สองเซสชันที่ฉันเข้าร่วมที่ WWDC เมื่อสัปดาห์ที่แล้ว ซึ่งเป็นเซสชัน Managed Device Certification และ Secure Endpoint ตอกย้ำความมุ่งมั่นของบริษัทในการมอบความสามารถที่มากขึ้นสำหรับเครื่องมือรักษาความปลอดภัย แม้ว่าทั้งคู่จะมุ่งสู่นักพัฒนาโซลูชันการจัดการอุปกรณ์และความปลอดภัยอย่างเป็นธรรมชาติมากกว่าผู้ใช้ปลายทางหรือผู้ดูแลระบบไอที แต่ความสามารถเพิ่มเติมบางอย่างที่นักพัฒนาจะสามารถรวมเข้ากับเครื่องมือทางธุรกิจก็เป็นสิ่งที่ควรค่าแก่การสังเกต
การรับรองอุปกรณ์ที่มีการจัดการ
เริ่มต้นด้วยการรับรองอุปกรณ์ที่มีการจัดการ ซึ่งเป็นคุณลักษณะใหม่ที่ช่วยให้มั่นใจว่าเซิร์ฟเวอร์และบริการ (ในองค์กรหรือในระบบคลาวด์) จะตอบสนองต่อคำขอที่ถูกต้องเพื่อเข้าถึงทรัพยากรเท่านั้น
ทั้งการใช้บริการคลาวด์และการปรับใช้อุปกรณ์พกพาเติบโตไปด้วยกัน (และทวีคูณ) ในช่วง 10 ปีที่ผ่านมา ซึ่งเปลี่ยนแปลงสถานะการรักษาความปลอดภัยขององค์กรอย่างมาก ทศวรรษที่ผ่านมา การมีความปลอดภัยที่แข็งแกร่งที่ขอบเขตของเครือข่าย รวมกับ VPN และเครื่องมือการเข้าถึงระยะไกลที่ปลอดภัยที่คล้ายกัน เป็นวิธีหลักในการปกป้องเครือข่ายและทั้งองค์กร
อย่างไรก็ตาม การรักษาความปลอดภัยในปัจจุบันนั้นซับซ้อนกว่ามาก ทรัพยากรจำนวนมากอยู่นอกเครือข่ายขององค์กรทั้งหมด ซึ่งหมายความว่าการประเมินความน่าเชื่อถือจะต้องดำเนินการผ่านบริการในพื้นที่ ระยะไกล และบริการคลาวด์ที่หลากหลาย โดยทั่วไปแล้วจะครอบคลุมผู้ให้บริการหลายราย และแต่ละรายต้องสามารถพิสูจน์ได้ว่าผู้ใช้และอุปกรณ์ที่เชื่อมต่อกับผู้ให้บริการนั้นถูกต้องตามกฎหมาย ที่ไปไกลกว่าการรับรองความถูกต้องและการอนุญาตอย่างง่าย
ปัจจุบัน บริการต่างๆ อาศัยข้อมูลประจำตัวผู้ใช้ ข้อมูลประจำตัวของอุปกรณ์ ตำแหน่ง การเชื่อมต่อ วันที่และเวลา และสถานะการจัดการอุปกรณ์เพื่อพิจารณาว่าคำขอเข้าถึงนั้นถูกต้องหรือไม่ บริการสามารถใช้เกณฑ์ใดเกณฑ์หนึ่งหรือทั้งหมด และส่วนใหญ่ รวมถึงโซลูชัน MDM สามารถใช้เกณฑ์เหล่านี้เมื่อให้หรือปฏิเสธการเข้าถึง
ทั้งนี้ขึ้นอยู่กับความละเอียดอ่อนของข้อมูล การตรวจสอบผู้ใช้อย่างง่ายอาจเพียงพอสำหรับระดับความปลอดภัยที่กำหนด หรืออาจใช้ความระมัดระวังในการพึ่งพาเกณฑ์เหล่านี้ทั้งหมดก่อนที่จะให้สิทธิ์การเข้าถึง โดยเฉพาะอย่างยิ่งสำหรับระบบที่มีความละเอียดอ่อนหรือการดูแลระบบ
