lundi, 20 juin 2022

Apple propose aux développeurs deux outils de sécurité d’entreprise utiles

Crédit : Dreamstime

Deux sessions auxquelles j’ai assisté lors de la conférence mondiale des développeurs la semaine dernière (WWDC)— les sessions Managed Gadget Attestation et Secure Endpoint– soulignent l’engagement du fournisseur à fournir des capacités accrues pour les outils de sécurité.

Alors que les deux étaient naturellement davantage orientés vers les développeurs de services de gestion des appareils et de sécurité que vers les utilisateurs finaux ou les administrateurs informatiques, quelques-unes des fonctionnalités supplémentaires que les développeurs pourront intégrer aux outils d’entreprise sont notables.

Managed Gadget Attestation

Commençons par Managed Device Attestation, une nouvelle capacité qui aide à garantir que les serveurs et les services (sur site ou dans le cloud) ne réagissent qu’aux demandes légitimes d’accès aux ressources.

L’utilisation des services cloud et le déploiement des téléphones mobiles ont tous deux augmenté en tandem (et énormément ) au cours des 10 dernières années, ce qui a considérablement modifié le stade de la sécurité des entreprises. Il y a environ un an, disposer d’une sécurité renforcée à la frontière du réseau associée à un VPN et à des outils d’accès à distance sécurisés similaires était le principal moyen de sécuriser un réseau – et toutes les informations de l’entreprise.

La sécurité aujourd’hui, cependant, est un beaucoup plus complexe. De nombreuses ressources vivent totalement en dehors du réseau de l’entreprise, ce qui suggère que l’examen de la confiance doit être effectué dans une grande variété de services régionaux, distants et cloud. Cela inclut généralement plusieurs fournisseurs et chacun doit pouvoir développer que les utilisateurs et les gadgets qui y sont liés sont légitimes ; cela va bien au-delà de l’authentification et de l’autorisation simples.

Aujourd’hui, les services comptent sur l’identité de l’utilisateur, l’identité de l’appareil, la zone, la connexion, la date et l’heure et l’état de gestion de l’appareil pour déterminer si les demandes d’accès sont valides. Les fournisseurs peuvent utiliser tout ou partie de ces exigences, et la majorité d’entre eux, consistant en des services MDM, peuvent utiliser ces critères lorsqu’ils accordent ou refusent l’accès.

Selon la sensibilité des informations, l’authentification de base de l’utilisateur peut être suffisant pour une posture de sécurité donnée ou il peut être judicieux de s’appuyer sur toutes ces exigences avant de donner l’accès, en particulier pour les systèmes délicats ou administratifs.

L’identité de l’appareil est l’un des critères les plus puissants. Il garantit que tout appareil accédant aux systèmes (y compris les services MDM) et aux ressources d’une organisation est à la fois reconnu et fiable.

Aujourd’hui, l’identité du gadget Apple comprend les détails suivants : l’identifiant distinct de l’appareil dans le protocole MDM d’Apple, les informations renvoyées par la requête d’informations sur l’appareil MDM (qui comprend des éléments tels que le numéro de série, le numéro IMEI, etc.) , et les certificats de sécurité qui ont été effectivement fournis au gadget.

Dans iOS/iPadOS/tvOS 16, Apple intègre des fonctionnalités supplémentaires pour développer l’identité du gadget : l’attestation de périphérique. C’est essentiellement un moyen de développer la crédibilité d’un appareil en utilisant des détails compris à son sujet qui peuvent être validés par Apple à l’aide des serveurs d’attestation de l’entreprise. Les informations qu’Apple utilise pour ce faire incluent des détails sur l’enclave sécurisée sur le gadget, la production d’enregistrements et le catalogue du système d’exploitation.

L’attestation examine l’appareil lui-même, et non le système d’exploitation ou les applications installées dessus. . Cela est nécessaire car cela suggère qu’un gadget peut être compromis, mais Apple attesterait toujours qu’il s’agit du gadget qu’il déclare être. Tant que Secure Enclave n’est pas endommagé, l’attestation se poursuivra. (Les services MDM, cependant, peuvent valider l’intégrité du système d’exploitation.)

L’attestation peut être utilisée de deux manières. La toute première consiste à vérifier l’identité d’un gadget afin qu’un service MDM sache que l’appareil est ce qu’il déclare être.

