Επισκόπηση VPN για ανάπτυξη συσκευών Apple
Η ασφαλής πρόσβαση στα ιδιωτικά εταιρικά δίκτυα είναι διαθέσιμη στα iOS, iPadOS, macOS, tvOS, watchOS και visionOS χρησιμοποιώντας καθιερωμένα πρωτόκολλα εικονικού ιδιωτικού δικτύου (VPN).
Υποστηριζόμενα πρωτόκολλα
Τα iOS, iPadOS, macOS, tvOS, watchOS και visionOS υποστηρίζουν τα ακόλουθα πρωτόκολλα και μεθόδους ελέγχου ταυτότητας:
IKEv2: Υποστήριξη για IPv4 και IPv6 και για τα εξής:
Μέθοδοι ελέγχου ταυτότητας: Κοινό μυστικό, πιστοποιητικά, EAP-TLS και EAP-MSCHAPv2
Κρυπτογραφία Suite B: Πιστοποιητικά ECDSA, κρυπτογράφηση ESP με GCM και Ομάδες ECP για ομάδα Diffie-Hellman
Επιπρόσθετες δυνατότητες: MOBIKE, κατακερματισμός IKE, ανακατεύθυνση διακομιστή, διαίρεση σήραγγας
Τα iOS, iPadOS, macOS και visionOS υποστηρίζουν επίσης τα ακόλουθα πρωτόκολλα και μεθόδους ελέγχου ταυτότητας:
L2TP μέσω IPsec: Έλεγχος ταυτότητας χρήστη με συνθηματικό MS-CHAP v2, διακριτικό δύο παραγόντων, πιστοποιητικό, έλεγχος ταυτότητας μηχανήματος βάσει κοινού μυστικού ή πιστοποιητικού
Το macOS μπορεί επίσης να χρησιμοποιήσει τον έλεγχο ταυτότητας μηχανήματος Kerberos βάσει κοινού μυστικού και πιστοποιητικών με L2TP μέσω IPsec.
IPsec: Έλεγχος ταυτότητας χρήστη με συνθηματικό, διακριτικό δύο παραγόντων και έλεγχος ταυτότητας μηχανήματος βάσει κοινού μυστικού και πιστοποιητικών
Αν ο οργανισμός σας υποστηρίζει αυτά τα πρωτόκολλα, δεν απαιτείται πρόσθετη ρύθμιση παραμέτρων δικτύου ή εφαρμογές τρίτων για να συνδέσετε συσκευές Apple στο εικονικό ιδιωτικό δίκτυό σας.
Η υποστήριξη περιλαμβάνει τεχνολογίες όπως IPv6, διακομιστές μεσολάβησης και χωριστή σηράγγωση. Η χωριστή σηράγγωση παρέχει μια ευέλικτη εμπειρία VPN κατά τη σύνδεση στα δίκτυα ενός οργανισμού.
Επιπλέον, το πλαίσιο επέκτασης δικτύου επιτρέπει σε τρίτους προγραμματιστές να δημιουργήσουν μια προσαρμοσμένη λύση VPN για iOS, iPadOS, macOS, tvOS και visionOS. Αρκετοί πάροχοι VPN έχουν δημιουργήσει εφαρμογές για να είναι δυνατή η ρύθμιση παραμέτρων των συσκευών Apple, ώστε να μπορούν να χρησιμοποιηθούν με τις λύσεις τους. Για να ρυθμίσετε τις παραμέτρους σε μια συσκευή για συγκεκριμένη λύση, πρέπει να εγκαταστήσετε τη συνοδευτική εφαρμογή του παρόχου από το App Store, και προαιρετικά να παράσχετε τις απαραίτητες ρυθμίσεις σε ένα προφίλ διαμόρφωσης.
Κατ' απαίτηση VPN
Σε iOS, iPadOS, macOS και tvOS, η δυνατότητα «Κατ' απαίτηση VPN» επιτρέπει σε συσκευές Apple να δημιουργούν συνδέσεις αυτόματα όταν απαιτείται. Απαιτεί μέθοδο ελέγχου ταυτότητας που δεν περιλαμβάνει διάδραση του χρήστη, π.χ. έλεγχο ταυτότητας βάσει πιστοποιητικών. Στο Κατ' απαίτηση VPN πραγματοποιείται ρύθμιση παραμέτρων χρησιμοποιώντας το κλειδί OnDemandRules σε ένα φορτίο VPN ενός προφίλ διαμόρφωσης. Οι κανόνες εφαρμόζονται σε δύο στάδια:
Στάδιο ανίχνευσης δικτύου: Καθορίζει τις απαιτήσεις VPN που ισχύουν, όταν αλλάζει η κύρια σύνδεση δικτύου της συσκευής.
