ios:n käyttöönoton tekninen opas ios 7.1 Toukokuu 2014
Sisältö Sivu 3 Sivu 4 Sivu 4 Sivu 6 Sivu 6 Sivu 7 Sivu 13 Sivu 13 Sivu 14 Sivu 15 Sivu 16 Sivu 16 Sivu 18 Sivu 20 Sivu 20 Sivu 21 Sivu 23 Sivu 23 Sivu 24 Sivu 24 Sivu 27 Sivu 29 Sivu 31 Sivu 33 Sivu 34 Sivu 35 Sivu 38 Sivu 40 Johdanto Luku 1: Integraatio Microsoft Exchange Standardipohjaiset palvelut Wi-Fi VPN Ohjelmakohtainen VPN Kertakirjautuminen Digitaaliset varmenteet Bonjour Luku 2: Turvallisuus Laitteen turvallisuus Salaus ja tietosuoja Verkkoturvallisuus Ohjelmien suojaus Internet-palvelut Luku 3: Määrittely ja hallinta Laitteen asetukset ja aktivointi Määrittelyprofiilit Mobiililaitteen hallinta (Mobile Device Management, MDM) Laitteiden valvonta Luku 4: Ohjelmien jakelu Yrityksen sisäiset ohjelmat Ohjelmien käyttöönotto Caching Server Liite A: Wi-Fi-infrastruktuuri Liite B: Rajoitukset Liite C: Sisäisten ohjelmien asentaminen langattomasti 2
Johdanto Tämä opas on tarkoitettu IT-ylläpitäjille, jotka haluavat tukea ios-laitteita omissa verkoissaan. Se tarjoaa tietoa iphonen, ipadin ja ipod touchin käyttöönotosta ja tuesta suuressa organisaatiossa, kuten suuryrityksessä tai oppilaitoksessa. Siinä kerrotaan, kuinka ios-laitteet tarjoavat kattavan suojauksen, integraation nykyiseen infrastruktuuriin ja tehokkaat käyttöönottotyökalut. ios:n tukemien keskeisten teknologioiden ymmärtäminen auttaa sinua soveltamaan käyttöönottostrategiaa, joka tarjoaa optimaalisen kokemuksen käyttäjille. Seuraavat luvut toimivat teknisenä materiaalina, jota voidaan käyttää otettaessa ios-laitteita käyttöön koko organisaatiossa: Integrointi. ios-laitteissa on sisäänrakennettu tuki monenlaisia verkkoinfrastruktuureja varten. Tässä osiossa saat tietää ios-tuetuista teknologioista ja Microsoft Exchangen, Wi-Fin, VPN:n ja muiden standardien palveluiden kanssa integroimisen parhaista käytännöistä. Turvallisuus. ios on suunniteltu yrityksen palveluiden turvallista käyttöä ja tärkeiden tietojen suojaamista ajatellen. ios tarjoaa vahvan salauksen tiedonsiirtoon, koetellut todentamismenetelmät yrityksen palveluiden käyttöön ja laitteistosalauksen kaikelle levossa olevalle datalle. Tästä luvusta lukemalla saat tietää lisää ios:n turvallisuuteen liittyvistä ominaisuuksista. Määrittely ja hallinta. ios tukee edistyksellisiä työkaluja ja teknologioita varmistaen, että ios-laitteiden käyttöönotto sujuu helposti, ne määritellään omien vaatimustesi mukaan ja että niiden hallinta sujuu helposti laajan mittakaavan ympäristöissä. Tässä luvussa kuvataan erilaisia käyttöönottoa varten saatavilla olevia työkaluja. Mukana on yleiskuva mobiililaitteiden hallinnasta (MDM). Ohjelmien jakelu. Ohjelmien ja sisällön käyttöönottoon koko organisaatiossa on olemassa lukuisia tapoja. ios Developer Enterprise Program -ohjelman ansiosta ohjelmia voidaan ottaa käyttöön organisaation sisäisiä käyttäjiä varten. Tämän luvun avulla saat perusteellisen näkemyksen näistä ohjelmista sekä yrityksen sisäiseen käyttöön tehdyistä ohjelmista. Seuraavissa liitteissä kerrotaan lisää teknisiä tietoja ja vaatimuksia: Wi-Fi-infrastruktuuri. Tietoja Wi-Fi-standardeista, joita ios tukee sekä näkökohtia laajamittaisen Wi-Fi-verkon suunnitteluun. Rajoitukset. Tietoja