نشر مصادقة الأجهزة المُدارة
تُعد مصادقة الجهاز المُدار تقنية قوية لتأمين الأجهزة المُدارة، ويمكن أن تساعد في إحباط العديد من أنواع الهجمات، بما في ذلك تشويش خصائص الجهاز واستخراج المفاتيح والاحتيال. تتكون مصادقة الجهاز المُدار من تقنيتين:
توفر مصادقة معلومات الجهاز خصائص مصادقة لجهاز مُدار استجابةً لاستعلام
DeviceInformationالخاص بخدمة إدارة الأجهزة. يتيح هذا لخدمة إدارة الأجهزة معلومات مهمة تتعلق بأمن والامتثال حول الجهاز.تثبت مصادقة ACME هوية الجهاز للجهات المعتمدة. وتوفر هوية مرتبطة بالمكونات الصلبة للجهاز. وعندما يطلب العميل شهادة من خادم ACME، فإنها توفر نفس الخصائص المصدقة.
تعد هاتان التقنيتان لبنات بناء قوية تمكنك من إنشاء بنية خالية من الثقة تعتمد على أجهزة Apple. من المهم ملاحظة أن المؤسسات لا تحصل على فوائد أمنية إلا إذا كان نموذج النشر المبني على الأجهزة المُدارة يتضمن المصادقات بشكل صحيح. تصف هذه الصفحة بعض نماذج النشر الممكنة.
المكونات
يتضمن نموذج النشر حول مصادقة الجهاز المُدار المكونات التالية:
الجهاز: الجهاز الذي تتم إدارته، وهو iPhone أو iPad أو Mac أو Apple TV أو Apple Vision Pro.
خدمة إدارة الأجهزة: الخدمة التي تدير الأجهزة باستخدام بروتوكول إدارة الأجهزة.
خادم ACME: الخادم الذي يصدر شهادات عملاء للأجهزة.
الجهات المعتمدة: الأطراف التي تستهلك شهادة الهوية. وتشمل خوادم الويب وخوادم VPN ومستلمي رسائل البريد الإلكتروني الموقعة، وما إلى ذلك. تعمل خدمة إدارة الأجهزة أيضًا كجهة معتمدة.
نماذج النشر
يصف هذا المستند ثلاثة نماذج نشر ذات مرونة متزايدة، بالإضافة إلى الطلب المتزايد على متطلبات البنية التحتية والتكاملات:
تأمين قناة إدارة الأجهزة: يقوي هذا النموذج الاتصال بين الجهاز وخدمة إدارة الأجهزة. وهذا يضمن أن خدمة إدارة الأجهزة تعرف الجهاز الذي تديره، ويوفر دليلًا قويًا على أن الجهاز يتوافق مع سياسات المؤسسة.
التخويل المدفوع بواسطة خادم ACME: يمنح هذا جهة إصدار الشهادة التحكم في المصادقة والتخويل للجهاز. تقيِّم الجهات المعتمدة فقط ما إذا كانت الشهادة صالحة ومصدرة من جهة إصدار شهادات موثوقة أم لا.
التخويل التفاضلي: خادم ACME مسؤول عن المصادقة، وتقوم الجهات المعتمدة بإجراء التخويل استنادًا إلى المصادقة. يؤدي هذا إلى تمكين كل جهة معتمدة من اتخاذ قرار التخويل التفاضلي الخاص بها.
تأمين نموذج نشر قناة إدارة الجهاز
يتطلب بروتوكول إدارة الأجهزة أن يقوم الجهاز بمصادقة نفسه لدى خدمة إدارة الأجهزة باستخدام هوية عميل. يتم توفير هذه الهوية أثناء تسجيل الجهاز. في نموذج النشر هذا، يستخدم توفير هوية العميل مصادقة ACME. يوفر هذا لخدمة إدارة الأجهزة ضمانًا قويًا جدًا بأن كل اتصال داخلي قد بدأ من نفس جهاز Apple الشرعي المسجل. عندما لا يكون التسجيل تسجيلًا للمستخدم، فإن خدمة إدارة الأجهزة لديها أيضًا دليل قوي جدًا من الرقم التسلسلي و UDID للجهاز.
في نموذج النشر هذا، تُستخدم الهويات الصادرة فقط من قِبل الأجهزة المُدارة للمصادقة على خدمة إدارة الأجهزة. هذا يعني أن خدمة إدارة الأجهزة هي أيضًا الجهة المعتمدة وعادةً ما تكون المثيل الذي يصدر الشهادات.
