在 WWDC 2022 上宣布的 Managed Device Attestation 保护表明 Apple 正在调整设备安全保护以适应日益分散的时代。
保护端点,而不是结束时间
这种调整反映了现实的转变。 今天,工作不会发生在特定的服务器上或定义的防火墙后面。 VPN 访问可能因团队而异。 然而,在由多个远程设备(端点)定义的工作场所中,安全威胁比以往任何时候都大。
托管设备认证致力于创建第二个信任边界,设备管理解决方案可以围绕该边界防止攻击。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
这是针对 Apple 平台的广泛且不断增加的安全增强功能之一,包括声明式设备管理、快速安全响应和私人访问令牌。 所有这些解决方案都代表了 Apple 致力于提供坚如磐石的安全性,同时改善用户体验。
这个是来做什么的?
这都是关于哲学的。 Apple 明白安全性必须超越传统的边界保护,例如 VPN 或防火墙。 必须在网络边缘实施保护,并且需要变得越来越自主。 毕竟,保护不能完全依赖于设备和服务器之间的数据流,因为即使是通信也可能被破坏。
托管设备证明形成一个证明点,以帮助保护设备并确认其身份。 可以这样想——作为用户,你可能已经证明了自己的身份,而且你所在的位置可能在你的管理系统看来是可行的——但你如何证明你使用的是已注册的设备?
这就是托管设备证明试图做的事情。 它只需要您信任设备处理器上的 Secure Enclave,并且您还信任 Apple 来证明设备的状态。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
从本质上讲,高度安全的过程共享设备的密钥身份和其他特征,作为向服务保证该设备是它可以支持的服务的证据。 Secure Enclave 向 Apple 的证明服务器提供硬件合法的证据,Apple 将此与服务共享,并且由于服务信任 Apple,因此设备被视为合法。
这个想法是为了防止使用受感染的设备,攻击者通过伪装成合法设备来欺骗服务的情况,或者防止可能拥有用户详细信息但正在从无法识别的地方工作的人进行的访问网络的尝试 设备。
这是如何运作的?
虽然您需要深入挖掘才能掌握系统背后的技术,但下面是一个缩小的解释:
托管设备证明使用 Apple 产品中内置的 Secure Enclave 以及共同确认托管设备身份的加密证明。
当此类设备尝试连接到 MDM、VPN、Wi-Fi 或其他服务时,它还必须确认这是来自合法设备的合法请求。
证明组件以证书的形式出现,旨在为特定设备的合法性提供强有力的保证。 它利用多种技术,包括由 Secure Enclave 生成和保护的 TLS 私钥。
它还使用 Apple 的服务器和(当前)自动化证书管理环境的标准草案。
最简单的情况是,当您希望您的设备获得授权并请求这样做的许可时,设备会向服务发送用户或设备身份等关键信息,以确认它是它声称的身份。 当然,这些信息是安全的,并通过 Apple 服务器工作。
该服务会查看被告知的内容,将其与自己的记录进行比较,验证消息的真实性(如由 Apple 服务器签名和传送)并批准访问。 证明工作得益于 MDM 服务器和公司的自动证书管理环境 (ACME) 协议,该协议使证明可用于 MDM 以外的服务。
这什么时候可用?
随着未来几周新操作系统的出现,托管设备证明将适用于 iOS 16、iPad OS 16 和 tvOS 16。 一旦它出现,Jamf 等 MDM 供应商肯定会支持它。
了解有关托管设备证明的更多信息
Apple 开发人员可以在解释它的 WWDC 2022 会议上以及 Apple 开发人员网站上的广泛设备管理综述中找到有关托管设备证明的更多信息。
