Керована атестація пристроїв(Managed Device Attestation) дозволяє підприємствам перевіряти пристрої Apple на безпеку, захищаючи корпоративну мережу. Ось як нею користуватися.
Історія безпеки
У нашому взаємопов’язаному світі питання ідентифікації пристроїв відіграє вирішальну роль в онлайн-безпеці. Традиційні моделі безпеки використовують захист по периметру та брандмауер для перевірки пристроїв і блокування шахрайських.
Ідея захисту по периметру полягає в тому, що мережа (або частина мережі) захищається у всіх можливих точках входу в мережу ззовні.
Периметр також може бути створений за допомогою віртуальних приватних мереж (VPN), які дозволяють зовнішнім користувачам підключатися лише через один пристрій або шлюз (який є надійно захищеним).
Захист периметра призначений для того, щоб тримати зовнішніх зловмисників на відстані та не допускати їх у внутрішні мережі. Але в сучасну мобільну епоху захист периметра більше не слугує меті, оскільки пристрої є мобільними і переміщуються з одного місця в інше.
Пристрої сьогодні менші і їх можна приховати. Відвідувачі або навіть співробітники можуть без особливих зусиль пронести їх всередину системи захисту периметра організації.
Через ці фактори будь-яка спроба перевірити та відстежити шкідливий мобільний пристрій за допомогою засобів захисту периметра є марною.
Замість цього зараз використовується модель безпеки Zero Trust. Ідея Zero Trust полягає в тому, що кожен пристрій або користувач є підозрілим, поки не буде перевірений («ніколи не довіряй, завжди перевіряй»).
Одним з основних принципів нульової довіри є заміна моделі периметра на модель прямої перевірки від пристрою до ресурсу.
У цій моделі кожен ресурс, до якого звертаються в мережі, перевіряє клієнтський пристрій безпосередньо, гарантуючи, що пристрій має право доступу до ресурсу. Якщо пристрій не перевірено (або користувач не автентифікований), доступ заборонено.
Крім того, широке використання хмарних ресурсів означає, що багато ресурсів організації зараз розподілені і знаходяться за межами периметра безпеки.
Загрози зовнішньому периметру все ще існують, такі як пряма відмова в обслуговуванні (DDoS), атаки типу «зловмисник посередині» та програми-вимагачі – і це лише деякі з них.
Але ці типи векторів атак, як правило, здійснюються великими, бандитськими або державними суб’єктами. Як такі, вони вимагають іншої моделі безпеки.
Безпека та керовані пристрої
Apple вирішує проблему безпеки на мобільних пристроях, використовуючи схему перевірки та довіри, яка залучає кілька ресурсів.
Це включає в себе захищений анклав пристрою Apple – область на нових пристроях Apple, яка може містити чіп Apple T2, або спеціальну захищену область. Безпечні анклави використовують апаратне шифрування, а також мають можливість генерувати безпечні приватні ключі, прив’язані до кожного пристрою.
Інший спосіб, яким Apple та організації захищають пристрої, – це використання серверів керування мобільними пристроями (MDM).
Також можуть використовуватися сервери автоматичного середовища керування сертифікатами (ACME) – разом з nonce (одноразовими безпечними випадковими числами) та шифруванням.
Усередині компанії Apple працюють сервери атестації пристроїв (DAS), які містять списки всіх відомих випущених і придбаних пристроїв Apple, їхні серійні номери та інформацію про безпечний анклав.
Apple DAS гарантує, що Apple може перевірити, що будь-який пристрій Apple, який намагається встановити зв’язок з мережею, є саме тим пристроєм, за який він себе видає.
Використовуючи ці компоненти разом, організація або ресурс може перевірити автентичність пристрою Apple. Цей процес відомий як керована атестація пристроїв (Managed Device Attestation, MDA).
Термінологія MDA
- Безпека – складна тема, тому ми не можемо охопити всі аспекти MDA тут. Ми торкнемося лише кількох ключових понять.
