Používanie vstavaných funkcií sieťovej bezpečnosti pre Apple zariadenia
Apple zariadenia sú vybavené vstavanými technológiami sieťovej bezpečnosti, ktoré počas prenosu dát autorizujú užívateľov a pomáhajú chrániť ich dáta. Podpora sieťovej bezpečnosti pre Apple zariadenia obsahuje:
Vstavané IPsec, IKEv2, L2TP
Vlastné VPN cez apky z App Storu (iOS, iPadOS, visionOS)
Vlastné VPN cez VPN klientov tretích strán (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) a DTLS
SSL/TLS s certifikátmi X.509
WPA/WPA2/WPA3 Enterprise s 802.1X
Autentifikácia na báze certifikátov
Zdieľaný kľúč a autentifikácia cez Kerberos
RSA SecurID, CRYPTOCard (macOS)
Sieťové prenosy v iOS, iPadOS, macOS a tvOS
Na zabezpečenie prenosov pomocou šifrovaného pripojenia cez HTTP/3 alebo HTTP/2 možno v systémoch iOS 17, iPadOS 17, macOS 14, tvOS 17 alebo novších použiť ako alternatívne VPN vstavanú službu prenosu. Služba prenosu je špeciálny typ proxy optimalizovaný pre výkon, ktorý používa najnovšie protokoly prenosu a zabezpečenia. Možno ho použiť na zabezpečenie prenosov cez TCP a UDP pre jednotlivé apky, celé zariadenie a prístup k interným prostriedkom. Je možné prevádzkovať viacero služieb sieťového prenosu súčasne (vrátane Súkromného prenosu cez iCloud) bez toho, aby bolo nutné použiť nejakú apku. Viac informácií nájdete v téme Používanie sieťových prenosov.
VPN a IPsec
Mnoho podnikov používa nejakú formu virtuálnej privátnej siete (VPN). Pre tieto VPN služby väčšinou stačí na spoluprácu s Apple zariadeniami minimálne nastavenie a konfigurácia, keďže tieto zariadenia sa integrujú s mnohými bežne používanými technológiami VPN.
Systémy iOS, iPadOS, macOS, tvOS, watchOS a visionOS podporujú protokoly IPsec a metódy autentifikácie. Ďalšie informácie nájdete v prehľade VPN.
TLS
Kryptografický protokol SSL 3 a symetrická šifrovacia sústava RC4 už viac nie sú podporované v systémoch iOS 10 a macOS 10.12. V predvolenom nastavení TLS klienti a servery implementované pomocou Secure Transport API nemajú povolené šifrovacie sústavy RC4. Z toho dôvodu sa nedokážu pripojiť, keď je šifrovacia sústava RC4 jedinou dostupnou súpravou. S cieľom zvýšenia bezpečnosti je nutné služby alebo apky, ktoré vyžadujú RC4, upgradovať a povoliť tak šifrovacie sústavy.
Patria sem aj ďalšie vylepšenia zabezpečenia:
Povinné podpisovanie pripojení SMB (macOS)
Podpora metódy šifrovania AES pre systém NFS s protokolom Kerberos v systéme macOS 10.12 alebo novšom (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 podporuje AES 128 aj SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalendár, Mail a ďalšie internetové apky ich využívajú na povolenie šifrovaného komunikačného kanála medzi podnikovými službami a systémami iOS, iPadOS, macOS a visionOS.
Okrem toho môžete nastaviť minimálnu a maximálnu verziu TLS pre svoj sieťový objem dát 802.1X s EAP-TLS, EAP-TTLS, PEAP a EAP-FAST. Môžete napríklad nastaviť:
Oba na rovnakú konkrétnu verziu TLS
Minimálnu verziu TLS na nižšiu hodnotu a maximálnu verziu TLS na vyššiu hodnotu s následným vyjednaním konkrétnej verzie so serverom RADIUS
Hodnotu none – žiadateľ 802.1X potom verziu TLS vyjedná so serverom RADIUS
Systémy iOS, iPadOS, macOS a visionOS vyžadujú, aby bol listový certifikát servera podpísaný pomocou rodiny podpisových algoritmov SHA-2 a aby používal buď kľúč RSA s minimálne 2048 bitmi, alebo kľúč ECC s minimálne 256 bitmi.
iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 alebo novšie pridávajú v autentifikácii 802.1X podporu pre TLS 1.2. Autentifikačné servery, ktoré podporujú TLS 1.2, môžu vyžadovať nasledujúce aktualizácie kvôli kompatibilite:
Cisco: ISE 2.3.0
FreeRADIUS: Aktualizácia na verziu 2.2.10 a 3.0.16.
Aruba ClearPass: Aktualizácia na verziu 6.6.x.
ArubaOS: Aktualizácia na verziu 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Ďalšie informácie o 802.1X nájdete v téme Pripojenie Apple zariadení k sieťam 802.1X.
WPA2/WPA3
Všetky platformy spoločnosti Apple podporujú autentifikačné a šifrovacie Wi-Fi protokoly na úrovni odvetvových štandardov, ktoré poskytujú overený prístup a utajenie pri pripájaní k nasledujúcim zabezpečeným bezdrôtovým sieťam:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise so 192-bitovým zabezpečením
Zoznam bezdrôtových autentifikačných protokolov 802.1X nájdete v témach 802.1X konfigurácie pre Mac.
Skrývanie a zamykanie apiek
Systémy iOS 18 a iPadOS 18 alebo novšie umožňujú užívateľom, aby vyžadovali Face ID, Touch ID alebo prístupový kľúč na otvorenie apky a na jej skrytie z plochy. MDM dokáže spravovať dostupnosť týchto možností cez:
Ovládanie možnosti užívateľa skryť alebo zamknúť spravované apky na báze podľa jednotlivej apky
Vypnutie skrytia alebo zamknutia všetkých apiek na zariadeniach pod dozorom
Pre zariadenia zaregistrované pomocou registrácie užívateľov sa skryté apky nahlásia do MDM iba vtedy, ak sú spravované. Pre zariadenia zaregistrované pomocou registrácie zariadení sa skryté apky nahlásia do MDM ako súčasť všetkých nainštalovaných apiek.
Prístup k lokálnej sieti pre systém macOS
V systéme macOS 15 alebo novšom apka tretej strany alebo spúšťací agent, ktorý chce interagovať so zariadeniami v lokálnej sieti užívateľa, musí požiadať o povolenie pri prvom pokuse o prezeranie lokálnej siete.
Podobne ako v systémoch iOS a iPadOS môžu teraz užívatelia prejsť do časti Systémové nastavenia > Súkromie > Lokálna sieť a povoliť alebo zakázať daný prístup.
Šifrovanie FaceTime a iMessage
iOS, iPadOS, macOS a visionOS vytvárajú unikátne ID pre každého užívateľa FaceTimu a iMessage a zaisťujú tak, že komunikácia je správne šifrovaná, nasmerovaná a pripojená.