rajoituksista, joiden avulla ios-laitteet voidaan määritellä vastaamaan tietoturva-, pääsykoodi- ja muita vaatimuksia. Sisäisten ohjelmien asentaminen langattomasti. Tietoja ja vaatimuksia yrityksen sisäisten ohjelmien jakeluun liittyen omaa verkkopohjaista portaalia käytettäessä. Lisäresurssit Aiheeseen liittyvää hyödyllistä tietoa saat katsomalla seuraavilta verkkosivustoilta: www.apple.com/ipad/business/it www.apple.com/iphone/business/it www.apple.com/education/it 3
Luku 1: Integraatio ios-laitteissa on sisäänrakennettu tuki monenlaisia verkkoinfrastruktuureja varten. Niihin sisältyy seuraavien asioiden tuki: Suositut muiden valmistajien järjestelmät kuten Microsoft Exchange Integraatio standardipohjaisen sähköpostin, hakemiston, kalenterin ja muiden järjestelmien kanssa Standardit Wi-Fi-protokollat tiedonsiirtoon ja salaukseen VPN-verkot (Virtual private networks) mukaanlukien ohjelmakohtainen VPN Kertakirjautuminen sujuvaan todentamiseen verkossa oleviin ohjelmiin ja palveluihin Digitaaliset varmenteet käyttäjien todentamiseen ja viestinnän suojaamiseen Koska tämä tuki on vakiona ios:ssä, IT-osaston tarvitsee vain määritellä muutamia asetuksia voidakseen integroida ios-laitteet olemassa olevaan infrastruktuuriin. Lukemalla saat lisätietoja ios-tuetuista teknologioista ja integroinnin parhaista käytännöistä. Microsoft Exchange ios voi kommunikoida suoraan Microsoft Exchange Serverin kanssa Microsoft Exchange ActiveSyncin (EAS) kautta. Tämä mahdollistaa push-sähköpostin, -kalenterin, -yhteystietojen, -muistiinpanojen ja tehtävien käytön. Exchange ActiveSync tarjoaa käyttäjille myös pääsyn Global Address List -luetteloon (GAL) ja ylläpitäjille keinot pääsykoodisääntöjen pakottamiseen ja etätyhjennykseen. ios tukee sekä tavanomaista että varmenteisiin perustuvaa todentautumista Exchange ActiveSyncille. Jos yrityksessäsi on käytössä Exchange ActiveSync, sinulla on valmiina tarvittavat palvelut ios:n tueksi. Lisämäärittelyitä ei tarvita. Vaatimukset Laitteet, joissa on ios 7 tai uudempi, tukevat Microsoft Exchangen seuraavia versioita: Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (käyttäen EAS 2.5:ttä) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (käyttäen EAS 14.1:tä) Exchange Server 2013 (käyttäen EAS 14.1:tä) Office 365 (käyttäen EAS 14.1:tä) 4
Microsoft Direct Push Exchange Server siirtää sähköpostin, tehtävät, yhteystiedot ja kalenteritapahtumat ios-laitteisiin, jos mobiili- tai Wi-Fi-datayhteys on käytettävissä. ipod touchissa ja joissakin ipad-malleissa ei ole mobiiliyhteyttä, joten ne vastaanottavat pushilmoituksia vain ollessaan yhteydessä Wi-Fi-verkkoon. Microsoft Exchange Autodiscovery ios tukee Microsoft Exchange Server 2007:n ja Microsoft Exchange Server 2010:n Autodiscover-palvelua. Kun määrittelet laitteen käsin, Autodiscover käyttää sähköpostiosoitettasi ja salasanaasi määritelläkseen oikeat Exchange Server -tiedot. Lisätietoja Autodiscover-palvelun käyttöönotosta saat tutustumalla Autodiscoverpalveluun. Microsoft Exchange Global Address List -luettelo ios-laitteet hakevat yhteystiedot yrityksesi Exchange Server -yrityshakemistosta. Voit käyttää hakemistoa tehdessäsi hakuja Yhteystiedoissa. Sitä