Deux sessions auxquelles j'ai assisté à la WWDC la semaine dernière, les sessions Managed Device Certification et Secure Endpoint, soulignent l'engagement de l'entreprise à fournir de meilleures capacités pour les outils de sécurité. Bien que les deux s'adressent naturellement davantage aux développeurs de solutions de gestion des appareils et de sécurité qu'aux utilisateurs finaux ou aux administrateurs informatiques, certaines des fonctionnalités supplémentaires que les développeurs pourront intégrer aux outils professionnels méritent d'être notées.
Attestation de périphérique géré
Commençons par l'attestation des appareils gérés, une nouvelle fonctionnalité qui permet de garantir que les serveurs et les services (sur site ou dans le cloud) répondent uniquement aux demandes légitimes d'accès aux ressources.
L'utilisation des services cloud et le déploiement d'appareils mobiles ont connu une croissance simultanée (et exponentielle) au cours des 10 dernières années, modifiant radicalement l'état de la sécurité des entreprises. Il y a dix ans, une sécurité renforcée au périmètre du réseau, associée à un VPN et à des outils d'accès à distance sécurisés similaires, était le principal moyen de protéger un réseau et toute une entreprise.
Cependant, la sécurité est aujourd'hui beaucoup plus complexe. De nombreuses ressources résident entièrement en dehors du réseau de l'entreprise, ce qui signifie que l'évaluation de la confiance doit être effectuée sur un large éventail de services locaux, distants et cloud. Cela couvre généralement plusieurs fournisseurs, et chacun doit être en mesure d'établir que les utilisateurs et les appareils qui s'y connectent sont légitimes ; qui va bien au-delà de la simple authentification et autorisation.
Aujourd'hui, les services s'appuient sur l'identité de l'utilisateur, l'identité de l'appareil, l'emplacement, la connectivité, la date et l'heure et l'état de gestion de l'appareil pour déterminer si les demandes d'accès sont valides. Les services peuvent utiliser tout ou partie de ces critères, et la plupart, y compris les solutions MDM, peuvent utiliser ces critères lors de l'octroi ou du refus d'accès.
Selon la sensibilité des données, une simple authentification de l'utilisateur peut être suffisante pour une posture de sécurité donnée, ou il peut être prudent de s'appuyer sur tous ces critères avant d'accorder l'accès, en particulier pour les systèmes sensibles ou administratifs.
L'identité de l'appareil est l'un des critères les plus puissants. Il garantit que tout appareil qui accède aux systèmes et aux ressources de votre organisation (y compris les services MDM) est connu et approuvé. Actuellement, l'identité de l'appareil Apple comprend les informations suivantes : l'identifiant unique de l'appareil dans le protocole MDM d'Apple, les informations renvoyées par la requête d'informations sur l'appareil MDM (qui comprend des éléments tels que le numéro de série, le numéro IMEI, etc.) et les certificats de sécurité qui ont été Publié. à l'appareil.
Dans iOS/iPadOS/tvOS 16, Apple intègre une fonctionnalité supplémentaire pour établir l'identité de l'appareil : la certification de l'appareil. Fondamentalement, c'est un moyen d'établir l'authenticité d'un appareil à l'aide d'informations connues à son sujet qu'Apple peut vérifier à l'aide des serveurs d'attestation de l'entreprise. Les informations qu'Apple utilise pour ce faire incluent des détails sur Secure Enclave sur l'appareil, les enregistrements de fabrication et le catalogue du système d'exploitation.
L'attestation concerne l'appareil lui-même, et non le système d'exploitation ou les applications qui y sont installées. Ceci est important car cela signifie qu'un appareil peut être compromis, mais Apple attesterait toujours qu'il s'agit de l'appareil qu'il prétend être. Tant que l'enclave sécurisée est intacte, la certification se poursuivra. (Les services MDM, cependant, peuvent vérifier l'intégrité du système d'exploitation.)