ข้อมูลประจำตัวของอุปกรณ์เป็นหนึ่งในเกณฑ์ที่ทรงพลังที่สุด ช่วยให้มั่นใจได้ว่าอุปกรณ์ใดๆ ที่เข้าถึงระบบและทรัพยากรขององค์กรของคุณ (รวมถึงบริการ MDM) เป็นที่รู้จักและเชื่อถือได้ ในปัจจุบัน ข้อมูลประจำตัวอุปกรณ์ Apple ประกอบด้วยข้อมูลต่อไปนี้: ตัวระบุเฉพาะของอุปกรณ์ในโปรโตคอล MDM ของ Apple ข้อมูลที่ส่งคืนจากการสืบค้นข้อมูลอุปกรณ์ MDM (ซึ่งรวมถึงรายการต่างๆ เช่น หมายเลขซีเรียล หมายเลข IMEI เป็นต้น) และใบรับรองความปลอดภัยที่มี ได้รับการออก ไปยังอุปกรณ์
ใน iOS/iPadOS/tvOS 16 Apple กำลังรวมฟังก์ชันเพิ่มเติมเพื่อสร้างเอกลักษณ์ของอุปกรณ์: การรับรองอุปกรณ์ โดยพื้นฐานแล้ว เป็นวิธีสร้างความถูกต้องของอุปกรณ์โดยใช้ข้อมูลที่ทราบเกี่ยวกับอุปกรณ์ดังกล่าว ซึ่ง Apple สามารถตรวจสอบได้โดยใช้เซิร์ฟเวอร์การรับรองของบริษัท ข้อมูลที่ Apple ใช้ในการทำเช่นนี้รวมถึงรายละเอียดเกี่ยวกับ Secure Enclave บนอุปกรณ์ บันทึกการผลิต และแค็ตตาล็อกระบบปฏิบัติการ
การรับรองเกี่ยวข้องกับตัวอุปกรณ์เอง ไม่ใช่ระบบปฏิบัติการหรือแอปพลิเคชันที่ติดตั้งไว้ นี่เป็นสิ่งสำคัญเพราะหมายความว่าอุปกรณ์อาจถูกบุกรุก แต่ Apple ยังคงยืนยันว่าเป็นอุปกรณ์ที่อ้างว่าเป็น ตราบใดที่วงล้อมที่ปลอดภัยยังคงอยู่ การรับรองจะดำเนินต่อไป (อย่างไรก็ตาม บริการ MDM สามารถตรวจสอบความสมบูรณ์ของระบบปฏิบัติการได้)
ใบรับรองสามารถใช้ได้สองวิธี ประการแรกคือการตรวจสอบตัวตนของอุปกรณ์เพื่อให้บริการ MDM รู้ว่าอุปกรณ์นั้นเป็นสิ่งที่อ้างว่าเป็น ประการที่สองคือการเข้าถึงทรัพยากรในสภาพแวดล้อมของคุณอย่างปลอดภัย การใช้การรับรองภายหลังต้องใช้เซิร์ฟเวอร์หรือบริการ Automatic Certificate Management Environment (ACME) ในองค์กรของคุณ นี่เป็นการพิสูจน์ตัวตนอุปกรณ์ที่แข็งแกร่งที่สุดและกำหนดค่าใบรับรองไคลเอ็นต์ที่คล้ายกับ SCEP (โปรโตคอลการลงทะเบียนใบรับรองอย่างง่าย)
เมื่อเซิร์ฟเวอร์ ACME ได้รับการรับรอง จะออกใบรับรองที่อนุญาตให้เข้าถึงทรัพยากรได้ ใบรับรองหลักฐานการรับรองรับประกันว่าอุปกรณ์นั้นเป็นฮาร์ดแวร์ของ Apple ของแท้และรวมถึงข้อมูลประจำตัวของอุปกรณ์ คุณสมบัติของอุปกรณ์ และคีย์การระบุตัวตนที่เกี่ยวข้องกับฮาร์ดแวร์ (ที่เกี่ยวข้องกับวงล้อมความปลอดภัยของอุปกรณ์)
Apple ตั้งข้อสังเกตว่ามีหลายสาเหตุที่ทำให้การรับรองล้มเหลว และความล้มเหลวบางอย่าง เช่น ปัญหาเครือข่ายหรือปัญหากับเซิร์ฟเวอร์การรับรองของบริษัท ไม่ได้ระบุถึงปัญหาที่เป็นอันตราย อย่างไรก็ตาม ข้อผิดพลาดสามประเภทบ่งชี้ถึงปัญหาที่อาจเกิดขึ้นซึ่งจำเป็นต้องแก้ไขหรือตรวจสอบ ซึ่งรวมถึงฮาร์ดแวร์อุปกรณ์ที่ได้รับการดัดแปลง ซอฟต์แวร์ที่ได้รับการดัดแปลงหรือไม่รู้จัก หรือสถานการณ์ที่อุปกรณ์ไม่ใช่อุปกรณ์ Apple ของแท้
