Geçen hafta katıldığım iki oturum Dünya Çapında Geliştirici Konferansı (WWDC) — Yönetilen Cihaz Onaylama ve Güvenli Uç Nokta oturumları — şirketin güvenlik araçları için artırılmış yetenekler sağlama taahhüdünü vurgular. Her ikisi de doğal olarak son kullanıcılar veya BT yöneticilerinden çok cihaz yönetimi ve güvenlik çözümleri geliştiricilerine yönelik olsa da, geliştiricilerin kurumsal araçlara ekleyebilecekleri ek yeteneklerden bazıları dikkat çekicidir.
Yönetilen Cihaz Onayı
Sunucuların ve hizmetlerin (şirket içi veya bulutta) yalnızca kaynaklara erişim için meşru taleplere yanıt vermesini sağlamaya yardımcı olan yeni bir yetenek olan Yönetilen Cihaz Onayı ile başlayalım.
Bulut hizmetlerinin kullanımı ve mobil cihazların dağıtımı son 10 yılda birlikte (ve katlanarak) arttı ve bu da kurumsal güvenlik basketbol sahasını önemli ölçüde değiştirdi. On yıl kadar önce, VPN ve benzeri güvenli uzaktan erişim araçlarıyla birlikte ağ çevresinde güçlü bir güvenliğe sahip olmak, bir ağı ve tüm kurumsal bilgileri güvence altına almanın birincil yoluydu.
Ancak günümüzde güvenlik çok daha karmaşıktır. Birçok kaynak tamamen kurumsal ağın dışında yaşar ve bu, güven değerlendirmesinin çok çeşitli yerel, uzak ve bulut hizmetlerinde gerçekleşmesi gerektiği anlamına gelir. Bu, genellikle birden çok sağlayıcıyı kapsar ve her birinin, kendilerine bağlanan kullanıcıların ve cihazların meşru olduğunu kanıtlayabilmesi gerekir; bu, basit kimlik doğrulama ve yetkilendirmenin çok ötesine geçer.
Günümüzde hizmetler, erişim isteklerinin geçerli olup olmadığını belirlemek için kullanıcı kimliğine, cihaz kimliğine, konuma, bağlantıya, tarih ve saate ve cihaz yönetim durumuna güvenmektedir. Hizmetler, bu ölçütlerin herhangi birini veya tümünü kullanabilir ve MDM çözümleri de dahil olmak üzere çoğu, erişim izni verirken veya reddederken bu ölçütleri kullanabilir.
Verilerin hassasiyetine bağlı olarak, belirli bir güvenlik durumu için basit kullanıcı kimlik doğrulaması yeterli olabilir veya özellikle hassas veya idari sistemler için erişim izni vermeden önce tüm bu kriterlere güvenmek ihtiyatlı olabilir.
Daha güçlü kriterlerden biri cihaz kimliğidir. Kuruluşunuzun sistemlerine (MDM hizmetleri dahil) ve kaynaklarına erişen herhangi bir cihazın hem bilinmesini hem de güvenilir olmasını sağlar. Bugün, Apple aygıt kimliği şu bilgileri içerir: Apple’ın MDM protokolündeki aygıtın benzersiz kimliği, MDM Aygıt Bilgileri sorgusu tarafından döndürülen bilgiler (seri numarası, IMEI numarası vb. cihaza verildi.
iOS/ıpados/tvOS 16’da Apple, aygıt kimliği oluşturmak için ek yetenekler geliştiriyor: Aygıt Onayı. Temel olarak, Apple tarafından şirketin Onay sunucuları kullanılarak doğrulanabilen, bilinen bilgileri kullanarak bir cihazın orijinalliğini belirlemenin bir yoludur. Apple’ın bunu yapmak için kullandığı bilgiler arasında cihazdaki Secure Enclave, üretim kayıtları ve işletim sistemi kataloğu ile ilgili ayrıntılar yer alır.
Onay, işletim sistemine veya yüklü uygulamalara değil, cihazın kendisine bakar. Bu önemlidir, çünkü bir cihazın güvenliğinin ihlal edilmiş olabileceği anlamına gelir, ancak Apple yine de iddia ettiği cihaz olduğunu onaylayacaktır. Secure Enclave bozulmadığı sürece, doğrulama devam edecektir. (Ancak MDM hizmetleri, işletim sisteminin bütünlüğünü doğrulayabilir.)
