Apple od wielu lat kojarzone jest z wysokim poziomem bezpieczeństwa oraz ochroną prywatności danych swoich użytkowników. Sprzęt firmy Apple cechuje się lepszymi zabezpieczeniami od konkurencyjnych platform. Nie oznacza to jednak, że urządzenia są całkowicie wolne od problemów z bezpieczeństwem cybernetycznym. Skala incydentów powiązanych ze sprzętem pracującymi po kontrolą systemów operacyjnych iOS, iPadOS czy macOS jest zauważalnie mniejsza, niż w przypadku Windows, Linux oraz Android, ale zagrożenia istnieją.

Apple na dorocznej konferencji dla deweloperów WWDC 2022 zaprezentowało nową bezpieczeństwa - Managed Device Attestation. Czym jest nowe rozwiązanie i do czego można je wykorzystać?

Zobacz również:

• Sztuczna inteligencja od Apple wymagać może nowych procesorów

Apple zabezpiecza rozproszone środowiska IT

Apple zdaje sobie sprawę ze zmiany podejścia do pracy. Od dwóch lat mamy do czynienia z mocno rozproszonym środowiskiem IT, w którym większość urządzeń pozostaje poza siedzibą organizacji. Praca nie odbywa się już na konkretnych serwerach ze zdefiniowanymi zaporami, a różni użytkownicy mają dostęp do różnych połączeń VPN. Coraz cześciej dochodzi również do współpracy między działami, która utrudnia dbanie o poprawne udostępnianie poświadczeń. Praca w takim środowisku znacząco zwiększa poziom zagrożeń cybernetycznych do urządzeń końcowych - smartfonów oraz tabletów.

Z tego powodu Apple zdecydowało się na prezentacje rozwiązania Managed Device Attestaton, które ma za zadanie tworzyć dodatkową warstwę zabezpieczeń dla urządzeń wykorzystywanych w organizacjach.

Managed Device Attestation to funkcja, która dołącza do szerokiej i stale rozrastającej się gamy udoskonaleń w zakresie bezpieczeństwa, którą rozwijają inżynierowie od Apple. Managed Device Attestation dołącza do rozbudowanego systemu zarządzania urządzeniami, Rapid Security Response oraz Private Access Tokens. Wszystkie te rozwiązania są efektem prac Apple nad zapewnieniem wysokiego poziomu bezpieczeństwa dla użytkowników w taki sposób, aby nie były one uciążliwe podczas codziennej pracy.

Do czego służy Managed Device Attestation?

Apple zdaje sobie sprawę, że aktualnie stosowane w organizacjach zabezpieczenia takie jak sieci prywatne VPN czy zapory firewall nie sprawdzają się w nowym, rozproszonym modelu pracy. Bezpieczeństwo urządzeń musi odbywać się również w urządzeniach końcowych, a cały system powinien być znaczniej bardziej autonomiczny i niezależny od danych urządzeń. Apple zakłada, że ochrona nie może być całkowicie zależna od przepływu danych pomiędzy urządzeniami końcowymi, a serwerami, ponieważ ta komunikacja może być skompromitowana i wykorzystana do przechwycenia danych.

Managed Device Attestation tworzy dodatkowy punkt dowodowy, który pomaga zabezpieczyć urządzenie końcowe oraz w razie potrzeby potwierdzić jego tożsamość. Funkcja do swojego działania wymaga jedynie Secure Enclave w procesorze urządzenia końcowego oraz zaufania do serwerów Apple w zakresie poświadczenia statusu urządzenia. W zmiana otrzymujemy dodatkowy element potwierdzający tożsamość urządzenia i jego identyfikację w sieci.

Ten wysoce zabezpieczony proces udostępnia kluczowe dane identyfikacyjne i inne cechy urządzenia jako dowody, dzięki którym usługa upewnia się, że sprzęt jest urządzeniem, które może obsługiwać. Secure Enclave dostarcza serwerom atestacyjnym Apple dowodów na to, że sprzęt jest legalny, Apple dzieli się nimi z serwisem, a ponieważ serwis ufa Apple, urządzenie jest postrzegane jako legalne.

Rozwiązanie Managed Device Attestation ma za zadanie chronić przed wykorzystaniem skompromitowanych urządzeń, sytuacjami, w których urządzenie ze złamanymi zabezpieczeniami i złośliwym oprogramowaniem na pokładzie będzie próbować uzyskać dostęp do sieci lub zasobów. Funkcja Managed Device Attestation oznaczy takie urządzenie jako nierozpoznane.

W jaki sposób działa rozwiązanie Managed Device Attestation?

Managed Device Attestation do swojego działania wykorzystuje funkcję Secure Encalve wbudowaną w urządzenia Apple oraz poświadczenia kryptograficzne do potwierdzenia tożsamości zarządzanego urząedznia.

W momencie, gdy urządzenie łączy się z MDM (Mobile Device Management), VPN, Wi-Fi lub innymi usługami, musi potwierdzić, że wysyłane żądanie pochodzi z uprawnionego urząedznia.

Komponent Attestation posiada szereg certyfikatów zaprojektowanych w celu zapewnienia pewności, że określone urządzenie jest zaufane. W tym celu wykorzystywane są między innymi prywatne klucze TLS generowane i chronione przez Secure Enclave.

Całość wykorzystuje również serwery Apple oraz standard Automatic Certificate Management Enviroment.

W praktyce, gdy użytkownik chce, aby jego urządzenie było autoryzowane i prosi o pozwolenie na to, urządzenie wysyła kluczowe informacje, takie jak tożsamość użytkownika lub urządzenia do usługi, aby potwierdzić, że jest tym, za kogo się podaje. Informacje te są odpowiednio zabezpieczone i działają za pośrednictwem serwera Apple.

Usługa analizuje otrzymane informacje, porównuje je z własnymi zapisami, sprawdza, czy wiadomość jest autentyczna (podpisana i dostarczona przez serwery Apple) i zatwierdza dostęp. Managed Device Attestation działa dzięki serwerom MDM i firmowemu protokołowi Automatic Certificate Management Environment (ACME), który udostępnia atestację usługom spoza MDM.

Dla jakich urządzeń dostępne jest rozwiązanie Managed Device Attestation?

Rozwiązanie Managed Device Attestation zostało wprowadzone jako aktualizacji oprogramowania dla wszyskich urządzeń kompatybilnych z systemami operacyjnym iOS 16, iPadOS 16 oraz tvOS 16.

Oznacza to, że po aktualizacji sprzętu rozwiązanie pojawi się na następujących urządzeniach:

• iPhone SE 3. gen. (2022)
• iPhone 13 mini
• iPhone 13
• iPhone 13 Pro
• iPhone 13 Pro Max
• iPhone 12 mini
• iPhone 12
• iPhone 12 Pro
• iPhone 12 Pro Max
• iPhone SE 2. gen. (2020)
• iPhone 11
• iPhone 11 Pro
• iPhone 11 Pro Max
• iPhone XR
• iPhone XS
• iPhone XS Max
• iPhone X
• iPhone 8
• iPhone 8 Plus
• iPad (9,7”): 5. generacji i nowsze
• iPad Air: 3. generacji i nowsze
• iPad mini: 5 generacji i nowsze
• iPad Pro (wszystkie modele)
• Apple TV HD
• Apple TV 4K lub nowszy
• HomePod
• HomePod mini

Managed Device Attestation jest preinstalowane na sprzęcie zaprezentowanym przez Apple we wrześniu 2022 roku oraz później.