iPad v podnikání

IT Centrum

Vícevrstevné zabezpečení

Platforma iOS obsahuje důkladné zabezpečení, ale zároveň dbá na uživatelský zážitek. iOS zařízení jsou od základu navržena tak, aby zabezpečení bylo co nejtransparentnější. Mnoho bezpečnostních funkcí je automaticky nastaveno hned po vybalení zařízení z krabice, takže uživatelé nepotřebují bezpečnostního experta, aby udrželi důležité informace v bezpečí.

Systémová architektura

Operační systém iOS je navržen s ohledem na bezpečnost od samého jádra systému. Ať už se jedná o sandboxing aplikací, podepisování aplikací nebo jejich kontrolu; s iOS máte Vaše data vždy v bezpečí.



Bezpečnost hned po spuštění

Podepisování kódu aplikací

Sandboxing aplikací
 

Každý krok, který se provádí po zapnutí zařízení je podepsán Applem, aby byla zajištěna integrita. Až poté, co předchozí krok proběhne bez problém, tak se přechází k dalšímu. Aby bylo jisté, že všechny aplikace pocházejí od známého a ověřeného zdroje, iOS vyžaduje, aby všechny důležité kódy byly podepsány. Integrované aplikace jako např. Mail jsou podepsané Applem. Aplikace třetích stran musí být podepsané certifikátem z iOS Developer portálu. Všechny aplikace třetích stran jsou “sandboxovány”. To znamená, že mají zamezený přístup k datům dalších aplikací a nemohou provádět na zařízení změny. Toto zabezpečení zajišťuje, že aplikace nemohou získávat nebo měnit citlivá data, o což se většinou snaží viry nebo malware.
Funkce „Execute Never“ Funkce „System Software Personalization“ Firemní distribuce aplikací
iOS používá ARM funkci Execute Never (XN), která označuje část paměti jako nespustitelnou. To znesnadňuje práci útočníkům, kteří by chtěli např. využít JavaScript JIT. Díky této funkci je systém důkladně hlídán. iOS využívá funkce “System Software Personalization” aby se zamezilo instalaci neautorizovaného softwaru. Navíc tato funkce zajišťuje kontrolu, že systémové aktualizace pocházejí opravdu od Applu. Aby bylo možné distribuovat Vámi vytvořené aplikace mezi zaměstnance je potřeba, aby se firma zaregistrovala do iOS Developer Enterprise programu. Díky tomu mohou být Vaše aplikace nainstalované pouze na zařízeních, která jsou oprávněná k instalaci.
DFU mód Funkce „Address Space Layout Randomization“ Mód obnovy
Pokud bootovací ROM iOS zařízení není schopná načíst a ověřit nejspodnější vrstvu firmwaru, tak přejde do tzv. Device Firmware Upgrade (DFU) módu. Obnovení zařízení pak zajistí, že na něm nejsou žádné závadné kódy. Funkce “Address Space Layout Randomization” (ASLR) v iOS zajišťuje, že všechny systémové aplikace a knihovny jsou uloženy na náhodných místech v paměti, aby se předešlo snadnému napadení. Pokud se během startování systému stane, že jeden z bezpečnostních procesů není schopný načíst nebo ověřit ten následující, tak zařízení přestane se startem systému a zobrazí se obrazovka s nápisem “Připojte k iTunes”. Pokud je zařízení v Módu obnovy, tak je potřeba ho přes iTunes obnovit.

Oprávnění aplikací
 

Proces kontroly aplikací v App Store

Profily
 

Oprávnění se používají pro povolení specifických operací, které by jinak vyžadovaly práci s administrátorskými právy. Toto řešení značně redukuje možnosti aplikací přistupovat k systémovým souborům. Všechny aplikace, které jsou dostupné v obchodě App Store byly kontrolovány, aby byla jistota, že splňují vývojářská pravidla, fungují jak mají a neobsahují chyby nebo nebezpečný kód. Profily musí být použity v případě, že chcete instalovat a používat Vámi vyvinuté aplikace. Tyto profily autorizují podnikové aplikace ke spuštění na iOS zařízení.

