Apple aygıtları için Yönetilen Aygıt Onaylama
Yönetilen Aygıt Onaylama iOS 16, iPadOS 16.1, macOS 14 ve tvOS 16 veya daha yenisinde bulunan bir özelliktir. Yönetilen Aygıt Onaylama, hangi aygıt özelliklerinin bir güven değerlendirmesinin parçası olarak kullanılabileceği hakkında güçlü kanıtlar sunar. Aygıt özelliklerinin bu şifreli bildirimi, Secure Enclave’in ve Apple onaylama sunucularının güvenliğini baz alır.
Yönetilen aygıt onaylama, şu tehditlere karşı korumaya yardımcı olur:
Özellikleri doğru olmayan riskli aygıt
Güncel olmayan bir onaylama sunan riskli aygıt
Farklı bir aygıtın tanıtıcılarını gönderen riskli aygıt
Sahte bir aygıtta kullanmak üzere özel anahtar çıkarma
Sertifika Otoritesi’ni saldırgana bir sertifika vermek üzere kandırmak için sertifika isteğini çalan bir saldırgan
Daha fazla bilgi için What’s new in device management (Aygıt yönetimiyle ilgili yenilikler) adlı WWDC22 videosuna bakın.
Yönetilen Aygıt Onaylama için desteklenen donanımlar
Onaylamalar, yalnızca aşağıdaki donanım gereksinimlerini karşılayan aygıtlara verilir:
iPhone, iPad ve Apple TV aygıtları: A11 Bionic çipine veya daha yenisine sahip.
Mac bilgisayarlar: Apple Silicon çipli.
Apple Watch ve Apple Vision Pro için Yönetilen Aygıt Onaylama ile ilgili bir değişiklik yoktur.
ACME sertifika kaydı istekleriyle Yönetilen Aygıt Onaylama
Bir kuruluşun veren Sertifika Otoritesi (CA) ACME servisi kaydolan aygıtın özelliklerinin onaylanmasını isteyebilir. Bu onaylama, aygıtın özelliklerinin (örneğin seri numarasının) geçerli olduğu ve uydurulmadığı konusunda güçlü güvenceler sağlar. Veren Sertifika Otoritesi’nin ACME servisi onaylanan aygıt özelliklerinin bütünlüğünü şifreyle doğrulayabilir ve bunları isteğe bağlı olarak kuruluşun aygıt envanteri ile çapraz başvuru yapabilir; başarılı doğrulama sonrasında ise aygıtın kuruluşun aygıtı olduğunu onaylayabilir.
Onaylama kullanılırsa sertifika imzalama isteğinin bir parçası olarak aygıtın Secure Enclave’inin içinde donanıma bağlı bir özel anahtar oluşturulur. Sonra da bu istek için, ACME veren bir sertifika otoritesi bir istemci sertifikası verebilir. Bu anahtar Secure Enclave’e bağlıdır ve bu nedenle yalnızca belirli bir aygıtta kullanılabilir. iPhone, iPad, Apple TV ve Apple Watch üzerinde sertifika kimliğinin özelliklerini destekleyen konfigürasyonlarla kullanılabilir. Mac üzerinde, donanıma bağlı anahtarlar MDM, Microsoft Exchange, Kerberos, 802.1X ağları, yerleşik VPN istemcisi ve yerleşik ağ geçişi ile kimlik doğrulama için kullanılabilir.
Not: Secure Enclave’de, riskli Uygulama İşlemcisi durumunda bile anahtar çıkarmaya karşı çok güçlü korumalar vardır.
Donanıma bağlı bu anahtarlar, aygıt silinirken veya geri yüklenirken otomatik olarak silinir. Anahtarlar silindiği için bu anahtarlara dayanan konfigürasyon profilleri geri yüklemeden sonra çalışmaz. Anahtarların yeniden yaratılması için profilin tekrar uygulanması gerekir.