käytetään automaattisesti sähköpostiosoitteiden täydentämiseen, kun kirjoitat niitä. ios 6 tai uudempi tukee GAL-kuvia (edellyttää Exchange Server 2010 SP 1:tä tai uudempaa). Ei-tuetut Exchange ActiveSync -ominaisuudet Seuraavia Exchangen ominaisuuksia ei tueta: Sähköpostiviesteissä olevien, SharePoint-palvelimille tallennettuihin dokumentteihin vievien linkkien avaaminen Automaattisen poissaoloviestin asettaminen ios-versioiden tunnistaminen Exchangen kautta Kun ios-laite muodostaa yhteyden Exchange Serveriin, laite raportoi oman iosversionsa. Version numero lähetetään pyynnön otsikon Asiakasohjelma-kentässä ja se näyttää samanlaiselta kuin Apple-iPhone2C1/705.018. Erottimen (/) jäljessä oleva numero on ios build -numero, joka on yksilöllinen jokaisessa ios-päivityksessä. Voit katsoa version numeron laitteella siirtymällä kohtaan Asetukset > Yleiset > Tietoja. Näet version numeron ja build-numeron, kuten esimerkiksi 4.1 (8B117A). Suluissa oleva numero on build-numero, joka kertoo, mitä päivitystä laitteessa käytetään. Kun build-numero lähetetään Exchange Serveriin, se muunnetaan muodosta NANNNA (jossa N on numero- ja A aakkosmerkki ) Exchange-muotoon NNN.NNN. Numeroarvot pidetään, mutta kirjaimet muunnetaan omaa paikkaansa aakkosissa vastaavaan arvoon. Esimerkiksi F muunnetaan muotoon 06, koska se on aakkosten kuudes kirjain. Numeroita täydennetään tarvittaessa nollilla, jotta ne sopivat Exchange-muotoon. Tässä esimerkissä build-numero 7E18 muunnetaan muotoon 705.018. Ensimmäinen numero, 7, jää muotoon 7. Merkki E on aakkosten viides kirjain, joten se muunnetaan muotoon 05. Piste (.) sijoitetaan muunnettuun versioon muodon edellyttämällä tavalla. Seuraavaan numeroon,18, lisätään nolla ja se muunnetaan muotoon 018. Jos build-numero päättyy kirjaimeen (kuten esimerkiksi 5H11A), numero muunnetaan yllä kuvatun mukaisesti ja viimeisen merkin numeerinen arvo lisätään merkkijonoon 3 nollan erottamana. 5H11A muuntuu siis muotoon 508.01100001. Etätyhjennys Voit tyhjentää ios-laitteen sisällön etänä käyttämällä Exchangen tarjoamia ominaisuuksia. Tyhjentäminen poistaa laitteelta kaiken datan ja määrittelytiedot. Laite tyhjenee turvallisesti ja palautetaan alkuperäisiin tehdasasetuksiinsa. 5
Tyhjennys poistaa datan salausavaimen (salattu käyttäen 256-bittistä AES-salausta), joka tekee kaikesta datasta välittömästi ei-palautettavaa. Microsoft Exchange Server 2007:n tai uudemman avulla voit suorittaa etätyhjennyksen Exchange Management Consolen, Outlook Web Accessin tai Exchange ActiveSync Mobile Administration Web Tool -työkalun avulla. Microsoft Exchange Server 2003:n avulla voit käynnistää etätyhjennyksen käyttäen Exchange ActiveSync Mobile Administration Web Tool -työkalua. Vaihtoehtoisesti käyttäjät voivat tyhjentää oman laitteensa siirtymällä kohtaan Asetukset > Yleiset > Nollaa ja valitsemalla Poista kaikki sisältö ja asetukset. Laitteet voidaan myös määrittää niin, että ne tyhjennetään automaattisesti, kun virheellisen pääsykoodin syöttöyrityksiä on ollut tietty määrä. Standardipohjaiset palvelut ios-laitteissa on valmiina tuki IMAP-sähköpostiprotokollalle, LDAP-hakemistopalveluille, CalDAV-kalenteritiedoille ja CardDAV-yhteystietoprotokollille, joten