لاستخدام نموذج النشر هذا، يتم توفير الهوية في وقت التسجيل من خلال توفير ملف تعريف التسجيل للجهاز يتضمن حمولة ACME (على الرغم من أنه من الممكن "ترقية" تسجيل موجود لم يستخدم مصادقة الجهاز المُدار في البداية). باستخدام المعلومات المقدمة، يتصل الجهاز بمكون ACME الخاص بخدمة إدارة الأجهزة لطلب شهادة. يمكنك استخدام قواعد مخصصة أيضًا، ولكن عادةً ما يتم إصدار شهادة عندما:
يكون الجهاز معروفًا مسبقًا، على سبيل المثال لأنه مسجل في Apple School Manager أو Apple Business Manager.
يكون الجهاز مرتبطًا بتسجيل تمت المصادقة عليه من قِبل مستخدم.
بعد تسجيل الجهاز، يمكن لخدمة إدارة الأجهزة أيضًا حجب التطبيقات والتكوينات والحسابات حتى يتوافق الجهاز مع المتطلبات التنظيمية باستخدام مصادقة معلومات الجهاز للاستعلام عن الخصائص الديناميكية المصادق عليها مثل إصدار نظام التشغيل وحالة خزنة الملفات.
يمكن استخدام نفس النهج لطلب مصادقة جديدة عند حدوث تغييرات ذات صلة.
يتضمن الإعداد الأكثر تعقيدًا لهذا السيناريو خادم ACME خارج خدمة إدارة الأجهزة. يتطلب هذا إما التكامل بين ACME وخدمة إدارة الأجهزة لاسترداد معلومات حول الجهاز وحالة مصادقة التسجيل، أو إصدار شهادات تتضمن معلومات ثابتة من التصديق لتمكين خدمة إدارة الأجهزة من تنفيذ تقييم الثقة.
نموذج نشر تخويل مدفوع بواسطة خادم ACME
في نموذج النشر هذا، يعتمد تخويل جهاز ما على ما إذا كانت الشهادة الصادرة موثوقة أم لا. خلال تدفق ACME، يقرر خادم ACME ما إذا كان سيصدر شهادة أم لا. إذا كانت القرار يتطلب أي معلومات أخرى غير تلك الموجودة في شهادة المصادقة، يجب على خادم ACME جمعها. يصدر خادم ACME شهادة فقط إذا نجح تقييم الثقة الخاص به، وتوافق الجهاز مع المعايير المحددة من قِبل المؤسسة.
على سبيل المثال، إذا كانت مؤسستك تتطلب تسجيل الأجهزة المخوَّلة في خدمة إدارة الأجهزة، فلا بد من وجود اتصال بين ACME وخدمة إدارة الأجهزة.
يعمل نموذج النشر هذا بشكل أفضل عندما تكون هناك العديد من الجهات المعتمدة التي تستخدم نفس شروط الترخيص. بعد أن يقوم خادم ACME بتقييم الثقة، لا يتعين على الجهات المعتمدة سوى إجراء تقييم شهادة قياسي وتقييم ثقة للتحقق من الوصول.
ملاحظة: اعتمادًا على متطلباتك الأمنية، قد ترغب في التفكير في كيفية تعامل النشر مع الأجهزة التي فقدت تخويلها، على سبيل المثال عن طريق ضبط مدة صلاحية الشهادة أو التحقق من الإلغاء الذي قام به الجهة المعتمدة.
نموذج نشر تخويل تفاضلي
في نموذج النشر هذا، يكون خادم ACME مسؤولًا فقط عن إصدار شهادة تقوم بمصادقة الجهاز. تحدد الجهات المعتمدة التصريح في كل مرة تقوم فيها بتقييم شهادة تعريف الجهاز وتطبيق قواعد التصريح الفردية الخاصة بها.
يجب أن يتضمن خادم ACME أي معلومات بلا حالة في الشهادة الصادرة التي يحتاج إليها الجهات المعتمدة لتحديد الجهاز وتخويله، على سبيل المثال، أي بيانات استلمها خادم ACME في شهادة المصادقة.
عند اتصال الجهاز، بالإضافة إلى التحقق من ثقة الشهادة الصادرة، يمكن للجهة المعتمدة أيضًا الاستعلام من خدمة إدارة الأجهزة عن أي خصائص ديناميكية. يسمح ذلك باتخاذ قرارات التخويل استنادًا إلى معلومات محدثة، ويمكن أن يدعم أيضًا أحداث إلغاء التخويل وإعادة التخويل. وبناءً على المتطلبات التنظيمية وحساسية الجهة المعتمدة، قد يتم أيضًا تخزين قرارات التخويل مؤقتًا لفترة زمنية محددة للتعامل مع أحداث الاتصال المتكررة وتسريع قرارات التخويل.