Onay iki şekilde kullanılabilir. Birincisi, bir MDM hizmetinin cihazın iddia ettiği gibi olduğunu bilmesi için bir cihazın kimliğini doğrulamaktır. İkincisi, ortamınızdaki kaynaklara güvenli erişim içindir. Onayın bu son kullanımını uygulamak, kuruluşunuzda bir ACME (Otomatik Sertifika Yönetim Ortamı) sunucusunun veya hizmetinin dağıtımını gerektirir. Bu, cihaz kimliğinin en güçlü kanıtını sunar ve istemci sertifikalarını SCEP’in (basit sertifika kayıt protokolü) yaptığına benzer şekilde yapılandırır.
ACME sunucusu bir onay aldığında, kaynaklara erişime izin veren bir sertifika yayınlayacaktır. Onay sertifikalarından elde edilen kanıt, cihazın orijinal Apple donanımı olduğunu garanti eder ve cihaz kimliğini, cihaz özelliklerini ve donanıma bağlı kimlik anahtarlarını (cihazın Secure Enclave ile ilgili) içerir.
Apple, onayın başarısız olmasının birkaç nedeni olduğunu ve ağ sorunları veya şirketin onay sunucularıyla ilgili sorunlar gibi bazı hataların kötü niyetli bir sorunu göstermediğini belirtiyor. Bununla birlikte, üç tür başarısızlık, yapmak çözülmesi veya araştırılması gereken potansiyel bir sorunu belirtir. Bunlar, değiştirilmiş cihaz donanımını, tanınmayan veya değiştirilmiş yazılımları veya cihazın orijinal bir Apple cihazı olmadığı durumları içerir.
Cihaz Onayı, benzersiz cihaz kimliği doğrulaması sunar. Ortamınızda ACME hizmetlerini kurmakla ilgilenmiyor olsanız bile, MDM çözümünüz için doğrulamayı etkinleştirmek kolay ve açık bir seçimdir. Yine de tam olarak nasıl çalışacağı, çeşitli MDM satıcılarının işlevselliği nasıl uyguladığına bağlı olacaktır. Ayrıca, bazı satıcıların ACME hizmetlerini MDM tekliflerine ekleyerek bu yeni yetenekten tam olarak yararlanmayı kolaylaştırması da mümkündür.
Güvenli Uç Nokta
İkinci WWDC oturumu Güvenli Uç Noktayı içeriyordu. Apple’ın Secure Endpoint API’si için yeni işlevler sundu ve çeşitli Mac güvenlik araçlarının geliştiricilerine yönelikti. Apple, geliştiricilerin kimlik doğrulama, oturum açma/oturum kapatma ve XProtect/Gatekeeper olayları dahil olmak üzere yeni olay türlerini uygulamalarına olanak tanıyor.
- kimlik doğrulama Artık Secure Endpoint API’sine erişilebilen olaylar arasında parola doğrulama, Touch ID, kriptografik belirteçlerin verilmesi ve bir Apple Watch kullanılarak Otomatik Kilit Açma sayılabilir. Geliştiriciler, şüpheli erişim denemelerinin modellerini (başarılı veya başarısız) aramak ve bunlarla basit uyarılardan diğer eylemlere kadar çeşitli şekillerde başa çıkmak için bunları kullanabilir.
- Geliştiriciler artık bunları incelemek için Secure Endpoint API’sini kullanabilecek. giriş yap çıkış Yap oturum açma penceresinden (klavyeyi kullanarak doğrudan Mac’te oturum açma), ekran paylaşımı yoluyla oturum açma, SSH bağlantısı ve komut satırı oturum açma dahil olmak üzere çeşitli türlerde. Yine, buradaki değer, şüpheli oturum açma etkinliğini veya girişimlerini arama ve işaretleme yeteneğidir.
- XProtect/Gatekeeper geliştiricilerin, otomatik olarak veya BT personeli aracılığıyla, kötü amaçlı yazılım algılandığında ve ayrıca düzeltildiğinde bilgilere erişmek için Güvenli Uç Nokta API’sini kullanmalarını sağlayacaktır.
Bu işlevlerden bazıları, daha önce, macOS Big Sur’dan itibaren kullanımdan kaldırılan OpenBSM denetim yolunu kullanan geliştiriciler için mevcuttu. Hâlâ mevcut olmasına rağmen, gelecekteki bir macOS sürümünde kaldırılacaktır.
Her iki oturum da ön hat BT personelinden ziyade geliştiricilere yönelik olsa da, Apple’ın kurumsal ve güvenlik satıcılarına sunduğu yeni teknolojileri vurguluyor. Ayrıca Apple’ın değişen kurumsal güvenlik ortamına ilişkin anlayışının ve işletmelere güvenliği desteklemek için ihtiyaç duydukları araçları sağlama konusundaki kararlılığının altını çiziyorlar.
Telif Hakkı © 2022 IDG Communications, Inc.