ne voidaan integroida lähes mihin tahansa standardipohjaiseen ympäristöön. Ja jos verkkoympäristösi on määritelty vaatimaan käyttäjän todentamista ja SSL:ää, ios tarjoaa turvallisen lähestymistavan standardeihin perustuvien yrityksen sähköpostin, kalenterin, tehtävien ja yhteystietojen käyttöön. ios tukee SSL:n avulla 128-bittistä salausta ja X.509-juurivarmenteita, joita merkittävät varmentajat myöntävät. Tyypillisessä käyttöönotossa ios-laitteet muodostavat suoran pääsyn IMAP- ja SMTP-sähköpostipalvelimille sähköpostin langatonta lähettämistä ja vastaanottamista varten ja voivat myös synkronoida langattomasti muistiinpanoja IMAP-pohjaisten palvelimien kanssa. ios-laitteet voivat muodostaa yhteyden yrityksesi LDAPv3-yrityshakemistoihin tarjoten käyttäjille pääsyn yrityksen yhteystietoihin Mail-, Yhteystiedot- ja Viestit-ohjelmissa. CalDAV-palvelimen synkronoinnin ansiosta käyttäjät voivat luoda ja hyväksyä langattomasti kalenterikutsuja, vastaanottaa kalenteripäivityksiä ja synkronoida tehtäviä Muistutukset-ohjelman avulla. Lisäksi käyttäjät voivat CardDAV-tuen ansiosta ylläpitää yhteystietojoukkoa, joka on synkronoitu CardDAV-palvelimen kanssa käyttäen vcard-muotoa. Kaikki verkkopalvelimet voidaan sijoittaa DMZ-aliverkkoon, yrityksen palomuurin tai näiden molempien taakse. Wi-Fi ios-laitteilla voidaan muodostaa suoraan pakkauksesta otettuna suojattu yhteys langattomiin yritys- tai vierasverkkoihin, joten liittyminen käytettävissä oleviin langattomiin verkkoihin on nopeaa ja helppoa riippumatta siitä, ollaanko yrityksen alueella vai matkoilla. Wi-Fi-verkkoon liittyminen Käyttäjät voivat asettaa ios-laitteet liittymään saatavilla oleviin Wi-Fi-verkkoihin automaattisesti. Wi-Fi-verkkoihin, jotka edellyttävät kirjautumistietoja tai muita tietoja, voidaan päästä nopeasti Wi-Fi-asetuksista tai Mailin kaltaisista ohjelmista avaamatta erillistä selainistuntoa. Lisäksi vähävirtainen ja jatkuva Wi-Fi-yhteys mahdollistaa ohjelmille Wi-Fi-verkkojen käytön push-ilmoitusten lähettämisen. WPA2 Enterprise ios tukee standardeja langattomia verkkoprotokollia (mukaan lukien WPA2 Enterprise) varmistaen, että yritysten langattomiin verkkoihin voidaan päästä turvallisesti ios-laitteilta. WPA2 Enterprise käyttää 128-bittistä AES-salausta. 6
Se on koeteltu, lohkoperustainen salausmenetelmä, joka tarjoaa käyttäjille suurimman mahdollisen varmuuden siitä, että heidän tietonsa säilyvät turvassa. 802.1X-tuen ansiosta ios voidaan integroida moniin eri RADIUS-todentamisympäristöihin. ios:n tukemiin langattomiin 802.1X-todentamismenetelmiin sisältyvät EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 ja LEAP. Verkkovierailu Suurten yritysten Wi-Fi-verkkojen verkkovierailutilaa varten ios tukee 802.11k- ja 802.11r-standardeja. 802.11k:n avulla ios-laitteet voivat siirtyä tukiasemien välillä saumattomammin hyödyntämällä yhteyspisteiden raportteja. 