Використання вбудованих функцій захисту мережі для пристроїв Apple
Пристрої Apple оснащено вбудованими технологіями мережевого захисту для авторизації користувачів і захисту їхніх даних під час передавання. Мережева безпека пристроїв Apple підтримує:
вбудовані протоколи IPsec, IKEv2, L2TP;
власну VPN через програми App Store (iOS, iPadOS, visionOS);
власну VPN через VPN-клієнти третіх сторін (macOS);
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) і DTLS;
SSL/TLS з сертифікатами X.509;
WPA/WPA2/WPA3 Enterprise з 802.1X;
автентифікацію на основі сертифікату;
автентифікацію через спільний секрет і Kerberos;
RSA SecurID, CRYPTOCard (macOS).
Мережеві реле для iOS, iPadOS, macOS і tvOS
Вбудовані реле в iOS 17, iPadOS 17, macOS 14 і tvOS 17 або новіших можна використовувати для захисту передачі даних через зашифровані з’єднання HTTP/3 або HTTP/2 як альтернативу VPN. Мережеве реле — це спеціальний тип проксі, оптимізований для кращої швидкодії, який використовує найновіші транспортні протоколи і протоколи безпеки. Його можна використовувати для захисту передачі даних TCP і UDP для окремої програми, всього пристрою та доступу до інтернет-ресурсів. Можна паралельно використовувати кілька мережевих реле, включно з приват-реле iCloud, без використання додаткових програм. Додатково дивіться в розділі Використання мережевих реле.
VPN і IPsec
Багато корпоративних середовищ використовують певні типи віртуальних приватних мереж (VPN). Ці сервіси VPN зазвичай потребують мінімум налаштувань і конфігурації для роботи з пристроями Apple, які можуть бути інтегровані в багато типово використовуваних технологій VPN.
Системи iOS, iPadOS, macOS, tvOS, watchOS і visionOS підтримують протоколи й методи автентифікації IPsec. Докладну інформацію можна отримати в статті Огляд VPN.
TLS
Підтримку криптографічного протоколу SSL 3 і симетричного ключа шифрування RC4 припинено в iOS 10 і macOS 10.12. Типово клієнти або сервери TLS, упроваджені за допомогою API Secure Transport, не мають увімкненого ключа шифрування RC4. Через це вони не можуть під’єднатися, якщо RC4 — єдиний доступний ключ шифрування. Для додаткового захисту служби та програми, які вимагають RC4, слід оновити, щоб ввімкнути симетричні ключі шифрування.
До додаткових засобів захисту належать:
Обов’язкове підписування з’єднань SMB (macOS).
У macOS 10.12 або новіших — підтримка методу шифрування AES для систем NFS із захистом Kerberos (macOS).
Безпека транспортного рівня (TLS 1.2, TLS 1.3)
TLS 1.2 підтримує і AES 128, і SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Календар, Пошта й інші інтернет-програми використовують ці протоколи для запуску зашифрованих каналів комунікації між iOS, iPadOS, macOS, visionOS і корпоративними сервісами.
Також можна налаштувати мінімальну й максимальну версію TLS набору даних вашої мережі 802.1X з EAP-TLS, EAP-TTLS, PEAP, і EAP-FAST. Наприклад, можна задати:
Однакову версію TLS для обох.
Менше значення для мінімальної версії TLS і більше значення для максимальної версії TLS, що потім буде узгоджено із сервером RADIUS.
Жодного значення, що дозволить пристрою, який подає запит до 802.1X, узгодити версію TLS із сервером RADIUS.
iOS, iPadOS, macOS і visionOS вимагають гілковий сертифікат сервера, підписаний за допомогою сімейства алгоритмів підпису SHA-2, і використовують або ключ RSA (довжиною щонайменше 2048 бітів), або ключ ECC (довжиною щонайменше 256 бітів).
В iOS 11, iPadOS 13.1, macOS 10.13 і visionOS 1.1 та новіших додано підтримку TLS 1.2 в автентифікації 802.1X. Сервери автентифікації, які підтримують TLS 1.2, можуть потребувати таких оновлень для сумісності:
Cisco: ISE 2.3.0
FreeRADIUS: оновлення до версії 2.2.10 і 3.0.16.
Aruba ClearPass: оновлення до версії 6.6.x.
ArubaOS: оновлення до версії 6.5.3.4.
Microsoft: Windows Server 2012 - сервер політики мережі.
Microsoft: Windows Server 2016 - сервер політики мережі.
Більше інформації про 802.1X наведено в розділі Під’єднання пристроїв Apple до мереж 802.1X.
WPA2/WPA3
Усі платформи Apple підтримують стандартні для галузі методи автентифікації та протоколи шифрування Wi-Fi. Так забезпечується автентифікований доступ і конфіденційність за під’єднання до таких безпечних бездротових мереж:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise зі 192-розрядним захистом
Щоб переглянути список протоколів бездротової автентифікації 802.1X, перегляньте статтю Конфігурації 802.1X для Mac.
Приховання та замикання програм
В iOS 18 та iPadOS 18 або новіших користувачі можуть вимагати Face ID, Touch ID чи код допуску для відкривання програми, а також приховувати її з головного екрана. Рішення MDM може керувати доступністю цих опцій таким чином:
Шляхом контролю можливості користувача приховувати та замикати окремі керовані програми.
Шляхом вимкнення функції приховання та замикання всіх програм на пристроях під наглядом.
На пристроях, які зареєстровані шляхом реєстрації користувача, звіт про приховані програми надсилається в MDM, лише якщо вони під керуванням. На пристроях, які зареєстровані шляхом реєстрації пристрою, звітування про приховані програми в MDM відбувається для всіх інстальованих програм.
Доступ до локальної мережі для macOS
У macOS 15 або новіших програми сторонніх розробників або агенти запуску, яким потрібно взаємодіяти з пристроями в локальній мережі користувача, мають запитувати дозвіл під час першого доступу до локальної мережі.
Подібно до iOS та iPad OS користувачі можуть перейти в меню Системні параметри > Приватність > Локальна мережа, щоб дозволити або заборонити доступ.
Шифрування FaceTime та iMessage
Операційні системи iOS, iPadOS, macOS і visionOS створюють унікальні ідентифікатори для кожного користувача FaceTime і iMessage, які допомагають гарантувати, що вся комунікація буде зашифрована, скерована належним чином і досягне потрібного абонента.