönetimi kanalını güvenli hâle getirme: Bu model, bir aygıt ile aygıt yönetimi servisi arasındaki iletişimi güçlendirir. Aygıt yönetimi servisinin hangi aygıtı yönettiğini bilmesini sağlar ve aygıtın kuruluş politikalarıyla uyumlu olduğuna dair güçlü kanıtlar sunar.
ACME sunucusu tarafından yönetilen yetkilendirme: Bu, Sertifika Otoritesi’ne aygıtın kimlik doğrulaması ve yetkilendirilmesi üzerinde denetim verir. Güvenilen taraflar yalnızca sertifikanın geçerli olup olmadığını ve güvenilir bir Sertifika Otoritesi tarafından verilip verilmediğini değerlendirir.
Farklı yetkilendirme: Kimlik doğrulamadan ACME sunucusu sorumludur ve güvenen taraflar kimlik doğrulamaya göre yetkilendirme yapar. Bu, her bir güvenen tarafın kendi farklı yetkilendirme kararını vermesini sağlar.
Aygıt yönetimi kanalı dağıtım modelini güvenli hâle getirme
Aygıt yönetimi protokolü, aygıtın istemci kimliğini kullanarak aygıt yönetimi servisine kendi kimlik doğrulamasını yapmasını gerektirir. Bu kimlik aygıt kaydı sırasında sağlanır. Bu dağıtım modelinde istemci kimliğinin sağlanması ACME onaylamasını kullanır. Bu, aygıt yönetimi servisine gelen her bir bağlantının kaydedilen aynı geçerli Apple aygıtı tarafından başlatıldığına dair çok güçlü bir güvence sağlar. Kayıt bir Kullanıcı Kaydı değilse aygıt yönetimi servisi, aygıtın seri numarası ve UDID’si hakkında da çok güçlü kanıtlara sahiptir.
Bu dağıtım modelinde verilen kimlikler, yalnızca yönetilen aygıtlar tarafından aygıt yönetimi servisinde kimlik doğrulamak için kullanılır. Bu, aygıt yönetimi servisinin aynı zamanda güvenen taraf ve genellikle sertifikaları veren örnek olduğu anlamına gelir.
Bu dağıtım modelini kullanmak için kimlik, aygıta ACME verisi içeren bir kayıt profili sunularak kayıt sırasında sağlanır (başlangıçta Yönetilen Aygıt Onaylama kullanmayan var olan bir kaydı “yükseltmek” de mümkündür). Aygıt, sağlanan bilgileri kullanarak sertifika istemek için aygıt yönetimi servisinin ACME bileşeniyle iletişim kurar. Özel kuralları da kullanabilirsiniz ancak genellikle şu durumlarda bir sertifika verilir:
Aygıt, örneğin Apple Okul Yönetimi’ne veya Apple İşletme Yönetimi’ne kayıtlı olduğu için önceden bilinir.
Aygıt, kullanıcı tarafından kimliği doğrulanan bir kayıtla ilgilidir.
Aygıt kaydedildikten sonra aygıt yönetimi servisi, aygıt işletim sistemi sürümü ve FileVault durumu gibi onaylanmış dinamik özellikleri sorgulamak için aygıt bilgisi onaylamasını kullanarak aygıt kuruluş gereksinimleri karşılayana kadar uygulamaları, konfigürasyonları ve hesapları da tutabilir.
İlgili değişiklikler olduğunda yeni bir onaylama istemek için aynı yaklaşım kullanılabilir.
Bu senaryo için daha karmaşık bir ayarlama, aygıt yönetimi servisinin dışında bir ACME sunucusu içerir. Bunun için aygıt ve kayıt kimlik doğrulama durumu hakkında bilgi almak üzere ACME ile aygıt yönetimi servisi arasında bir entegrasyon ya da aygıt yönetimi servisinin güven değerlendirmesi gerçekleştirmesini sağlamak üzere onaylamadan kalıcı bilgiler içeren sertifikalar verilmesi gerekir.
ACME sunucusu tarafından yönetilen yetkilendirme dağıtım modeli
Bu dağıtım modelinde bir aygıt için yetkilendirme yalnızca verilen sertifikanın güvenilir olup olmadığına bağlıdır. ACME akışı sırasında ACME sunucusu bir sertifika verip vermeyeceğine karar verir. Karar, onaylama sertifikasında bulunan bilgiler dışında herhangi bir bilgi gerektiriyorsa ACME sunucusu bu bilgileri toplamalıdır. ACME sunucusu yalnızca güven değerlendirmesi geçerse ve aygıt kuruluş tarafından tanımlanan ölçütleri karşılıyorsa sertifika verir.
Örneğin, kuruluşunuzun yetkili aygıtların bir aygıt yönetimi servisine kaydettirilmesini gerektirmesi durumunda ACME ile aygıt yönetimi servisi arasında bir bağlantı olması gerekir.
Bu dağıtım modeli, aynı yetkilendirme koşullarını kullanan pek çok güvenen taraf olduğunda en iyi sonucu verir. ACME sunucusu güven değerlendirmesini gerçekleştirdikten sonra güvenen tarafların erişimi doğrulamak için yalnızca standart sertifika doğrulama ve güven değerlendirmesi gerçekleştirmesi gerekir.
Not: Güvenlik gereksinimlerinize bağlı olarak, sertifika sürelerini ayarlayarak veya güvenen taraf tarafından yapılan iptal denetimini değiştirerek örneğin yetkilendirmesini kaybeden aygıtlarla dağıtımın nasıl başa çıktığını göz önünde bulundurmak isteyebilirsiniz.
Farklı yetkilendirme dağıtım modeli
Bu dağıtım modelinde ACME sunucusu yalnızca aygıtın kimliğini doğrulayan bir sertifika vermekle sorumludur. Güvenen taraflar, aygıtın kimlik sertifikasını her değerlendirdiğinde yetkilendirmeyi belirler ve kendi bireysel yetkilendirme kurallarını uygular.
ACME sunucusu, güvenen tarafların aygıtı tanımlaması ve yetkilendirmesi için gereken tüm durum bilgisi olmayan bilgileri, örneğin ACME sunucusunun onaylama sertifikasında aldığı verileri verilen sertifikaya dahil etmelidir.
Aygıt bağlandığında, verilen sertifikanın güvenilirliğini doğrulamanın yanı sıra güvenen taraf aygıt yönetimi servisinden herhangi bir dinamik özellik de sorgulayabilir. Bu, yetkilendirme kararlarının güncel bilgilere dayanmasını sağlar ve yetkisizleştirme ve yeniden yetkilendirme olaylarını da destekleyebilir. Kuruluş gereksinimlerine ve güvenen tarafın kritikliğine bağlı olarak yetkilendirme kararları, tekrarlanan bağlantı olaylarını işlemek ve yetkilendirme kararlarını hızlandırmak için belirli bir süre boyunca önbelleğe de alınabilir.