Στάδιο αξιολόγησης σύνδεσης: Καθορίζει τις απαιτήσεις VPN για αιτήματα σύνδεσης ονομάτων τομέα, όταν χρειάζεται.
Μπορούν να χρησιμοποιηθούν κανόνες για ενέργειες όπως:
Αναγνώριση όταν μια συσκευή Apple συνδέεται σε ένα εσωτερικό δίκτυο και το VPN δεν είναι απαραίτητο
Αναγνώριση όταν χρησιμοποιείται ένα άγνωστο δίκτυο Wi-Fi και απαιτεί VPN
Εκκίνηση του VPN όταν ένα αίτημα DNS για ένα συγκεκριμένο όνομα τομέα αποτυγχάνει
VPN ανά εφαρμογή
Σε iOS, iPadOS, macOS, watchOS και visionOS 1.1, οι συνδέσεις VPN μπορούν να πραγματοποιούνται σε βάση εφαρμογής, η οποία παρέχει λεπτομερέστερο έλεγχο των δεδομένων που διέρχονται από το VPN. Η δυνατότητα διαχωρισμού της κίνησης σε επίπεδο εφαρμογής επιτρέπει τον διαχωρισμό των προσωπικών δεδομένων από τα δεδομένα του οργανισμού. Ως αποτέλεσμα, το VPN ανά εφαρμογή παρέχει ασφαλή δικτύωση για εφαρμογές εσωτερικής χρήσης, ενώ διατηρείται το απόρρητο της δραστηριότητας της προσωπικής συσκευής.
Το VPN ανά εφαρμογή δίνει τη δυνατότητα σε κάθε εφαρμογή την οποία διαχειρίζεται μια λύση MDM (Διαχείριση φορητών συσκευών) να επικοινωνεί με το ιδιωτικό δίκτυο χρησιμοποιώντας μια ασφαλή σήραγγα, ενώ δεν επιτρέπει σε μη διαχειριζόμενες εφαρμογές να χρησιμοποιούν το ιδιωτικό δίκτυο. Στις Διαχειριζόμενες εφαρμογές μπορεί να πραγματοποιηθεί ρύθμιση παραμέτρων με διαφορετικές συνδέσεις VPN για περαιτέρω προστασία των δεδομένων. Για παράδειγμα, μια εφαρμογή προσφοράς πώλησης μπορεί να χρησιμοποιήσει ένα εντελώς διαφορετικό κέντρο δεδομένων από μια εφαρμογή πληρωτέων λογαριασμών.
Μετά τη δημιουργία ενός VPN ανά εφαρμογή για οποιαδήποτε διαμόρφωση VPN, πρέπει να συσχετίσετε τη συγκεκριμένη σύνδεση με τις εφαρμογές που τη χρησιμοποιούν για να ασφαλίσετε την κίνηση δικτύου για τις εν λόγω εφαρμογές. Αυτό το κάνετε με το φορτίο αντιστοίχισης VPN ανά εφαρμογή (macOS) ή προσδιορίζοντας τη διαμόρφωση VPN εντός της εντολής εγκατάστασης εφαρμογής (iOS, iPadOS, macOS, visionOS 1.1).
Το VPN ανά εφαρμογή μπορεί να διαμορφωθεί ώστε να λειτουργεί με το ενσωματωμένο πρόγραμμα-πελάτη VPN IKEv2 σε iOS, iPadOS, watchOS και visionOS 1.1. Για πληροφορίες σχετικά με την υποστήριξη VPN ανά εφαρμογή σε προσαρμοσμένες λύσεις VPN, επικοινωνήστε με τους προμηθευτές VPN σας.
Σημείωση: Για χρήση του VPN ανά εφαρμογή σε iOS, iPadOS, watchOS 10 και visionOS 1.1, η διαχείριση μιας εφαρμογής πρέπει να πραγματοποιείται από μια λύση MDM.
