Použití vestavěných funkcí zabezpečení sítě pro zařízení Apple
Součástí zařízení Apple jsou integrované technologie zabezpečení sítě, které zajišťují autorizaci uživatelů a pomáhají chránit jejich data během přenosu. Podpora zabezpečení sítě v zařízeních Apple zahrnuje:
Integrované protokoly IPsec, IKEv2, L2TP
Přizpůsobená VPN přes aplikace z App Storu (iOS, iPadOS, visionOS)
Přizpůsobená VPN přes VPN klienty třetích stran (macOS)
Zabezpečení Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) a DTLS
Zabezpečení SSL/TLS s certifikáty X.509
Zabezpečení WPA/WPA2/WPA3 Enterprise s protokolem 802.1X
Ověřování pomocí certifikátů
Sdílený tajný klíč a ověřování totožnosti Kerberos
Přístupové tokeny RSA SecurID a CRYPTOCard (macOS)
Služby síťového přenosu v systému iOS, iPadOS, macOS a tvOS
V systémech iOS 17, iPadOS 17, macOS 14 a tvOS 17 nebo novějších lze k zabezpečení síťového provozu pomocí šifrovaného HTTP/3 nebo HTTP/2 připojení použít zabudovanou přenosovou službu v roli alternativní VPN. Služba síťového přenosu je speciální typ proxy optimalizovaný pro výkon, který používá nejnovější protokoly pro transport a zabezpečení. Lze ho použít k zabezpečení síťového provozu přes TCP a UDP pro jednotlivé aplikace, celé zařízení a přístup k interním zdrojům. Je možné provozovat více služeb síťových přenosů najednou (včetně soukromého přenosu přes iCloud), aniž by bylo nutné použít aplikaci. Další informace najdete v části Použití služeb síťových přenosů.
VPN a IPsec
Mnohá podniková prostředí využívají nějakou podobu virtuálních privátních sítí (VPN). Služby VPN obvykle pro spolupráci se zařízeními Apple vyžadují jen minimální nastavení konfigurace, neboť v těchto zařízeních jsou integrovány mnohé běžně používané technologie VPN.
Systémy iOS, iPadOS, macOS, tvOS, watchOS a visionOS podporují protokoly a metody ověřování IPsec. Více informací najdete v části Přehled sítí VPN.
TLS
Kryptografický protokol SSL 3 a symetrické šifrování RC4 jsou v systémech iOS 10 a macOS 10.12 a novějších považovány za zastaralé. U TLS klientů a serverů implementovaných s použitím funkcí API pro bezpečný přenos standardně nejsou šifrovací sady RC4 aktivované. Pokud tedy nejsou k dispozici jiné šifrovací sady, nemůžou tito klienti a servery navázat spojení. Služby a aplikace, které vyžadují šifrování RC4, je třeba v zájmu posílení zabezpečení upgradovat tak, aby umožňovaly použití jiných šifrovacích sad.
K dispozici jsou i další vylepšení zabezpečení:
Povinné podepisování připojení SMB (macOS)
Podpora metody šifrování AES pro systém NFS s protokolem Kerberos v systémech macOS 10.12 a novějších (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
Protokol TLS 1.2 podporuje klíče AES 128 i SHA‑2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalendář, Mail a další internetové aplikace toto zabezpečení využívají ke zřizování šifrovaných komunikačních kanálů mezi systémy iOS, iPadOS, macOS a visionOS a podnikovými službami.
Můžete také nastavit minimální a maximální verzi TLS pro datovou část sítě 802.1X s použitím protokolu EAP-TLS, EAP-TTLS, PEAP a EAP-FAST. Můžete například nastavit:
Obě hodnoty na stejnou specifickou verzi TLS
Minimální verzi TLS na nižší hodnotu a maximální verzi TLS na vyšší hodnotu s následným vyjednáním konkrétní verze se serverem RADIUS
Hodnotu none – žadatel 802.1X pak verzi TLS vyjedná se serverem RADIUS
Systémy iOS, iPadOS, macOS a visionOS vyžadují, aby byl listový certifikát serveru podepsán s použitím podpisových algoritmů z rodiny SHA-2 a aby byl použit buď klíč RSA o délce alespoň 2048 bitů, anebo klíč ECC o délce alespoň 256 bitů.
V systémech iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 a novějších byla přidána podpora protokolu TLS v1.2 u ověřování 802.1X. Pro zajištění kompatibility můžou být nutné následující aktualizace ověřovacích serverů, které podporují zabezpečení TLS 1.2:
Cisco: ISE 2.3.0
FreeRADIUS: Aktualizujte na verzi 2.2.10 nebo 3.0.16.
Aruba ClearPass: Aktualizujte na verzi 6.6.x.
ArubaOS: Aktualizujte na verzi 6.5.3.4.
Microsoft: Windows Server 2012 – server NPS (Network Policy Server).
Microsoft: Windows Server 2016 – server NPS (Network Policy Server).
Další informace o protokolu 802.1X najdete v tématu Připojování zařízení Apple k sítím 802.1X.
WPA2/WPA3
Všechny platformy společnosti Apple podporují ověřovací a šifrovací Wi‑Fi protokoly na úrovni průmyslových standardů, poskytující ověřený přístup a utajení při připojování k následujícím zabezpečeným bezdrátovým sítím:
WPA2 osobní
WPA2 podnikové
WPA2/WPA3 přechodové
WPA3 osobní
WPA3 podnikové
WPA3 podnikové se 192bitovým zabezpečením
Seznam bezdrátových ověřovacích protokolů standardu 802.1X najdete zde: Konfigurace 802.1X pro Mac.
Skrývání a zamykání aplikací
V systémech iOS 18, iPadOS 18 a novějších můžou uživatelé vyžadovat ověření pomocí Face ID, Touch ID nebo přístupového kódu při otvírání aplikací a při jejich skrytí na ploše. MDM může spravovat dostupnost těchto voleb těmito způsoby:
Řízením možnosti uživatele skrývat a zamykat spravované aplikace podle jednotlivých aplikací
Vypnutím skrytí a uzamčení všech aplikací na spravovaných zařízeních
V případě zařízení zaregistrovaných prostřednictvím registrace uživatele jsou skryté aplikace nahlášeny službě MDM jen tehdy, když jsou spravované. V případě zařízení zaregistrovaných prostřednictvím registrace zařízení jsou skryté aplikace nahlášeny službě MDM jako součást všech nainstalovaných aplikací.
Přístup k místním sítím pro macOS
V systému macOS 15 a novějších musí aplikace a spouštěcí agenti od nezávislých vývojářů požádat o povolení interakce se zařízeními v místní síti uživatele při prvním pokusu o procházení této sítě.
Podobně jako v prostředích iOS a iPadOS můžou uživatelé tento přístup povolit nebo zakázat v Nastavení systému > Soukromí > Místní síť.
Šifrování ve službách FaceTime a iMessage
Systémy iOS, iPadOS, macOS a visionOS vytvářejí jedinečné ID pro každého uživatele služeb FaceTime a iMessage, a zaručují tak řádné šifrování, směrování a propojení komunikace.