Le certificat peut être utilisé de deux manières. La première consiste à vérifier l'identité d'un appareil afin qu'un service MDM sache que l'appareil est ce qu'il prétend être. Le second est pour un accès sécurisé aux ressources de votre environnement. La mise en œuvre de cette dernière utilisation de l'attestation nécessite la mise en œuvre d'un serveur ou d'un service ACME (Automatic Certificate Management Environment) dans votre organisation. Cela fournit la preuve la plus solide de l'identité de l'appareil et configure des certificats clients similaires à SCEP (Simple Certificate Enrollment Protocol).
Lorsque le serveur ACME reçoit une attestation, il émet un certificat qui autorise l'accès aux ressources. Les certificats de preuve d'attestation garantissent que l'appareil est un matériel Apple authentique et incluent l'identité de l'appareil, les propriétés de l'appareil et les clés d'identité liées au matériel (liées à l'enclave sécurisée de l'appareil).
Apple note qu'il existe plusieurs raisons pour lesquelles l'attestation peut échouer et que certaines défaillances, telles que des problèmes de réseau ou des problèmes avec les serveurs d'attestation de l'entreprise, n'indiquent pas un problème malveillant. Cependant, trois types de défauts indiquent un problème potentiel qui doit être résolu ou étudié. Il s'agit notamment du matériel de l'appareil modifié, des logiciels modifiés ou non reconnus ou des situations dans lesquelles l'appareil n'est pas un appareil Apple authentique.
L'attestation d'appareil fournit une vérification sans précédent de l'identité de l'appareil. Même si vous n'êtes pas intéressé par la mise en œuvre des services ACME dans votre environnement, l'activation de l'attestation pour votre solution MDM est un choix simple et évident. Cependant, son fonctionnement exact dépendra de la manière dont les différents fournisseurs MDM implémentent la fonctionnalité. Certains fournisseurs peuvent également intégrer les services ACME dans leurs offres MDM, vous permettant de profiter pleinement de cette nouvelle fonctionnalité.
point de terminaison sécurisé
La deuxième session de la WWDC portait sur Secure Endpoint. Introduction de nouvelles fonctionnalités pour l'API Secure Endpoint d'Apple et ciblage des développeurs de divers types d'outils de sécurité Mac. Apple permet aux développeurs de mettre en œuvre de nouveaux types d'événements, notamment l'authentification, la connexion/déconnexion et les événements XProtect/Gatekeeper.
- Authentification Les événements auxquels l'API Secure Endpoint peut désormais accéder incluent l'authentification par mot de passe, Touch ID, l'émission de jetons cryptographiques et le déverrouillage automatique avec une Apple Watch. Les développeurs peuvent les utiliser pour trouver des modèles de tentatives de connexion suspectes (réussies ou infructueuses) et les traiter de différentes manières, de simples alertes à d'autres actions.
- Les développeurs pourront désormais utiliser l'API Secure Endpoint pour examiner connexion/déconnexion de différents types, y compris depuis la fenêtre de connexion (connexion directe au Mac à l'aide du clavier), connexion de partage d'écran, connexion SSH et connexion en ligne de commande. Encore une fois, la valeur ici est la possibilité de trouver et de signaler des activités suspectes ou des tentatives de connexion.
- XProtect/Guardian Il permettra aux développeurs d'utiliser l'API Secure Endpoint pour accéder aux informations lorsqu'un logiciel malveillant est détecté, ainsi que lorsqu'il a été corrigé, soit automatiquement, soit par l'intermédiaire du personnel informatique.
Certaines de ces fonctionnalités étaient auparavant disponibles pour les développeurs utilisant la piste d'audit OpenBSM, qui était obsolète depuis macOS Big Sur. Bien qu'il soit toujours disponible, il sera supprimé dans une future version de macOS.
Alors que les deux sessions étaient destinées aux développeurs plutôt qu'au personnel informatique de première ligne, elles mettent en évidence les nouvelles technologies qu'Apple propose aux entreprises et aux fournisseurs de sécurité. Et ils soulignent la compréhension d'Apple du paysage changeant de la sécurité d'entreprise et son engagement à fournir aux entreprises les outils dont elles ont besoin pour renforcer la sécurité.
Copyright © 2022 IDG Communications, Inc.