- Але спочатку трохи термінології, яка використовується в MDA та в комп’ютерній безпеці загалом:
- Managed Device Attestation – процес підтвердження та перевірки пристрою Apple
- MDM-сервер – сервер, керований організацією або компанією Apple, який керує пристроями Apple
- Криптографічний ключ – унікальне закодоване число, що використовується для безпечного обміну інформацією в мережі
- PKI – Інфраструктура відкритих ключів – програмне забезпечення, яке керує криптографічними ключами з метою безпеки
- ACME – протокол середовища автоматичного управління сертифікатами, що використовується для автоматизації обміну інформацією про сертифікати
- Сервер ACME – сервер сертифікатів PKI, керований організацією або компанією Apple, який керує пристроями Apple
- Nonce – у криптографії одноразове унікальне (зазвичай випадкове) число, що використовується як ідентифікатор у мережевому спілкуванні
- Периметр – мережева безпека організації або комп’ютера, що оточує мережу, в межах якої не допускається несанкціонований зв’язок
- Суб’єкт загрози – особа або група осіб, які мають намір здійснити атаку на мережу або комп’ютерний пристрій (пристрої)
- Поверхня атаки – способи, за допомогою яких суб’єкт загрози може зламати або скомпрометувати мережу чи пристрій
- Клієнт – будь-який віддалений комп’ютер, який намагається підключитися до мережі, пристрою або комп’ютера
- Оцінка довіри – процес перевірки ідентичності пристрою, що підключається, або користувача
- Позиція – в комп’ютерній безпеці профіль, що містить одну або кілька частин інформації про пристрій або користувача, яка допомагає в оцінці довіри
- UDID – унікальний номер пристрою, який ідентифікує пристрій
- Сертифікат – зашифрований файл, яким обмінюються в мережі для надання ідентифікаційної та верифікаційної інформації про пристрій – зазвичай сервер
- Атестація – декларація факту, яка після перевірки дозволяє мережі довіряти пристрою або користувачеві
Протокол ACME був розроблений дослідницькою групою Internet Security Research Group і використовується в її популярному сервісі Let’s Encrypt.
Протокол ACME використовує текст у форматі JSON через HTTPS і визначений в IETF RFC 8555. ACME дозволяє комп’ютерам автоматизувати обмін зашифрованими сертифікатами для прискорення безпечного зв’язку.
Сервери Apple та сервери MDM взаємодіють з серверами ACME або використовують їх у процесі атестації пристроїв.
У програмному забезпеченні атестація – це факт, який криптографічно підписується. Як тільки підпис перевіряється разом з пристроєм, атестація вважається достовірною. Використовуючи юридичну аналогію, уявіть собі атестацію як перевірену, підписану заяву під присягою, яка констатує факти.
Сервери організації можуть вирішувати, який рівень атестації пристрою їм потрібен, щоб довіряти пристрою, що підключається. У випадку з пристроями Apple, атестація може включати ідентифікацію пристрою, властивості та, за бажанням, іншу інформацію, таку як сертифікати, профілі та ідентифікатори користувачів.
За допомогою Apple Device Attestation пристрій Apple можна перевірити, отримавши ці факти і довіряючи їм.
Підключення та перевірка пристрою
Коли пристрій Apple підключається до мережі, сервери ресурсів у мережі можуть запросити перевірку пристрою.
Під час цього процесу пристрій, що підключається, отримує запит на підключення до існуючих серверів MDM, які потім запускають сервери атестації пристроїв Apple для перевірки пристрою за допомогою захищеного анклаву пристрою.
Кожен сучасний пристрій Apple має власний вбудований Secure Enclave (який містить зашифровану апаратно інформацію). Коли Secure Enclave перевіряє пристрій, сервери атестації Apple надсилають відповідь на сервер MDM або сервер ресурсів організації, щоб підтвердити, що пристрій є дійсним.
Якщо перевірка не вдається, пристрою відмовляють у доступі до запитуваного ресурсу організації. Apple називає цю інформацію про пристрій Фондом довіри, який може включати
- Безпечний анклав
- Сервери атестації Apple
- Виробничі записи (включаючи серійний номер)
- Каталог операційних систем
Сервери MDM можуть надіслати команду DeviceInformation на пристрій Apple із запитом інформації про пристрій.
Після того, як атестація пристрою повертається на сервер MDM, вона оцінюється на предмет дійсності. Атестація пристрою декларує серверу MDM, що насправді існує дійсний пристрій Apple із запитуваними властивостями.
Якщо використовуються сервери ACME, можна також додати корисне навантаження ACME. ACME-дані можуть бути використані в ACME-атестації пристрою, що в подальшому допомагає перевірити пристрій за допомогою сертифіката.
