2024-04-26 05:09:07
Attestation d’appareil Apple.
L’attestation d’appareil géré permet aux entreprises de vérifier la sécurité des appareils Apple, protégeant ainsi le réseau d’entreprise. Voici comment l’utiliser.
Contexte de sécurité
Dans notre monde interconnecté, la question de l’identité des appareils joue un rôle essentiel dans la sécurité en ligne. Les modèles de sécurité traditionnels utilisent défenses périmétriques plus un pare-feu pour tenter de vérifier les appareils et bloquer les appareils malveillants.
L’idée derrière les défenses périmétriques est qu’un réseau (ou une partie de réseau) est sécurisé à tous les points d’entrée possibles dans le réseau depuis l’extérieur.
Des périmètres peuvent également être établis via des réseaux privés virtuels (VPN) qui permettent uniquement aux utilisateurs externes de se connecter via un seul appareil ou une seule passerelle (fortement sécurisée).
Les défenses périmétriques sont conçues pour tenir les attaquants externes à distance et hors des réseaux internes. Mais à l’ère mobile moderne, les défenses périmétriques ne servent plus à rien car les appareils sont mobiles et se déplacent d’un endroit à un autre.
Les appareils d’aujourd’hui sont plus petits et peuvent être dissimulés. Ils peuvent être amenés sans effort à l’intérieur du périmètre de défense d’une organisation par les visiteurs ou même par les employés.
En raison de ces facteurs, toute tentative de vérification et de suivi d’un appareil mobile malveillant à l’aide de défenses périmétriques est vaine.
Au lieu de cela, un Confiance zéro Le modèle de sécurité est désormais utilisé. L’idée derrière Zero Trust est chaque appareil ou utilisateur est suspect jusqu’à ce qu’il soit vérifié (“ne faites jamais confiance, vérifiez toujours”).
L’un des principes centraux du Zero Trust est de remplacer le modèle de périmètre par l’un des diriger l’appareil vers la vérification des ressources.
Dans ce modèle, chaque ressource accessible sur un réseau vérifie directement le périphérique client, garantissant que le périphérique est autorisé à accéder à la ressource. Si un appareil n’est pas vérifié (ou si l’utilisateur n’est pas authentifié), l’accès est refusé.
De plus, l’utilisation généralisée des ressources cloud signifie que de nombreuses ressources de l’organisation sont désormais distribuées et en dehors des périmètres de sécurité.
Des menaces périmétriques externes existent toujours, telles que le déni de service direct (DDoS), les attaques Man-In-The-Middle et les ransomwares, pour n’en nommer que quelques-unes.
Mais ces types de vecteurs d’attaque sont généralement exécutés par des acteurs de grande envergure, des gangs ou des États. En tant que tels, ils nécessitent un modèle de sécurité différent.
Sécurité et appareils gérés
Apple résout le problème de sécurité sur les appareils mobiles en utilisant un système de vérification et de confiance qui implique plusieurs ressources.
Cela inclut le Secure Enclave d’un appareil Apple – une zone sur les appareils Apple plus récents pouvant contenir une puce Apple T2, ou une zone sécurisée dédiée. Les enclaves sécurisées utilisent le cryptage matériel et ont également la capacité de générer des clés privées sécurisées liées à chaque appareil.
Une autre façon pour Apple et les organisations de sécuriser les appareils consiste à utiliser des serveurs de gestion des appareils mobiles (MDM).
Les serveurs ACME (Automatic Certificate Management Environment) peuvent également être utilisés – avec occasionnels (« Number-Once » ou nombres aléatoires sécurisés à usage unique) et cryptage.
En interne, Apple fournit Serveurs d’attestation de périphériques (DAS), qui contient des listes de tous les appareils Apple connus commercialisés et achetés, les numéros de série et les détails de Secure Enclave sur les appareils.
Apple DAS garantit qu’Apple peut vérifier que tout appareil Apple présumé tentant de communiquer avec un réseau est effectivement l’appareil, affirme l’appareil.
En utilisant ces composants de concert, il est possible pour une organisation ou une ressource de vérifier qu’un appareil Apple est authentique. Ce processus est connu sous le nom Attestation de périphérique géré (MDA).
Terminologie MDA
La sécurité est un sujet complexe et nous ne pouvons donc pas aborder ici tous les aspects de MDA. Nous n’aborderons que quelques concepts clés.
Mais d’abord, un peu de terminologie utilisée en MDA et en sécurité informatique en général :
Le protocole ACME utilise du texte au format JSON sur HTTPS et est défini dans la norme IETF RFC 8555. ACME permet aux ordinateurs d’automatiser l’échange de certificats cryptés pour accélérer les communications sécurisées.
Les serveurs Apple et les serveurs MDM communiquent avec ou utilisent les serveurs ACME dans le processus d’attestation de périphérique.
Dans un logiciel, une attestation est un fait signé cryptographiquement. Une fois la signature vérifiée avec l’appareil, l’attestation est fiable. En utilisant une analogie juridique, considérez une attestation comme un affidavit vérifié et signé qui énonce des faits.
Les serveurs de l’organisation peuvent décider du niveau d’attestation d’appareil dont ils ont besoin pour faire confiance à un appareil qui se connecte. Dans le cas des appareils Apple, les attestations peuvent inclure l’identité de l’appareil, ses propriétés et éventuellement d’autres informations telles que des certificats, des profils et des identifiants utilisateur.
Grâce à l’attestation d’appareil Apple, un appareil Apple peut être vérifié en recevant et en faisant confiance à ces faits.
Connexion et vérification de l’appareil
Lorsqu’un appareil Apple se connecte à un réseau, les serveurs de ressources du réseau peuvent demander une vérification de l’appareil.