802.11r taas yksinkertaistaa 802.1X-todentamista, kun laite siirtyy yhdestä yhteyspisteestä toiseen. Langattoman verkon, turvallisuuden, välipalvelimen ja todentamisen asetukset voidaan määritellä määrittelyprofiilien tai MDM:n avulla nopeaa käyttöönottoa varten. VPN ios:llä voidaan käyttää turvallisesti yksityisiä yritysverkkoja alan standardien mukaisten VPN-protokollien välityksellä. ios tukee suoraan seuraavia: Cisco IPSec, L2TP over IPSec ja PPTP. Jos organisaatiosi tukee jotakin näistä protokollista, lisämäärittelyjä tai muiden valmistajien ohjelmia ei tarvita ioslaitteiden liittämiseen omaan VPN-verkkoosi. Lisäksi ios tukee suosittujen VPN-tarjoajien SSL VPN:ää. Päästäkseen alkuun käyttäjien tarvitsee vain ladata jokin näiden yritysten kehittämistä VPNasiakasohjelmista App Storesta. SSL VPN voidaan määritellä käsin laitteesta tai määrittelyprofiilin tai MDM:n avulla, kuten muutkin ios:n tukemat VPN-protokollat. ios tukee standardeja tekniikoita, kuten IPv6- ja välipalvelintekniikoita sekä osittaista tunnelointia tarjoten monipuolisen VPN-kokemuksen yritysverkkoihin liityttäessä. Lisäksi ios toimii monenlaisten todentautumismenetelmien kanssa, esimerkkeinä salasana, kaksiosainen avain ja digitaaliset varmenteet. ios sisältää VPN On Demandin, joka käynnistää VPN-istunnon, kun on muodostettava yhteys määriteltyihin domaineihin. Näin se nopeuttaa yhteyttä ympäristöissä, joissa käytetään varmennepohjaista todentamista. ios 7:n avulla yksittäiset ohjelmat voidaan määrittää hyödyntämään VPN-yhteyttä, joka on riippumaton laitteen muista ohjelmista. Näin varmistetaan, että yritystiedot kulkevat aina VPN-yhteyden kautta, ja että muut tiedot (kuten työntekijän henkilökohtaiset ohjelmat App Storesta) eivät tee näin. Lisätietoja saat katsomalla tämän luvun myöhemmästä kohdasta Ohjelmakohtainen VPN. Tuetut protokollat ja todentamismenetelmät SSL VPN. Tukee käyttäjän todentamista salasanalla, kaksiosaisella avaimella ja digitaalisilla varmenteilla. Cisco IPSec. Tukee käyttäjän todentamista salasanalla, kaksiosaisella avaimella ja koneellisella todentamisella jaetun salaisuuden ja varmenteiden avulla. L2TP IPSec. Tukee käyttäjän todentamista MS-CHAP v2 -salasanalla, kaksiosaisella avaimella ja koneellisella tunnistamisella jaetun salaisuuden avulla. PPTP. Tukee käyttäjän todentamista MS-CHAP v2 -salasanalla ja kaksiosaisella avaimella. SSL VPN -asiakasohjelmat Useat SSL VPN -tarjoajat ovat luoneet ohjelmia avuksi ios-laitteiden määrittelyyn heidän omia ratkaisujaan käytettäessä. Kun haluat määritellä laitteen tiettyä 7
ratkaisua varten, asenna oheisohjelma. Vaihtoehtoisesti voit tarjota määrittelyprofiilin tarvittavilla asetuksilla. SSL VPN -ratkaisuihin sisältyvät: Juniper Junos Pulsen SSL VPN. ios tukee Juniper Networks SA Series SSL VPN Gatewayta, jossa käytetään versiota 6.4 tai uudempaa Juniper Networks IVE package 7.0:llä tai uudemmalla. Asenna määrittelyä varten App Storesta saatava Junos Pulse -ohjelma. Lisätietoja saat tutustumalla Juniper Networks -ohjelman tietoihin. F5:n SSL VPN. ios tukee seuraavia ratkaisuja: F5 BIG-IP Edge Gateway, Access Policy Manager ja FirePass SSL VPN. Asenna määrittelyä varten App Storesta saatava F5 BIG-IP Edge Client -ohjelma. Lisätietoja saat tutustumalla F5:n tekniseen esittelyyn: Secure iphone Access to Corporate Web Applications. Aruba Networksin SSL VPN. ios tukee Aruba Networksin Mobility Controlleria. Asenna määrittelyä varten App Storesta saatava Aruba Networks VIA -ohjelma. Yhteystietoja saat