Πάντα ενεργό VPN
Το Πάντα ενεργό VPN που είναι διαθέσιμο για το IKEv2, παρέχει στον οργανισμό σας πλήρη έλεγχο της κίνησης iOS και iPadOS διοχετεύοντας την κίνηση IP στον οργανισμό. Ο οργανισμός σας μπορεί τώρα να παρακολουθεί και να φιλτράρει την κίνηση προς και από συσκευές, να προστατεύει τα δεδομένα στο δίκτυό σας και να περιορίζει την πρόσβαση της συσκευής στο Διαδίκτυο.
Η ενεργοποίηση του Πάντα ενεργού VPN απαιτεί επίβλεψη της συσκευής. Αφού εγκατασταθεί το προφίλ του Πάντα ενεργού VPN στη συσκευή, το Πάντα ενεργό VPN ενεργοποιείται αυτόματα χωρίς την αλληλεπίδραση του χρήστη και παραμένει ενεργοποιημένο (συμπεριλαμβανομένων των επανεκκινήσεων) έως ότου απεγκατασταθεί το προφίλ του Πάντα ενεργού VPN.
Όταν το Πάντα ενεργό VPN είναι ενεργοποιημένο στη συσκευή, η πραγματοποίηση και η διακοπή της σήραγγας VPN σχετίζεται με την κατάσταση της διεπαφής IP. Όταν η διεπαφή λάβει εύκολη πρόσβαση IP δικτύου, επιχειρεί να δημιουργήσει σήραγγα. Όταν η κατάσταση διεπαφής IP δεν λειτουργεί, τότε δεν λειτουργεί και η σήραγγα.
Το Πάντα ενεργό VPN υποστηρίζει, επίσης, σήραγγες ανά διεπαφή. Για συσκευές με συνδέσεις κινητής τηλεφωνίας, υπάρχει μία σήραγγα για κάθε ενεργή διεπαφή IP (μία σήραγγα για τη διεπαφή κινητού δικτύου και μία σήραγγα για τη διεπαφή Wi-Fi). Εφόσον οι σήραγγες VPN είναι ενεργοποιημένες, διοχετεύεται όλη η κίνηση IP. Στην κίνηση περιλαμβάνεται όλη την κίνηση IP μέσω δρομολογητή και την κίνηση σε όλη την εμβέλεια IP (την κίνηση από εφαρμογές του ίδιου κατασκευαστή, όπως το FaceTime και τα Μηνύματα). Αν οι σήραγγες δεν είναι ενεργοποιημένες, διακόπτεται η κίνηση IP.
Όλη η κίνηση μέσω σήραγγας από μια συσκευή φτάνει σε έναν διακομιστή VPN. Μπορείτε να εφαρμόσετε προαιρετικό φιλτράρισμα και παρακολούθηση, πριν προωθήσετε την κίνηση στον προορισμό της εντός του δικτύου του οργανισμού σας ή στο Διαδίκτυο. Ομοίως, η κίνηση στη συσκευή δρομολογείται στον διακομιστή VPN του οργανισμού σας, όπου οι διαδικασίες φιλτραρίσματος και παρακολούθησης θα εφαρμοστούν πριν προωθηθούν στη συσκευή.
Σημείωση: Η ζευγοποίηση Apple Watch δεν υποστηρίζεται με τη ρύθμιση «Πάντα ενεργό VPN».
Διαφανής μεσολαβητής
Οι διαφανείς μεσολαβητές είναι ένας ειδικός τύπος VPN στο macOS και μπορούν να χρησιμοποιηθούν με διάφορους τρόπους για παρακολούθηση και μετασχηματισμό της κίνησης δικτύου. Οι συνήθεις περιπτώσεις χρήσης είναι οι λύσεις φιλτραρίσματος περιεχομένου και οι μεσολαβητές για πρόσβαση σε υπηρεσίες cloud. Λόγω της ποικιλίας των χρήσεων, είναι καλή ιδέα να ορίσετε τη σειρά με την οποία αυτοί οι μεσολαβητές θα μπορούν να εμφανίζουν και να χειρίζονται την κίνηση. Για παράδειγμα, θέλετε να ενεργοποιήσετε την κίνηση δικτύου φιλτραρίσματος μεσολαβητή προτού ενεργοποιήσετε έναν μεσολαβητή που κρυπτογραφεί την κίνηση. Για να το κάνετε αυτό, καθορίστε τη σειρά στο φορτίο «VPN».