Annoncée lors de la WWDC 2022, la protection Managed Device Attestation montre qu'Apple ajuste les protections de sécurité des appareils pour s'adapter à une ère de plus en plus distribuée.
Des terminaux sûrs, pas des heures de fin
Cet ajustement reflète un changement de réalité. Le travail ne se fait pas sur des serveurs spécifiques ou derrière des pare-feux définis aujourd'hui. L'accès VPN peut varier d'un ordinateur à l'autre. Et pourtant, dans un lieu de travail défini par plusieurs appareils distants (points de terminaison), la menace pour la sécurité est plus grande que jamais.
Managed Device Attestation fonctionne pour créer une deuxième limite de confiance autour de laquelle les solutions de gestion des appareils peuvent fonctionner pour se protéger contre les attaques.
Il s'agit de l'une des nombreuses améliorations de sécurité apportées aux plates-formes d'Apple, notamment la gestion déclarative des appareils, une réponse de sécurité rapide et des jetons d'accès privés. Toutes ces solutions représentent le travail d'Apple pour offrir une sécurité sans compromis d'une manière qui améliore également l'expérience utilisateur.
A quoi cela sert-il?
Il s'agit de philosophie. Apple comprend que la sécurité doit évoluer au-delà des protections de périmètre traditionnelles telles que les VPN ou les pare-feu. La protection doit être mise en place à la périphérie du réseau et doit devenir de plus en plus autonome. Après tout, la protection ne peut pas dépendre entièrement du flux de données entre l'appareil et le serveur, car même cette communication peut être compromise.
L'attestation d'appareil géré fournit un point de preuve pour aider à protéger l'appareil et confirmer son identité. Pensez-y de cette façon : en tant qu'utilisateur, vous avez peut-être prouvé qui vous êtes et vous vous trouvez peut-être dans un endroit que vos systèmes de gestion jugent viable, mais comment prouver que vous utilisez un appareil enregistré ?
C'est ce que cherche à faire l'attestation des appareils gérés. Il vous suffit de faire confiance à Secure Enclave dans le processeur de votre appareil et de faire également confiance à Apple pour se porter garant de la santé de l'appareil.
Essentiellement, le processus hautement sécurisé partage l'identité de la clé et d'autres caractéristiques de l'appareil comme preuve pour assurer le service que l'appareil est conforme. L'enclave sécurisée fournit la preuve aux serveurs de certification d'Apple que le matériel est légitime, qu'Apple le partage avec le service, et parce que le service fait confiance à Apple, l'appareil est considéré comme légitime.
L'idée est de se protéger contre l'utilisation d'appareils compromis, les situations où un attaquant usurpe un service en se faisant passer pour un appareil légitime, ou les tentatives d'accès au réseau par des personnes qui peuvent avoir des détails d'utilisateur mais travaillent à partir d'un appareil non reconnu. dispositif.
Comment cela marche-t-il?
Bien que vous deviez creuser profondément pour vous familiariser avec la technologie derrière le système, voici une explication détaillée :
- L'attestation d'appareil géré utilise l'enclave sécurisée intégrée aux produits Apple ainsi que des attestations cryptographiques qui, ensemble, confirment l'identité d'un appareil géré.
- Lorsqu'un tel appareil tente de se connecter à MDM, VPN, Wi-Fi ou à d'autres services, vous devez également confirmer qu'il s'agit d'une demande légitime d'un appareil légitime.
- Le composant Attestation se présente sous la forme de certificats conçus pour fournir des garanties solides qu'un appareil spécifique est légitime. Tirez parti de plusieurs technologies, y compris les clés privées TLS générées et protégées par Secure Enclave.
- Il utilise également des serveurs Apple et un projet de norme (actuellement) pour un environnement de gestion de certificats automatisé.
Dans sa forme la plus simple, lorsque vous souhaitez que votre appareil soit autorisé et demandez l'autorisation de le faire, l'appareil envoie des informations clés, telles que l'identité de l'utilisateur ou de l'appareil, au service pour confirmer qu'il est bien celui qu'il prétend être. Bien sûr, ces informations sont sécurisées et fonctionnent via un serveur Apple.
Le service examine ce qui lui a été dit, le compare à ses propres enregistrements, vérifie que le message est authentique (tel qu'il est signé et délivré par les serveurs d'Apple) et approuve l'accès. L'attestation fonctionne via des serveurs MDM et le protocole ACME (Automatic Certificate Management Environment) de l'entreprise, qui rend l'attestation disponible pour les services au-delà de MDM.
Quand sera-t-il disponible?
L'attestation d'appareil géré sera disponible pour iOS 16, iPad OS 16 et tvOS 16 à mesure que de nouveaux systèmes d'exploitation seront publiés dans les semaines à venir. Les fournisseurs de MDM comme Jamf adopteront certainement le support pour cela une fois qu'il se présentera.
En savoir plus sur l'attestation des appareils gérés
Les développeurs Apple peuvent en savoir plus sur la certification des appareils gérés dans la session WWDC 2022 qui l'explique et dans cet aperçu complet de la gestion des appareils sur le site des développeurs d'Apple.
Suivez-moi sur Twitter ou rejoignez-moi au bar & grill d'AppleHolic et aux groupes de discussion Apple sur MeWe.
Copyright © 2022 IDG Communications, Inc.