katsomalla Aruba Networksin verkkosivustolta. SonicWALLin SSL VPN. ios tukee SonicWALLin Aventall E-Class Secure Remote Access -sovelluksia, joissa on versio 10.5.4 tai uudempi, SonicWALL SRA -sovelluksia, joissa on versio 5.5 tai uudempi ja SonicWALLin Next-Generation Firewall -sovelluksia mukaan lukien TZ, NSA, E-Class NSA, jossa on käytössä SonicOS 5.8.1.0 -versio tai uudempi. Asenna määrittelyä varten App Storesta saatava SonicWALL Mobile Connect -ohjelma. Yhteystietoja saat katsomalla SonicWALLin verkkosivustolta. Check Point Mobilen SSL VPN. ios tukee Check Point Security Gatewayta, jossa on täysi Layer-3 VPN -tunneli. Asenna määrittelyä varten App Storesta saatava Check Point Mobile -ohjelma. OpenVPN:n SSL VPN. ios tukee seuraavia: OpenVPN Access Server, Private Tunnel ja OpenVPN Community. Asenna määrittelyä varten App Storesta saatava OpenVPN Connect -ohjelma. Palo Alto Networksin GlobalProtect SSL VPN. ios tukee Palo Alto Networksin GlobalProtect Gatewayta. Asenna määrittelyä varten App Storesta saatava GlobalProtect for ios -ohjelma. Ciscon AnyConnect SSL VPN. ios tukee Ciscon Adaptive Security Appliancea (ASA), jossa on käytössä ohjelmistoversio 8.0(3).1 tai uudempi. Asenna määrittelyä varten App Storesta saatava Cisco AnyConnect -ohjelma. VPN:n käyttöönotto-ohjeet Cisco IPSecin käyttöönotto-ohjeet Näiden ohjeiden avulla voit määritellä Ciscon VPN-palvelimesi ios-laitteiden käyttöä varten. ios tukee Cisco ASA 5500 Security Appliance -sovelluksia ja PIXpalomuureja, joihin on määritelty 7.2.x-ohjelmisto tai uudempi. Uusinta ohjelmistopäivitystä (8.0.x tai uudempi) suositellaan. ios tukee myös Cisco IOS VPN -reitittimiä, joissa on IOS-versio 12.4(15)T tai uudempi. VPN 3000 -sarjan keskittimet eivät tue ios:n VPN-ominaisuuksia. Välipalvelimen käyttöönotto Voit määritellä myös VPN-välipalvelimen kaikkia määrittelyitä varten. Kun haluat määritellä yhden välipalvelimen kaikkia yhteyksiä varten, käytä manuaalista asetusta ja tarjoa osoite, portti ja todentaminen tarvittaessa. Käytä automaattista asetusta tarjotaksesi laitteelle automaattisen välipalvelimen määritystiedoston käyttäen PAC:ta tai WPAD:tä. Määrittele PACS-tiedoston verkko-osoite PACSia varten. WPAD:tä varten ios kysyy DHCP:ltä ja DNS:ltä sopivat asetukset. 8
Todentamismenetelmät ios tukee seuraavia todentamismenetelmiä: Esijaetun avaimen IPSec-todentaminen käyttäjän todentamisen avulla xauthin kautta. Asiakasohjelma- ja palvelinvarmenteet IPSec-todentamista varten valinnaisella käyttäjän todentamisella xauthin kautta. Hybriditodentaminen, jossa palvelin tarjoaa varmenteen ja asiakasohjelma tarjoaa esijaetun avaimen IPSec-todentamista varten. Käyttäjän todentaminen vaaditaan xauthin kautta. Käyttäjän todentaminen tarjotaan xauthin kautta ja se sisältää seuraavat todentamismenetelmät: Käyttäjätunnus salasanalla RSA SecurID CRYPTOCard Todentamisryhmät Cisco Unity -protokolla käyttää ryhmäkäyttäjille todentamisryhmiä, jotka perustuvat yleiseen sarjaan todentamisparametrejä ja muita parametrejä. Sinun tulisi luoda todentamisryhmä ios-käyttäjille. Esijaettua avainta ja hybriditodentamista varten ryhmän nimen on oltava määritelty laitteeseen ryhmän jaetun salaisuuden (esijaettu