Au cours de ce processus, l’appareil qui se connecte est invité à se connecter à tous les serveurs MDM existants, ce qui déclenche ensuite les serveurs d’attestation de périphérique d’Apple pour vérifier l’appareil à l’aide du Secure Enclave de l’appareil.
Chaque appareil Apple moderne possède son propre Secure Enclave intégré (qui comprend des informations cryptées matériellement). Lorsque Secure Enclave vérifie l’appareil, les serveurs d’attestation d’Apple envoient une réponse au MDM ou au serveur de ressources de l’organisation pour indiquer que l’appareil est valide.
Si la vérification échoue, l’appareil se voit refuser l’accès à la ressource d’organisation demandée. Apple appelle ces informations sur l’appareil la Trust Foundation, qui peut inclure :
Les serveurs MDM peuvent émettre une commande DeviceInformation sur un appareil Apple demandant les informations sur l’appareil.
Une fois que l’attestation d’un appareil est renvoyée à un serveur MDM, sa validité est évaluée. L’attestation de l’appareil déclare au serveur MDM qu’il existe effectivement un appareil Apple valide avec les propriétés demandées.
Si des serveurs ACME sont utilisés, une charge utile ACME peut également être ajoutée. Une charge utile ACME peut être utilisée dans l’attestation ACME d’un appareil, ce qui permet en outre de vérifier l’appareil au moyen d’un certificat.
Les charges utiles ACME prennent en charge le chiffrement RSA ou ECSECPrimeRandom, mais il doit être de 256 bits ou de 384 bits.
ACME est un peu le Simple Certificate Enrollment Protocol (SCEP) utilisé sur les équipements réseau. La plupart des attestations de serveur ACME nécessitent une clé matérielle pour garantir que les informations vérifiées sont liées au périphérique de connexion spécifique.
Si une attestation ACME est demandée, un serveur ACME configure et émet un nouveau certificat auquel le reste des serveurs de l’organisation peut faire confiance.
Notez que l’étape d’attestation ACME n’a généralement lieu qu’une fois l’attestation du périphérique physique terminée. Le certificat délivré par le serveur ACME est basé sur une clé privée temporaire unique générée par l’appareil Apple lui-même.
Échange de clés entre un appareil et des serveurs.
Il existe d’autres moyens de vérifier la charge utile ACME, en fonction de la manière dont l’appareil se connecte. Il s’agit notamment de l’identifiant Safari, Kerberosle PayloadCertificateUUID du Wi-Fi et le PayloadCertificateUUID d’un VPN.
Chaque attestation peut éventuellement utiliser un identifiant unique occasionnellementou un nombre aléatoire, pendant la communication pour garantir que les informations de sécurité obsolètes ne peuvent pas être utilisées deux fois.
Cela garantit que les attaques Man-In-The-Middle ne peuvent pas se produire et usurper l’identité d’un appareil via un faux certificat.
Si un appareil malveillant tente de mentir sur les propriétés Apple d’un appareil afin d’usurper l’identité d’un appareil, les serveurs d’attestation d’Apple le rejetteront et la validation de l’appareil échouera.
En utilisant une combinaison de ces informations fiables, il devient pratiquement impossible de usurper l’identité d’un appareil Apple. Plusieurs attestations peuvent être échangées, conduisant à une chaîne d’attestation.
Lors de l’évaluation de la confiance des appareils, chaque serveur prend en compte la sécurité de l’appareil et de l’utilisateur. Postureou des détails, qui peuvent inclure :
Architecture du serveur
Limitation du débit
L’attestation de l’appareil utilise des ressources importantes sur l’appareil, notamment l’alimentation. Apple limite donc le nombre de fois et la fréquence à laquelle une attestation d’appareil peut être demandée.
En général, pour DeviceInformation, Apple n’autorise qu’une seule demande tous les sept jours.
L’utilisation d’un nouveau nom occasionnel dans une attestation indique qu’une nouvelle attestation est demandée, tandis que l’omission d’un nom occasionnel indique que l’attestation précédente de l’appareil peut être utilisée.
Apple définit une clé pour les noms occasionnels d’attestation : DeviceAttestationNonce.
Pour ces raisons, les serveurs ou les périphériques réseau ne doivent pas demander une nouvelle attestation dans les plus brefs délais. Demandez-en plutôt une uniquement lorsqu’une propriété de l’appareil a changé ou si une certaine période de temps s’est écoulée.
Réagir à une attestation échouée
Apple mentionne qu’il n’existe aucun moyen fiable de savoir pourquoi l’attestation d’un appareil a échoué, mais seulement que c’est le cas.
Toutefois, si l’attestation d’un appareil échoue, le réseau ou un serveur ne doit pas présumer du pire : l’échec peut être légitime et n’indique pas nécessairement une attaque.
Ressources additionnelles
La description ci-dessus est bien entendu une simplification grossière. Pour comprendre chaque détail de l’attestation d’appareil Apple, assurez-vous de consulter la session WWDC ’22 d’Apple. Découvrez l’attestation d’appareil géré.
Le processus d’attestation est en fait assez complexe et nécessite quelques études pour être pleinement compris.
Pour plus d’informations sur les ressources et les certificats Apple PKI, voir Clé à clé publique Apple.
Grâce à l’attestation d’appareil géré Apple, vous pouvez considérablement améliorer la sécurité des appareils Apple de votre organisation sur votre réseau.
Vous pouvez vérifier les appareils avant de les autoriser à accéder aux ressources et réduire considérablement la probabilité qu’un acteur malveillant puisse utiliser un appareil Apple comme vecteur d’attaque.
#Comment #utiliser #lattestation #dappareil #géré #par #Apple
1714121130