Корисне навантаження ACME підтримує шифрування RSA або ECSECPrimeRandom, але воно повинно бути 256-бітним або 384-бітним.
ACME трохи схожий на простий протокол реєстрації сертифікатів (SCEP), який використовується на мережевому обладнанні. Більшість серверних атестацій ACME вимагають прив’язки ключа до обладнання, щоб гарантувати, що інформація, яка перевіряється, прив’язана до конкретного пристрою, що підключається.
Якщо запитується атестація ACME, сервер ACME налаштовує і видає новий сертифікат, якому можуть довіряти інші сервери організації.
Зауважте, що етап атестації ACME зазвичай відбувається лише після завершення атестації фізичного пристрою. Сертифікат, який видає сервер ACME, базується на унікальному тимчасовому одноразовому приватному ключі, згенерованому самим пристроєм Apple.
Існують додаткові способи перевірки корисного навантаження ACME, залежно від способу підключення пристрою. До них відносяться Safari ID, Kerberos, PayloadCertificateUUID Wi-Fi та PayloadCertificateUUID VPN.
Наразі IETF розглядає розширення атестації пристроїв для включення в протокол ACME.
Кожна атестація може додатково використовувати унікальний nonce або випадкове число під час зв’язку, щоб гарантувати, що застаріла інформація про безпеку не може бути використана двічі.
Це унеможливлює атаки типу «зловмисник посередині», які можуть видавати себе за пристрій за допомогою підробленого сертифіката.
Якщо зловмисний пристрій спробує збрехати про властивості пристрою Apple, щоб спробувати видати себе за пристрій, сервери атестації Apple відхилять його – і перевірка пристрою не відбудеться.
Використовуючи комбінацію цих надійних даних, стає практично неможливо підробити пристрій Apple. Можна обмінюватися кількома атестаціями, створюючи ланцюжок атестацій.
Під час оцінки довіри до пристрою кожен сервер розглядає стан безпеки пристрою та користувача, або деталі, які можуть включати в себе:
- Ідентифікація користувача
- Ідентифікація пристрою
- Місцезнаходження
- Зв’язок з мережею
- Час
- Керування пристроєм
Обмеження швидкості
Атестація пристрою використовує значні ресурси пристрою, зокрема енергію. Тому Apple обмежує кількість разів і частоту запитів на атестацію пристрою.
Загалом, для DeviceInformation Apple дозволяє лише один запит кожні сім днів.
Використання нового запису(Nonce) у запиті на атестацію вказує на те, що запитується нова атестація, тоді як відсутність запису(Nonce) вказує на те, що попередня атестація пристрою може бути використана.
Apple визначає ключ для нонсе для атестації: DeviceAttestationNonce.
З цих причин сервери або мережеві пристрої не повинні запитувати нову атестацію якомога швидше. Краще запитувати її лише тоді, коли властивості пристрою змінилися, або якщо минув певний період часу.
Реакція на невдалу атестацію
Apple зазначає, що не існує надійного способу дізнатися, чому атестація пристрою не пройшла, а лише те, що вона не пройшла.
Однак, якщо атестація пристрою не пройшла, мережа або сервер не повинні думати про найгірше – збій може бути законним і не обов’язково свідчити про атаку.
Додаткові ресурси
Наведений вище опис, звичайно, є грубим спрощенням. Щоб зрозуміти кожну деталь атестації Apple Device Attestation, обов’язково перегляньте доповідь Apple на WWDC ’22 «Відкрийте для себе керовану атестацію пристроїв».
Процес атестації насправді досить складний і потребує певного вивчення для повного розуміння.
У Apple є сторінка під назвою Managed Device Attestation для пристроїв Apple у Посібнику з розгортання платформи Apple.
Також ознайомтеся з двома сесіями WWDC ’22 і ’23 під назвою «Що нового в управлінні пристроями Apple». За останні роки Apple також провела кілька сесій WWDC, присвячених управлінню пристроями в цілому.
Для отримання інформації про ресурси та сертифікати Apple PKI див. статтю Apple PKI.
Використовуючи Apple Managed Device Attestation, ви можете значно підвищити рівень безпеки пристроїв Apple у вашій мережі.
Ви можете перевіряти пристрої, перш ніж надавати їм доступ до ресурсів – і значно зменшити ймовірність того, що зловмисник може використати пристрій Apple як вектор атаки.
Оригінал статті можна переглянути на Appleinsider