Přehled sítí VPN pro nasazení zařízení Apple
Systémy iOS, iPadOS, macOS, tvOS, watchOS a visionOS nabízejí zabezpečený přístup k privátním podnikovým sítím s využitím uznávaného průmyslového standardu protokolů virtuálních privátních sítí (VPN).
Podporované protokoly
Systémy iOS, iPadOS, macOS, tvOS, watchOS a visionOS podporují následující protokoly a metody ověřování:
IKEv2: Podpora protokolů IPv4 i IPv6 a následujících položek:
Metody ověřování: sdílený tajný klíč, certifikáty, EAP‑TLS a EAP‑MSCHAPv2
Šifrování Suite B: certifikáty ECDSA, šifrování ESP s GCM a skupiny ECP pro Diffieho‑Hellmanovu skupinu
Další funkce: MOBIKE, fragmentace IKE, přesměrování serveru, dělené tunelové propojení
Systémy iOS, iPadOS, macOS a visionOS také podporují následující protokoly a metody ověřování:
L2TP over IPsec: ověření uživatele pomocí hesla MS‑CHAP v2, dvoufaktorového tokenu, certifikátu, ověření počítače pomocí sdíleného tajného klíče nebo certifikátu
Systém macOS podporuje také ověřování identity Kerberos pomocí sdíleného tajného klíče nebo certifikátu s protokolem L2TP over IPsec.
IPsec: ověření uživatele pomocí hesla, dvoufaktorového tokenu, ověření počítače pomocí sdíleného tajného klíče a certifikátů
Pokud vaše organizace tyto protokoly podporuje, pro připojení zařízení Apple k vaší virtuální privátní síti není třeba nastavovat žádné další konfigurační parametry sítě ani používat aplikace nezávislých vývojářů.
Podpora zahrnuje technologie jako IPv6, proxy servery nebo dělené tunelové propojení. Dělené tunelové propojení zajišťuje flexibilní prostředí VPN při připojování k sítím organizace.
Framework Network Extension navíc umožňuje nezávislým vývojářům vytvářet vlastní řešení VPN pro iOS, iPadOS, macOS, tvOS a visionOS. Někteří poskytovatelé VPN vytvořili aplikace, které usnadňují konfiguraci zařízení Apple pro spolupráci s jejich prostředími. Chcete‑li zařízení nakonfigurovat pro prostředí určitého poskytovatele, nainstalujte doprovodnou aplikaci poskytovatele a případně vytvořte konfigurační profil s potřebnými parametry.
VPN na vyžádání
Funkce VPN na vyžádání umožňuje zařízením Apple v systémech iOS, iPadOS, macOS a tvOS automaticky navazovat připojení podle potřeby. Vyžaduje použití metody ověření totožnosti, která nevyužívá komunikaci s uživatelem, například ověřování pomocí certifikátů. K nakonfigurování funkce VPN na vyžádání slouží klíč OnDemandRules v datové části VPN konfiguračního profilu. Pravidla jsou uplatňována ve dvou fázích:
Fáze detekce sítě: Definuje požadavky VPN, které se uplatní při změně primárního síťového připojení zařízení.
Fáze vyhodnocení připojení: Definuje požadavky VPN na žádosti o připojení k názvům domén podle potřeby.
Pomocí pravidel lze například:
rozpoznat, že je zařízení Apple připojeno k interní síti a použití VPN není nutné;
rozpoznat, že je používána neznámá Wi‑Fi síť, a vyžádat si použití VPN;
spustit VPN, pokud selže DNS požadavek na určený název domény.
VPN na úrovni aplikací
Systémy iOS, iPadOS, macOS, watchOS a visionOS 1.1 umožňují navazovat VPN připojení na úrovni jednotlivých aplikací, díky čemuž lze získat podrobnější kontrolu nad tím, která data budou VPN sítí procházet. Tato možnost rozčlenění provozu na úrovni aplikací dovoluje oddělit osobní data od organizačních – výsledkem je bezpečné síťové prostředí pro interní aplikace, které současně chrání soukromí aktivit na osobních zařízeních.