Šifrování a ochrana dat

Kromě šifrování přenášených dat, iPad provádí i hardwarové šifrování všech dat, která jsou na něm uložena, takže si můžete být jistí, že jsou Vaše data v bezpečí.



Hardwarové šifrování

Hesla
 
Ochrana dat
 
Každé iOS zařízení má v sobě AES 256-bitový kryptovací nástroj, které šifruje data na zařízení efektivně a bezpečně. Heslo na iOS zařízení nejen že dokáže zařízení zamknout, ale jeho zadání je třeba i v případě, že chcete měnit zásadní systémová nastavení. Toto zabezpečení znesnadňuje zneužití dat neoprávněnými osobami. Apple kromě hardwarového šifrování také používá funkci “Data Protection”, aby ještě více ochránil data uložená v zařízení.

Smazatelná paměť

„CommonCrypto“ API

Ochrana přístupových a přihlašovacích údajů

Aby se bezpečně smazaly uložené klíče, iOS podporuje funkci “Effaceable Storage”, která přímo adresuje a bezpečně smaže důležité klíče. Vývojáři aplikací mají přístup k šifrovaným API, které mohou využít k ještě větší ochraně dat. Data tedy lze zašifrovat metodami jako je AES. iOS kromě funkce “Data Protection” podporuje funkci “Keychain Data Protection”, díky které bezpečně ukládá hesla a ostatní přístupové a přihlašovací údaje.

Ochrana dat aplikací třetích stran

Šifrované iTunes zálohy

Funkce „Tangling“

Všechny aplikace třetích stran mají automaticky zapnutou ochranu dat. Pokud je tedy na zařízení nastavený bezpečnostní kód, jsou data šifrována. Pokud je iOS zařízení zálohováno přes iTunes, tak je možné tuto zálohu zašifrovat, aby se nebylo možné dostat k obsahu zálohy. Toto nastavení také může být nastaveno skrz MDM. Vytvořené heslo na iOS zařízení se zašifruje a změní v kryptografický klíč, který je navíc nakombinovaný s hardwarovým ID. To znamená, že data jsou opravdu zabezpečena.

Síťová bezpečnost

iPad poskytuje bezproblémový přístup k firemním informačním sítím a kontroluje, že uživatelé jsou oprávněni k těmto sítím přistupovat. Navíc při přenosu data chrání.



SSL/TLS
 

WPA2 Enterprise
Wi-Fi

VPN pro jednotlivé aplikace

Safari, Kalendář, Mail a ostatní internetové aplikace automaticky používají SSL/TSL, aby byla zajištěna šifrovaná komunikace mezi zařízením a bezdrátovými službami. iOS podporuje Wi-Fi standardy, a to včetně WPA2 Enterprise, který umožňuje přistupovat k firemním sítím. WPA2 Enterprise používá AES šifrování, aby data byla v bezpečí při bezdrátové komunikaci. Aplikace mohou být nastaveny tak, aby se po spuštění automaticky připojily k VPN. Díky této funkci budou firemní data přenášena přes VPN a uživatelská (osobní) data ne.
802.1X VPN Proxy Integrovaná VPN
Díky podpoře 802.1X mohou být iOS zařízení integrována do prostředí s RADIUS servery. iOS podporuje síťové proxy nastavení. Tím se dá zabezpečit, že přístup k veřejným nebo firemním doménám probíhá podle zadaných firemních pravidel. iOS obsahuje integrovaného VPN klienta, díky kterému se uživatelé mohou bezpečně připojit k Cisco IPSec, L2TP a PPTP VPN serverům ihned po vybalení zařízení z krabice.