MDM, ACME verisi onaylamayı kullanarak bir istemci sertifikası kimliğini şunları şifreli olarak doğrulayabilecek ACME protokolünü kullanarak kaydettirebilir:
Aygıt özgün bir Apple aygıtıdır
Aygıt belirli bir aygıttır
Aygıt, kuruluşun MDM sunucusu tarafından yönetilir
Aygıtın belirli özellikleri vardır (örneğin, seri numara)
Özel anahtar aygıta bağlı donanımdır
MDM istekleriyle Yönetilen Aygıt Onaylama
ACME sertifika kaydı istekleri sırasında yönetilen aygıt onaylamayı kullanmaya ek olarak, bir MDM çözümü DevicePropertiesAttestation özelliği isteyen bir DeviceInformation sorgusu yayımlayabilir. MDM çözümü yeni bir onaylama sağlamaya yardımcı olmak istiyorsa isteğe bağlı bir DeviceAttestationNonce anahtarı gönderebilir; bu yeni bir onaylamayı zorlayacaktır. Bu anahtar belirtilmemişse aygıt önbelleğe alınmış bir onaylama döndürür. Aygıt onaylama yanıtı böylece özel OID’lerdeki özellikleri ile bir kullanıcı sertifikası döndürür.
Not: Kullanıcının gizliliğini korumak için Kullanıcı Kaydı kullanılırken ne seri numara ne de UDID belirtilir. Diğer değerler anonimdir ve sepOS sürümü ve yenileme kodu gibi özellikleri içerir.
MDM çözümü daha sonra sertifika zincirinin beklenen Apple Sertifika Otoritesi (Apple Özel PKI Deposu’nda bulunabilir) ile yerleştirildiğini ve yenileme kodunun özeti DeviceInformation sorgusunda sağlanan yenileme kodunun özetiyle aynı olup olmadığını değerlendirerek yanıtı doğrulayabilir.
Yenileme kodunu tanımlamak, yeni bir onaylama oluşturduğundan ve bu da aygıttaki ve Apple’ın sunucularındaki kaynakları tükettiğinden, kullanım şu anda her 7 günde bir aygıt başına bir DeviceInformation onaylama ile sınırlanmıştır. MDM çözümü, her 7 günde bir hemen yeni bir onaylama istememelidir. Bir aygıtın özellikleri değişmediyse (örneğin, işletim sistemi sürümünde güncelleme veya yükseltme) yeni bir onaylama isteğinde bulunmak gerekli görülmez. Ayrıca, yeni bir onaylama için ara sıra tekrarlayan rasgele bir istek, bu özellikleri doğru olmayan riskli bir aygıtı yakalamaya yardımcı olabilir.
Başarısız onaylamaları işleme
Onaylama isteği başarısız olabilir. Bu durum gerçekleştiğinde, aygıt DeviceInformation sorgusuna veya ACME sunucusunundevice-attest-01 meydan okumasına yanıt vermeyi sürdürür, ancak bazı bilgiler göz ardı edilir. Beklenen OID veya değeri göz ardı edilir ya da onaylama tamamen göz ardı edilir. Başarısızlığın pek çok olası nedeni vardır, örneğin:
Apple onaylama sunucularına ulaşan bir ağ sorunu olabilir
Aygıt donanımı veya yazılımı risk altında olabilir
Aygıt özgün bir Apple donanımı olmayabilir
Bu son 2 durumda, Apple onaylama sunucuları doğrulayamadıkları özellikler için bir onaylama vermeyi reddeder. MDM çözümünün başarısız bir onaylamanın tam nedenini bilmesinin güvenilir bir yolu yoktur. Bunun nedeni, başarısızlıkla ilgili bilgilerin tek kaynağının aygıtın kendisi olmasıdır, bu da doğru bilgi vermeyen riskli bir aygıt olabilir. Bu nedenle, aygıttan gelen yanıtlar başarısızlık nedenini göstermez.
Ancak, Yönetilen Aygıt Onaylama sıfır güven mimarisinin bir parçası olarak kullanıldığında kuruluş, aygıt için bir güven puanını bu puanı düşüren başarısız veya beklenmedik bir şekilde eski onaylama ile hesaplayabilir. Düşürülmüş güven puanı, servislere erişimi reddetme, elle onaylama için aygıt işaretleme ya da aygıtı silerek ve gerektiğinde sertifikalarını iptal ederek uyum yükselmeleri gibi farklı eylemleri tetikleyebilir. Bu, başarısız bir onaylamaya uygun bir yanıt sağlar.