การรับรองอุปกรณ์ให้การยืนยันตัวตนอุปกรณ์ที่ไม่เคยมีมาก่อน แม้ว่าคุณจะไม่สนใจใช้บริการ ACME ในสภาพแวดล้อมของคุณ การเปิดใช้งานการรับรองสำหรับโซลูชัน MDM ของคุณก็เป็นทางเลือกที่ง่ายและชัดเจน อย่างไรก็ตาม วิธีการทำงานจะขึ้นอยู่กับว่าผู้จำหน่าย MDM ต่างๆ ใช้งานคุณลักษณะนี้อย่างไร ผู้ให้บริการบางรายอาจรวมบริการ ACME เข้ากับข้อเสนอ MDM ของพวกเขาด้วย ช่วยให้คุณใช้ประโยชน์จากฟังก์ชันใหม่นี้ได้อย่างเต็มที่
ปลายทางที่ปลอดภัย
เซสชั่นที่สองของ WWDC เป็นเรื่องเกี่ยวกับ Secure Endpoint แนะนำคุณสมบัติใหม่สำหรับ Secure Endpoint API ของ Apple และนักพัฒนาเป้าหมายของเครื่องมือรักษาความปลอดภัย Mac ประเภทต่างๆ Apple อนุญาตให้นักพัฒนาใช้กิจกรรมประเภทใหม่ ๆ รวมถึงการตรวจสอบสิทธิ์ เข้าสู่ระบบ/ออกจากระบบ และเหตุการณ์ XProtect /Gatekeeper
- การรับรอง กิจกรรมที่ Secure Endpoint API สามารถเข้าถึงได้ในขณะนี้ ได้แก่ การตรวจสอบรหัสผ่าน, Touch ID, การออกโทเค็นการเข้ารหัส และการปลดล็อกอัตโนมัติด้วย Apple Watch นักพัฒนาสามารถใช้พวกเขาเพื่อค้นหารูปแบบของความพยายามเข้าสู่ระบบที่น่าสงสัย (สำเร็จหรือไม่สำเร็จ) และจัดการกับพวกเขาในหลากหลายวิธี ตั้งแต่การแจ้งเตือนง่ายๆ ไปจนถึงการดำเนินการอื่นๆ
- ตอนนี้นักพัฒนาจะสามารถใช้ Secure Endpoint API เพื่อตรวจสอบได้ เข้าสู่ระบบ/ออกจากระบบ ประเภทต่างๆ รวมถึงจากหน้าต่างเข้าสู่ระบบ (เชื่อมต่อโดยตรงกับ Mac โดยใช้แป้นพิมพ์) การเชื่อมต่อการแชร์หน้าจอ การเชื่อมต่อ SSH และการเชื่อมต่อบรรทัดคำสั่ง อีกครั้ง ค่าที่นี่คือความสามารถในการค้นหาและรายงานกิจกรรมที่น่าสงสัยหรือการพยายามเข้าสู่ระบบ
- XProtect/การ์เดียน จะช่วยให้นักพัฒนาสามารถใช้ Secure Endpoint API เพื่อเข้าถึงข้อมูลเมื่อตรวจพบมัลแวร์ เช่นเดียวกับเมื่อได้รับการแก้ไข ไม่ว่าจะโดยอัตโนมัติหรือผ่านเจ้าหน้าที่ไอที
ฟีเจอร์เหล่านี้บางคุณสมบัติก่อนหน้านี้มีให้สำหรับนักพัฒนาโดยใช้เส้นทางการตรวจสอบ OpenBSM ซึ่งเลิกใช้งานแล้วใน macOS Big Sur แม้ว่าจะยังคงใช้งานได้ แต่จะถูกลบออกใน macOS เวอร์ชันอนาคต
แม้ว่าทั้งสองเซสชันจะมุ่งเป้าไปที่นักพัฒนามากกว่าที่จะเป็นเจ้าหน้าที่ไอทีในแนวหน้า แต่ก็เน้นที่เทคโนโลยีใหม่ที่ Apple เสนอให้กับธุรกิจและผู้จำหน่ายระบบรักษาความปลอดภัย และเน้นย้ำความเข้าใจของ Apple เกี่ยวกับภูมิทัศน์ที่เปลี่ยนแปลงไปของการรักษาความปลอดภัยระดับองค์กร และความมุ่งมั่นในการมอบเครื่องมือที่จำเป็นสำหรับธุรกิจในการเสริมความแข็งแกร่งด้านความปลอดภัย
ลิขสิทธิ์ © 2022 IDG Communications, Inc.