S/MIME Email
 

Podpora OCSP
 
 

iMessage a FaceTime šifrování

iOS využívá certifikáty pro autorizaci a šifrování emailů a podporuje S/MIME, což umožňuje uživatelům odesílat a přijímat šifrované emailové zprávy. iOS podporuje “Online Certificate Status Protocol”, čímž kontroluje status certifikátů. Pokud je certifikát, který podepisuje aplikaci, neplatný, tak iOS zabrání spuštění této aplikace. Každý uživatel má své unikátní ID pro každý FaceTime hovor a konverzace přes iMessage je šifrována.

Bluetooth

RSA SecurID
 
SSL VPN
 
Podpora Bluetooth v iOS byla navržena tak, aby poskytovala perfektní funkcionalitu bez zbytečných možností přístupu k privátním datům. iOS podporuje RSA SecurID
a CRYPTOCard.
iOS umožňuje přístup k SSL VPN serverům skrz aplikace dostupné v obchodě App Store.

Zabezpečení zařízení

Nastavení přísných přístupů na a k iPadu je zásadní pro ochranu firemních dat. iPad přináší ucelený přístup jak k nastavení pravidel, tak i k jejich dodržování.



Konfigurační profily

Vzdálené vymazání
 

Mobile Device Management (MDM)

Konfigurační profily jsou XML soubory obsahující nastavení, které dovolují iOS zařízení pracovat s Vašimi podnikovými systémy. Dále pak nastavují účty, omezení a další. V případě, že je iOS zařízení ztraceno nebo ukradeno, může být MDM serverem poslán příkaz skrz Exchange ActiveSync nebo iCloud k vymazání všech dat v zařízení a navrácení do továrního nastavení. V MDM mohou IT oddělení jednoduše nastavit iOS zařízení do podnikového prostředí. Lze také bezdrátově měnit a aktualizovat nastavení, hlídat dodržování podnikových předpisů nebo zařízení vzdáleně zamknout a vymazat.

Jednotné přihlášení

Vypršení hesla
 
Omezení
 
Díky této funkci stačí zadat firemní přístupové údaje jednou a do povolených a prověřených aplikací už je nemusíte znovu zadávat. V iOS lze nastavit časovou platnost hesla a zabezpečit, aby uživatelé byli včas upozorněni na změnu hesla. Na iOS zařízení můžou být nastavena různá omezení. Týká se to např. emailu, VPN nebo se také dá využít konfiguračních profilů a zablokovat funkčnost fotoaparátu nebo pořizování screenshotů.

Exchange ActiveSync

Bezdrátové vynucení nastavení hesla (OTA)

Progresivní ochrana zařízení

Kromě možnosti nastavení emailu, kalendáře, kontaktů a úkolů, Exchange ActiveSync dává firmám možnost bezdrátového zasílání hesel, IT pravidel nebo zablokování a smazání zařízení. Požadavek na nastavení hesla může být do zařízení poslán bezdrátově díky MDM a Exchange ActiveSync a to včetně nároků na složitost hesla. Pokud uživatel opakovaně zadá špatné heslo, iOS začne protahovat intervaly v jakých je možné heslo znovu zkusit zadat. V případě, že uživatel překročí počet pokusů, tak se zařízení vymaže.

Digitální certifikáty

Smazaní paměti
 
Aktivační zámek
 
iOS podporuje digitální certifikáty, aby byl zajištěn bezpečný a plynulý přístup k firemním službám jako je Exchange ActiveSync, VPN a Wi-Fi. V případě, že uživatel překročí počet pokusů na zadání hesla, tak se zařízení vymaže a vrátí se do továrního nastavení. Pokud uživatel ztratí iOS zařízení a je zapnutá funkce Find my iPhone, tak Aktivační zámek neumožní tuto funkci vypnout, zařízení vymazat a znovu ho aktivovat bez zadání hesla k Apple ID.

Vynucení nastavení

MDM umožňuje bezdrátově vynutit nastavení na iOS zařízení.