Annoncée lors de la WWDC 2022, la protection Managed Device Attestation montre qu’Apple ajuste les protections de sécurité des appareils pour s’adapter à une époque de plus en plus distribuée.
Sécurisez les points de terminaison, pas les temps de fin
Cet ajustement reflète un changement de réalité. Le travail ne se fait pas sur des serveurs spécifiques ou derrière des pare-feux définis aujourd’hui. L’accès VPN peut varier d’une équipe à l’autre. Et pourtant, dans un lieu de travail défini par plusieurs appareils distants (points de terminaison), la menace pour la sécurité est plus grande que jamais.
Managed Device Attestation fonctionne pour créer une deuxième limite de confiance autour de laquelle les solutions de gestion des appareils peuvent fonctionner pour se protéger contre les attaques.
Il s’agit de l’une des nombreuses améliorations de sécurité apportées aux plates-formes d’Apple, notamment la gestion déclarative des appareils, Réponse de sécurité rapideet jetons d’accès privés. Toutes ces solutions représentent le travail d’Apple pour fournir une sécurité à toute épreuve de manière à améliorer également l’expérience utilisateur.
À quoi ça sert?
Tout est question de philosophie. Apple comprend que la sécurité doit évoluer au-delà des protections de périmètre traditionnelles telles que les VPN ou les pare-feu. La protection doit être mise en place à la périphérie du réseau et doit devenir de plus en plus autonome. Après tout, la protection ne peut pas dépendre entièrement du flux de données entre l’appareil et le serveur, car même cette communication peut être compromise.
L’attestation d’appareil géré constitue un point de preuve pour aider à sécuriser l’appareil et confirmer son identité. Pensez-y de cette façon – en tant qu’utilisateur, vous avez peut-être prouvé qui vous êtes et vous vous trouvez peut-être dans un endroit que vos systèmes de gestion considèrent comme viable – mais comment prouver que vous utilisez un appareil enregistré ?
C’est ce que cherche à faire Managed Device Attestation. Il suffit que vous fassiez confiance à Secure Enclave sur le processeur de votre appareil et que vous fassiez également confiance à Apple pour attester de l’état de l’appareil.
Essentiellement, le processus hautement sécurisé partage l’identité clé et d’autres caractéristiques de l’appareil comme preuve avec laquelle rassurer le service que l’appareil est celui qu’il peut prendre en charge. L’enclave sécurisée fournit aux serveurs d’attestation d’Apple la preuve que le matériel est légitime, qu’Apple le partage avec le service, et parce que le service fait confiance à Apple, l’appareil est considéré comme légitime.
L’idée est de se protéger contre l’utilisation d’appareils compromis, les situations dans lesquelles un attaquant usurpe un service en se faisant passer pour un appareil légitime, ou contre les tentatives d’accès au réseau menées par des personnes qui peuvent avoir les détails des utilisateurs mais qui travaillent à partir d’un appareil non reconnu. dispositif.
Comment cela marche-t-il?
Alors que vous devrez creuser profondément pour se familiariser avec la technologie derrière le systèmeune explication agrandie suit :
- L’attestation d’appareil géré utilise l’enclave sécurisée intégrée aux produits Apple ainsi que des attestations cryptographiques qui, ensemble, confirment l’identité d’un appareil géré.
- Lorsqu’un tel appareil tente de se connecter à MDM, VPN, Wi-Fi ou à d’autres services, il doit également confirmer qu’il s’agit d’une demande légitime d’un appareil légitime.
- Le composant Attestation se présente sous la forme de certificats conçus pour fournir des garanties solides qu’un appareil spécifique est légitime. Il exploite plusieurs technologies, dont les clés privées TLS générées et protégées par Secure Enclave.
- Il utilise également les serveurs d’Apple et un projet de norme (actuellement) pour un environnement de gestion automatisée des certificats.
Dans sa forme la plus simple, lorsque vous souhaitez que votre appareil soit autorisé et demandez l’autorisation de le faire, l’appareil envoie des informations clés telles que l’identité de l’utilisateur ou de l’appareil au service pour confirmer qu’il est bien celui qu’il prétend être. Ces informations sont bien sûr sécurisées et fonctionnent via un serveur Apple.
Le service examine ce qui lui a été dit, le compare à ses propres enregistrements, vérifie que le message est authentique (comme signé et livré par les serveurs d’Apple) et approuve l’accès. L’attestation fonctionne grâce aux serveurs MDM et au protocole ACME (Automatic Certificate Management Environment) de l’entreprise, qui rend l’attestation disponible pour les services au-delà du MDM.
Quand sera-t-il disponible ?
L’attestation d’appareil géré sera disponible pour iOS 16, iPad OS 16 et tvOS 16 à mesure que les nouveaux systèmes d’exploitation apparaîtront au cours des prochaines semaines. Les fournisseurs de MDM tels que Jamf adopteront certainement le support pour cela une fois qu’il apparaîtra.
En savoir plus sur l’attestation des appareils gérés
Les développeurs Apple peuvent en savoir plus sur Managed Device Attestation sur le Séance WWDC 2022 qui l’explique et dans ce vaste Tour d’horizon de la gestion des appareils sur le site des développeurs d’Apple.
Merci de me suivre sur Twitterou rejoignez-moi dans le Le bar-grill d’AppleHolic et Discussions Apple groupes sur MeWe.
Copyright © 2022 IDG Communications, Inc.