Apple 為企業安全提供 Managed Device Attestation 認證保護機制
今年 WWDC 2022 開發者大會新發表 Managed Device Attestation 認證保護機制。現今時代,不一定只在特定的伺服器上或定義的防火牆後面工作,還有可能透過不同的 VPN 連線進行團隊合作。然而,在多項遠端裝置(端點)定義的工作場域中,安全威脅比以往更大。
Apple 平台不斷增強安全增強功能,包括 Declarative Device Management、Rapid Security Response 及 Private Access Tokens,現在又新增 Managed Device Attestation。這些解決方案均說明了 Apple 為提供堅不可摧的安全性所費的苦心。
Apple 瞭解到安全防護不能侷限於傳統的外圍保護,如 VPN 或防火牆,必須在網絡邊界實施防護,且得越來越自主化。畢竟,防護不能完全倚賴裝置和伺服器之間的資料流,這樣的通訊方式容易遭受破壞。Managed Device Attestation 建立第二道信任邊界,在此邊界外圍運用裝置管理解決方案以防止攻擊。
Managed Device Attestation 建立防禦點以協助防護裝置及驗證身份。假設身為使用者的您已經證明自己的身份,而且位於管理系統放行的位置,但要如何證明使用者正在使用的裝置已註冊?這就是 Managed Device Attestation 的用途。它只需信任您的裝置處理器上的安全隔離區(Secure Enclave),並信任 Apple 認證裝置的狀態。
安全隔離區(Secure Enclave)向 Apple 的認證伺服器提供保證以證明硬體合法,Apple 將此訊息分享給服務,由於服務信任 Apple,因此該裝置被視為合法。這個做法可防止使用不合格的裝置,或攻擊者藉由偽裝成合法裝置來欺騙服務,或具有使用者身份但由無法識別的裝置嘗試存取網路的情況。
這項技術的運作形式如下:
‧ Managed Device Attestation 使用 Apple 產品內建「安全隔離區」(Secure Enclave)以及共同確認託管裝置身份的加密證明。
‧ 當這些裝置嘗試連接 MDM、VPN、Wi-Fi 或其他服務時,必須確認這是來自合法裝置的合法請求。
‧ 認證組件採用憑證形式,保證特定裝置的合法性。它採用多種技術,包括由安全隔離區產生並保障的 TLS 私密金鑰。
‧ 它採用 Apple 伺服器及自動化憑證管理環境(ACME)的現有草案標準。
簡單來說,若裝置要獲得授權且請求許可時,裝置會將使用者或裝置身份資料等關鍵信息發送至伺服器,確認身份無誤。當然,這些訊息均受到嚴密保護,並透過 Apple 伺服器處理伺服器會查看收到的資訊,與自己的記錄相比較,以驗證資訊的真實性並准許存取。藉由 MDM 伺服器與公司採用的自動證書管理環境 (ACME) 協議,此認證可用於 MDM 以外的服務。隨著新作業系統問世,iOS 16、iPad OS 16 和 tvOS 16 均內建 Managed Device Attestation 保護功能。