¿Qué es la atestación de dispositivos administrados en las plataformas de Apple?

Anunciada en la WWDC 2022, la protección de atestación de dispositivos administrados muestra que Apple está ajustando las protecciones de seguridad de los dispositivos para adaptarse a una era cada vez más distribuida.

Asegure los puntos finales, no los tiempos finales

Este ajuste refleja un cambio de realidad. Actualmente, el trabajo no se realiza en servidores específicos o detrás de firewalls definidos. El acceso VPN puede diferir entre equipos. Y, sin embargo, en un lugar de trabajo definido por múltiples dispositivos remotos (puntos finales), la amenaza a la seguridad es mayor que nunca.

Managed Device Attestation trabaja para crear un segundo límite de confianza alrededor del cual las soluciones de administración de dispositivos pueden funcionar para proteger contra ataques.

Esta es una de una amplia y creciente gama de mejoras de seguridad que llegan a las plataformas de Apple, incluida la gestión declarativa de dispositivos, Respuesta de seguridad rápiday tokens de acceso privado. Todas estas soluciones representan el trabajo de Apple para brindar una seguridad sólida como una roca de tal manera que también mejore la experiencia del usuario.

¿Para qué es esto?

Se trata de filosofía. Apple entiende que la seguridad debe evolucionar más allá de las protecciones perimetrales tradicionales, como VPN o firewalls. La protección debe implementarse en todo el borde de la red y debe ser cada vez más autónoma. Después de todo, la protección no puede depender totalmente del flujo de datos entre el dispositivo y el servidor, ya que incluso esa comunicación puede verse afectada.

La atestación de dispositivo administrado forma un punto de prueba para ayudar a asegurar el dispositivo y confirmar su identidad. Piénselo de esta manera: usted, como usuario, puede haber demostrado quién es y puede estar en una ubicación que sus sistemas de administración consideren viable, pero ¿cómo prueba que está utilizando un dispositivo registrado?

Eso es lo que busca hacer la atestación de dispositivos gestionados. Solo requiere que confíe en Secure Enclave en el procesador de su dispositivo y que también confíe en Apple para dar fe del estado del dispositivo.

Esencialmente, el proceso altamente seguro comparte la identidad clave y otras características del dispositivo como evidencia para asegurar al servicio que el dispositivo es uno que puede soportar. Secure Enclave proporciona evidencia a los servidores de certificación de Apple de que el hardware es legítimo, Apple comparte esto con el servicio y, dado que el servicio confía en Apple, el dispositivo se considera legítimo.

La idea es proteger contra el uso de dispositivos comprometidos, situaciones en las que un atacante falsifica un servicio haciéndose pasar por un dispositivo legítimo, o contra los intentos de acceder a la red realizados por personas que pueden tener los detalles de los usuarios pero que trabajan desde un dispositivo no reconocido. dispositivo.

¿Como funciona esto?

Mientras que necesitarás profundizar para familiarizarse con la tecnología detrás del sistemasigue una explicación ampliada:

• Managed Device Attestation usa el Secure Enclave integrado en los productos de Apple junto con atestaciones criptográficas que en conjunto confirman la identidad de un dispositivo administrado.
• Cuando dicho dispositivo intenta conectarse a MDM, VPN, Wi-Fi u otros servicios, también debe confirmar que se trata de una solicitud legítima de un dispositivo legítimo.
• El componente Atestación se presenta en forma de certificados diseñados para brindar garantías sólidas de que un dispositivo específico es legítimo. Aprovecha múltiples tecnologías, incluidas las claves privadas TLS generadas y protegidas por Secure Enclave.
• También utiliza los servidores de Apple y un proyecto de norma (actualmente) para un entorno de gestión de certificados automatizado.

En su forma más simple, cuando desea que su dispositivo sea autorizado y solicita permiso para hacerlo, el dispositivo envía información clave, como la identidad del usuario o del dispositivo, al servicio para confirmar que es quien dice ser. Esta información está protegida, por supuesto, y funciona a través de un servidor de Apple.

El servicio analiza lo que se le ha dicho, lo compara con sus propios registros, verifica que el mensaje sea genuino (tal como está firmado y entregado por los servidores de Apple) y aprueba el acceso. La atestación funciona gracias a los servidores MDM y al protocolo del Entorno de gestión automática de certificados (ACME) de la empresa, que hace que la atestación esté disponible para servicios más allá de MDM.

¿Cuándo estará disponible?

Managed Device Attestation estará disponible para iOS 16, iPad OS 16 y tvOS 16 a medida que aparezcan los nuevos sistemas operativos en las próximas semanas. Los proveedores de MDM como Jamf ciertamente aceptarán el soporte una vez que aparezca.

Obtenga más información sobre la atestación de dispositivos administrados

Los desarrolladores de Apple pueden obtener más información sobre la certificación de dispositivos administrados en el Sesión WWDC 2022 que lo explica y dentro de este extenso Resumen de administración de dispositivos en el sitio para desarrolladores de Apple.

Por favor sígueme en Gorjeoo únete a mí en el Bar y parrilla de AppleHolic y Discusiones de Apple grupos en MeWe.