avain) ollessa ryhmän salasana. Varmennepohjaista todentamista käytettäessä ei käytetä jaettua salaisuutta. Käyttäjän ryhmä määritellään varmenteen kenttien perusteella. Ciscon palvelimen asetuksia voidaan käyttää varmenteen kenttien asettamiseen käyttäjäryhmille. RSA-Sigin tulisi olla korkein prioriteetti ISAKMP-prioriteettiluettelossa. Varmenteet Varmista seuraavat asiat varmenteita käyttöön otettaessa ja asennettaessa: Palvelimen varmenteen tulee sisältää palvelimen DNS-nimi ja/tai IP-osoite aiheen vaihtoehtoisen nimen (SubjectAltName) kentässä. Laite käyttää tätä tietoa varmentamaan, että varmenne kuuluu palvelimeen. Joustavuutta voidaan lisätä määrittelemällä SubjectAltName käyttäen jokerimerkkejä segmenttikohtaiseen vastaavuuteen, kuten esimerkiksi vpn.*.mycompany.com. DNS-nimi voidaan laittaa yleiseen nimikenttään, jos SubjectAltName on määritelty. Palvelimen varmenteen allekirjoittaneen varmentajan (CA) varmenteen on oltava asennettu laitteelle. Jos se ei ole juurivarmenne, asenna loput luottamusketjusta siten, että varmenne on luotettu. Jos käytät asiakasvarmenteita, varmista, että asiakkaan varmenteen allekirjoittanut luotettu varmentajan (CA) varmenne on asennettu VPN-palvelimelle. Varmennepohjaista todentamista käytettäessä varmista, että palvelin on asetettu tunnistamaan käyttäjän ryhmä asiakasvarmenteen kenttien perusteella. Varmenteiden ja varmentajien on oltava kelvollisia (ei esimerkiksi vanhentuneita). Varmenneketjun lähettämistä palvelimella ei tueta ja se tulisi kytkeä pois päältä. 9
IPSec-asetukset Käytä seuraavia IPSec-asetuksia: Tila. Tunneli-tila IKE Exchange -tilat. Aggressiivinen tila esijaettu avain- ja hybriditodentamiselle tai päätila varmennepohjaiselle todentamiselle. Salausalgoritmit. 3DES, AES-128, AES-256. Todennusalgoritmit. HMAC-MD5, HMAC-SHA1. Diffie-Hellman-ryhmät. Ryhmä 2 vaaditaan esijaettua avainta ja hybriditodentamista varten. Käytä varmennepohjaista todentamista varten ryhmää 2 3DES:llä ja AES-128:lla. Käytä ryhmä 2:ta tai 5:ttä AES-256:lla. PFS (Perfect Forward Secrecy). Jos PFS:ää käytetään IKEn vaiheeseen 2, Diffie-Hellman-ryhmän on oltava sama kuin mitä käytettiin IKEn vaiheelle 1. Tilanmääritys. On oltava käytössä. DPD (Dead Peer Detection). Suositellaan. Standardi NAT Traversal. On tuettu ja voidaan ottaa käyttöön (IPSec over TCP ei ole tuettu). Kuormituksen tasapainotus. Tuettu ja voidaan ottaa käyttöön. Vaiheen 1 avaimen uudelleenluonti. Ei tueta tällä hetkellä. Suositus on, että avaimen uudelleenluontiajoiksi palvelimella asetetaan yksi tunti. ASA-osoitteen maski. Varmista, että kaikkien laitteiden osoitevarannon maskit ovat joko asettamatta tai ne on asetettu arvoon 255.255.255.255. Esimerkiksi: asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255. Jos käytät suositeltua osoitemaskia, jotkin VPN-määrittelyn olettamat reitit voivat jäädä huomioimatta. Tämän välttämiseksi varmista, että reititystaulukkosi sisältävät kaikki tarpeelliset reitit ja varmista ennen käyttöönottoa, että aliverkon osoitteet ovat käytettävissä. Muita tuettuja ominaisuuksia Ohjelmaversio. Asiakasohjelman versio lähetetään palvelimelle, minkä ansiosta palvelin voi hyväksyä tai hylätä yhteydet laitteen ohjelmistoversion perusteella. Banneri. Banneri (jos määritelty palvelimelle) näytetään laitteella ja käyttäjän täytyy hyväksyä se tai katkaista yhteys. Jaettu tunneli. Jaettu tunnelointi on tuettu. Jaettu DNS. Jaettu DNS on tuettu. Oletusdomain. Oletusdomain on tuettu. 10