Le 2ème est pour un accès sécurisé aux ressources dans un environnement. L’exécution de cette dernière utilisation de l’attestation nécessite le déploiement d’un serveur ou d’un service ACME (Automatic Certificate Management Environment) dans une organisation. Cela fournit la preuve la plus solide de l’identité de l’appareil et configure les certificats client de manière comparable à SCEP (protocole d’inscription de certificat facile).

Lorsque le serveur ACME reçoit une attestation, il émet un certificat permettant l’accès aux ressources. La preuve des certificats d’attestation garantit que l’appareil est du matériel Apple authentique et comprend l’identité du gadget, les propriétés résidentielles ou commerciales du gadget et les secrets d’identité liés au matériel (associés à l’enclave sécurisée de l’appareil).

Apple conserve N’oubliez pas qu’il existe un certain nombre de raisons pour lesquelles l’attestation peut cesser de fonctionner et que certaines défaillances, telles que des problèmes de réseau ou des problèmes avec les serveurs d’attestation de l’entreprise, ne suggèrent pas un problème malveillant.

Trois types d’échecs, néanmoins, indiquent un problème potentiel qui doit être résolu ou étudié. Il s’agit notamment de matériel d’appareil personnalisé, de logiciels non reconnus ou modifiés, ou de scénarios dans lesquels le gadget n’est pas un véritable gadget Apple.

Gadget Attestation utilise une confirmation d’identité de gadget inégalée. Même si les utilisateurs ne sont pas intéressés par l’établissement de services ACME dans leur environnement, l’activation de l’attestation pour une option MDM est une option simple et évidente. Cependant, la manière exacte dont cela fonctionnera dépendra de la façon dont de nombreux fournisseurs de MDM effectueront la performance. Il est également possible que certains fournisseurs intègrent des services ACME dans leurs offres MDM, ce qui permet de tirer pleinement parti de cette nouvelle fonctionnalité.

Protect Endpoint

La 2ème session WWDC comprenait Secure Endpoint. Il présentait de toutes nouvelles performances pour l’API Secure Endpoint d’Apple et était destiné aux concepteurs de différents types d’outils de sécurité Mac. Apple permet aux concepteurs de mettre en œuvre de nouveaux types d’événements, notamment l’authentification, la connexion/déconnexion et les événements XProtect/Gatekeeper. Les occasions d’authentification désormais accessibles à l’API Secure Endpoint incluent l’authentification par mot de passe, Touch ID, la libération de jetons cryptographiques et le déverrouillage du véhicule à l’aide d’une Apple Watch. Les concepteurs peuvent les utiliser pour essayer de trouver des modèles d’accès suspects aux efforts (réussis ou non) et les gérer de différentes manières, des simples alertes aux actions supplémentaires. Les concepteurs auront désormais la possibilité d’utiliser l’API Secure Endpoint pour examiner les connexions/déconnexions

  • de différents types, y compris à partir de la fenêtre de connexion (accès direct au Mac à l’aide du clavier), la connexion via le partage d’écran, la connexion SSH et la commande connexion en ligne. Encore une fois, la valeur ici est la capacité de rechercher et de signaler les activités ou efforts de connexion suspects. XProtect/Gatekeeper permettra aux développeurs d’utiliser l’API Secure Endpoint pour accéder aux détails lorsqu’un logiciel destructeur est repéré, en plus du moment où il a effectivement été corrigé, soit immédiatement, soit par le biais du personnel informatique. Certaines de ces fonctionnalités étaient auparavant facilement accessibles aux développeurs utilisant la piste d’audit OpenBSM, qui était obsolète à partir de macOS Big Sur.
  • Bien qu’elle soit toujours proposée, elle sera supprimée dans une future version de macOS. . Alors que les deux sessions étaient destinées aux développeurs plutôt qu’aux informaticiens de première ligne, elles mettent en évidence les nouvelles innovations qu’Apple fournit aux entreprises et aux fournisseurs de sécurité. Et ils soulignent la compréhension d’Apple de l’évolution du paysage de la sécurité des entreprises et son engagement à offrir aux entreprises les outils dont elles ont besoin pour renforcer la sécurité.

    Toute l’actualité en temps réel, est sur L’Entrepreneur

    LAISSER UN COMMENTAIRE

    S'il vous plaît entrez votre commentaire!
    S'il vous plaît entrez votre nom ici