VPN na úrovni aplikací umožňuje každé aplikaci, která je spravována službou správy mobilních zařízení (MDM), komunikovat s privátní sítí prostřednictvím zabezpečeného tunelového propojení a současně zabraňuje v používání privátní sítě nespravovaným aplikacím. Spravované aplikace lze nakonfigurovat pro různá VPN připojení a ještě tak posílit ochranu dat. Aplikace pro prodejní nabídky může například používat zcela jiné datové centrum než aplikace pro účetnictví.
Pokud jste u některého VPN připojení vytvořili konfiguraci VPN na úrovni aplikací, musíte toto připojení přidružit k aplikaci, která je využívá k zabezpečení svého síťového provozu. To lze provést prostřednictvím datové části mapování VPN na úrovni aplikací (macOS) nebo zadáním konfigurace VPN v příkazu pro instalaci aplikace (iOS, iPadOS, macOS, visionOS 1.1).
VPN na úrovni aplikací lze nakonfigurovat pro práci s IKEv2 VPN klientem integrovaným do systému iOS, iPadOS, watchOS a visionOS 1.1. Informace o podpoře VPN na úrovni aplikací ve vlastních řešeních VPN vám poskytnou vaši dodavatelé řešení VPN.
Poznámka: Aby bylo možné VPN na úrovni aplikací v iOS, iPadOS, watchOS 10 a visionOS 1.1 používat, musí být daná aplikace spravována službou MDM.
Funkce „VPN vždy zapnuto“
Trvale zapnutá VPN dostupná pro IKEv2 poskytuje vaší organizaci plnou kontrolu nad síťovým provozem v systémech iOS a iPadOS díky tomu, že veškerý IP provoz směruje tunelovým propojením zpět do organizace. Vaše organizace může nyní monitorovat a filtrovat příchozí i odchozí datový provoz zařízení, zabezpečit data ve vaší síti a omezit přístup zařízení k internetu.
Funkci „VPN vždy zapnuto“ lze aktivovat jen u zařízení pod dohledem. Po instalaci profilu „VPN vždy zapnuto“ na zařízení se tato funkce aktivuje automaticky bez jakékoli interakce s uživatelem a zůstává zapnutá (a to i po novém restartu systému), dokud není profil „VPN vždy zapnuto“ odinstalován.
Pokud je na zařízení aktivována funkce „VPN vždy zapnuto“, váže se navazování a rušení tunelového propojení VPN na stav IP rozhraní. Pokud zařízení získá přístup k IP síti, pokusí se vytvořit tunelové propojení. Když je stav IP rozhraní deaktivován, dojde ke zrušení tunelového propojení.
Funkce „VPN vždy zapnuto“ podporuje také tunelová propojení vázaná na rozhraní. U zařízení s mobilním připojením je zřízeno jedno tunelové propojení pro každé aktivní IP rozhraní (jedno tunelové propojení pro mobilní rozhraní a druhé pro Wi-Fi rozhraní). Pokud jsou tunelová propojení VPN v provozu, prochází jimi veškerý IP provoz, tj. veškerý provoz se směrováním IP a veškerý provoz spadající do oboru IP (data aplikací společnosti Apple, například FaceTime a Messages). Nejsou‑li tunelová propojení v provozu, je veškerý IP provoz zahazován.
Veškerý datový provoz odcházející tunelovým propojením ze zařízení se dostává na VPN server. Před dalším směrováním provozu do cíle ve vaší organizaci nebo na internetu můžete data nechat procházet volitelným filtrováním a monitorováním. Podobně také datový provoz ve směru do zařízení prochází přes VPN server vaší organizace, kde mohou proběhnout filtrovací a monitorovací procesy, než budou data přeposlána do zařízení.
Poznámka: Při použití trvale zapnuté VPN není k dispozici párování Apple Watch.
Transparentní proxy
Transparentní proxy servery jsou speciální typ proxy v systému macOS, který je možné použít různými způsoby ke sledování a transformaci síťového provozu. Běžně je využívají systémy filtrování obsahu a zprostředkovatelé přístupu ke cloudovým službám. Vzhledem k různorodosti použití je dobré definovat pořadí, v jakém budou tyto proxy servery zobrazovat a zpracovávat provoz. Příklad: Chcete vyvolat proxy server filtrující síťový provoz před vyvoláním proxy serveru, který provoz šifruje. Požadovaného výsledku dosáhnete definováním pořadí v datové části VPN.