Utilizarea funcționalităților integrate de securitate a rețelelor pentru dispozitivele Apple
Dispozitivele Apple beneficiază de tehnologii integrate de securitate a rețelei care autorizează utilizatorii și ajută la protecția datelor în timpul transmiterii acestora. Securitatea rețelelor dispozitivelor Apple oferă compatibilitate pentru:
IPsec, IKEv2, L2TP integrat
VPN personalizat prin intermediul aplicațiilor din App Store (iOS, iPadOS, visionOS)
VPN personalizat prin intermediul clienților VPN terți (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) și DTLS
SSL/TLS cu certificate X.509
WPA/WPA2/WPA3 Enterprise cu 802.1X
Autentificarea pe bază de certificat
Autentificare prin secret partajat și Kerberos
RSA SecurID, CRYPTOCard (macOS)
Servicii de retransmisie rețea pe iOS, iPadOS, macOS și tvOS
Un serviciu integrat de retransmisie din iOS 17, iPadOS 17, macOS 14, tvOS 17 sau versiunile ulterioare poate fi utilizat pentru a securiza traficul folosind o conexiune HTTP/3 sau HTTP/2 criptată drept VPN alternativ. Un serviciu de retransmisie pentru rețea este un tip special de proxy, optimizat pentru performanță, care utilizează cele mai recente protocoale de transport și securitate. Acesta poate fi utilizat pentru a securiza traficul TCP și UDP al unei anumite aplicații, al unui dispozitiv întreg, precum și la accesarea resurselor interne. Pot fi folosite în paralel mai multe servicii de retransmisie pentru rețea, inclusiv Retransmisia privată iCloud, fără a fi necesară vreo aplicație. Pentru mai multe informații, consultați Utilizarea serviciilor de retransmisie pentru rețea.
VPN și IPsec
Multe dintre mediile organizaționale dețin o formă sau alta de rețea virtuală privată (VPN). Aceste servicii VPN necesită, de obicei, instalare și configurare minime pentru a funcționa cu dispozitivele Apple, care se integrează cu multe dintre tehnologiile VPN utilizate în mod obișnuit.
iOS, iPadOS, macOS, tvOS, watchOS și visionOS sunt compatibile cu protocoalele și metodele de autentificare IPsec. Pentru mai multe informații, consultați Privire de ansamblu asupra tehnologiei VPN.
TLS
Protocolul criptografic SSL 3 și suita de cifruri simetrice RC4 erau perimate în iOS 10 și macOS 10.12. În mod implicit, clienții sau serverele TLS implementate cu API-urile Secure Transport nu au activate suitele de cifruri RC4. Din acest motiv, nu se pot conecta atunci când RC4 este singura suită de cifruri disponibilă. Pentru o securitate sporită, serviciile sau aplicațiile care necesită RC4 trebuie să primească un upgrade pentru a activa suita de cifruri.
Îmbunătățirile suplimentare ale securității includ:
Semnarea obligatorie a conexiunilor SMB (macOS)
Pe macOS 10.12 sau ulterior, compatibilitatea cu AES ca metodă de criptare pentru un NFS cu Kerberos (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 acceptă atât AES 128 cât și SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Calendar, Mail și alte aplicații internet le utilizează pe acestea pentru a activa un canal de comunicare criptată între iOS, iPadOS, macOS și visionOS și serviciile corporative.
Puteți, de asemenea, să configurați versiunea TLS minimă și maximă aferentă sarcinii rețelei dvs. 802.1X cu EAP-TLS, EAP-TTLS, PEAP și EAP-FAST. De exemplu, puteți configura:
Ambele la aceeași versiune TLS specifică
Versiunea minimă de TLS la o valoare mai mică și versiunea maximă de TLS la o valoare mai mare, ceea ce se va negocia ulterior cu serverul RADIUS
O valoare nulă, ceea ce ar permite solicitantului 802.1X să negocieze versiunea TLS cu serverul RADIUS
iOS, iPadOS, macOS și visionOS necesită semnarea certificatului frunză a serverului utilizând familia SHA-2 de algoritmi de semnare și utilizarea fie a unei chei RSA de minim 2048 de biți, fie a unei chei ECC de minim 256 de biți.
iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 sau versiunile ulterioare adaugă compatibilitate cu TLS 1.2 în cadrul autentificării 802.1X. Serverele de autentificare compatibile cu TLS 1.2 ar putea necesita următoarele actualizări pentru compatibilitate:
Cisco: ISE 2.3.0
FreeRADIUS: Actualizare la versiunea 2.2.10 și 3.0.16.
Aruba ClearPass: Actualizare la versiunea 6.6.x.
ArubaOS: Actualizare la versiunea 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Pentru mai multe informații despre 802.1X, consultați Conectarea dispozitivelor Apple la rețele 802.1X.
WPA2/WPA3
Toate platformele Apple sunt compatibile cu protocoalele de criptare și autentificare Wi-Fi standard în industrie pentru a furniza acces autentificat și confidențialitate la conectarea la următoarele rețele wireless securizate:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise cu securitate pe 192 biți
Pentru a vedea o listă cu protocoalele 802.1X de autentificare wireless, consultați Configurațiile 802.1X pentru Mac.
Ascunderea și blocarea aplicațiilor
În iOS 18 și iPadOS 18 sau versiunile ulterioare, utilizatorii pot solicita Face ID, Touch ID sau un cont de acces pentru a deschide o aplicație și pentru a o ascunde de pe ecranul principal. MDM poate gestiona disponibilitatea acestor opțiuni prin:
Controlul abilității utilizatorului de a ascunde și a bloca aplicații gestionate la nivel de aplicație
Dezactivarea ascunderii și blocării tuturor aplicațiilor pe dispozitive supervizate
Pentru dispozitivele înregistrate prin Înregistrare utilizator, aplicațiile ascunse sunt raportate în MDM doar dacă sunt gestionate. Pentru dispozitivele înregistrate prin Înregistrare dispozitiv, aplicațiile ascunse sunt raportate în MDM ca parte a tuturor aplicațiilor instalate.
Accesul la rețeaua locală pentru macOS
În macOS 15 sau versiunile ulterioare, o aplicație terță sau un agent de lansare care dorește să interacționeze cu dispozitivele din rețeaua locală a unui utilizator trebuie să solicite permisiunea prima dată când încearcă să exploreze rețeaua locală.
Ca în iOS și iPadOS, utilizatorii pot accesa Configurări sistem > Intimitate > Rețea locală pentru a permite sau a refuza acest acces.
Criptarea FaceTime și iMessage
iOS, iPadOS, macOS și visionOS creează un ID unic pentru fiecare utilizator FaceTime și iMessage, ajutând la asigurarea criptării, dirijării și conectării corespunzătoare a comunicațiilor.