VPN On Demand VPN On Demandin ansiosta ios voi muodostaa automaattisesti turvallisen yhteyden ilman käyttäjän toimenpiteitä. VPN-yhteys käynnistetään tarpeen mukaan määrittelyprofiilissa määriteltyjen sääntöjen pohjalta. ios 7:ssä VPN On Demand määritellään käyttäen OnDemandRules-avainta määrittelyprofiilin VPN-datassa. Sääntöjä sovelletaan kahdessa vaiheessa: Verkon tunnistusvaihe. Määrittelee VPN-vaatimukset, joita käytetään laitteen ensisijaisen verkkoyhteyden vaihtuessa. Yhteyden arviointivaihe. Määrittelee VPN-vaatimukset yhteyspyynnöille domainnimiin tarpeen mukaan. Sääntöjä voidaan käyttää esimerkiksi seuraaviin tilanteisiin: Tunnistamaan, kun ios-laite liitetään sisäiseen verkkoon ja VPN ei ole välttämätön. Tunnistamaan, kun käytetään tuntematonta Wi-Fi-verkkoa ja vaatimaan VPN:ää kaikkiin verkkoyhteyksiin. Vaatimaan VPN:ää, kun määritellyn domain-nimen DNS-pyyntö epäonnistuu. Verkon tunnistusvaihe VPN On Demand -sääntöjä arvioidaan laitteen ensisijaisen verkon käyttöliittymän muuttuessa, esimerkiksi ios-laitteen siirtyessä toiseen Wi-Fi-verkkoon tai vaihtaessa Wi-Fi-verkosta mobiiliverkkoon. Jos ensisijainen käyttöliittymä on virtuaalikäyttöliittymä (kuten VPN-käyttöliittymä), VPN On Demand -sääntöjä ei huomioida. Jokaisen sarjan (sanakirjan) kaikkien vastaavuussääntöjen tulee täyttyä, jotta niihin liittyvät toiminnot voidaan suorittaa. Jos jokin säännöistä ei täyty, arviointi siirtyy pakan seuraavaan sanakirjaan, kunnes OnDemandRules-pakka on käytetty loppuun. Viimeisen sanakirjan tulisi määritellä oletusarvoinen määrittely eli siinä ei tulisi olla vastaavuussääntöjä, vaan pelkkä toiminto. Se nappaa kaikki yhteydet, jotka eivät ole vastanneet edeltäneitä sääntöjä. Yhteyden arviointivaihe VPN voidaan käynnistää tarpeen mukaan yhteyspyynnöistä tiettyihin domaineihin, sen sijaan että VPN-yhteys katkaistaisiin tai kytkettäisiin yksipuolisesti verkon käyttöliittymän pohjalta. Vastaavuussäännöt tarpeen mukaan Määrittele yksi tai useampi seuraavista vastaavuussäännöistä: InterfaceTypeMatch. Valinnainen. Wi-Fi- tai mobiiliverkon merkkijonoarvo. Mikäli määritelty, tämä sääntö täytetään, kun ensisijaisen käyttöliittymän ohjelmisto on määriteltyä tyyppiä. SSIDMatch. Valinnainen. SSID:iden pakka, jonka on vastattava nykyistä verkkoa. Jos verkko ei ole Wi-Fi-verkko tai jos sen SSID ei näy luettelossa, vastaavuus ei toteudu. Jätä tämä avain ja sen pakka pois SSID:n huomiotta jättämiseksi. DNSDomainMatch. Valinnainen. Hakudomainien pakka merkkijonoina. Jos nykyisen ensisijaisen verkon määritelty DNS-hakudomain sisältyy pakkaan, tämä ominaisuus täyttyy. Jokerimerkki-etuliite (*) on tuettu; esim. *.example.com vastaisi esimerkkiä anything.example.com. 11
DNSServerAddressMatch. Valinnainen. DNS-palvelinosoitteiden pakka merkkijonoina. Jos kaikki tällä hetkellä ensisijaiselle käyttöliittymälle määritellyt DNS-palvelinosoitteet ovat pakassa, tämä ominaisuus täyttyy. Jokerimerkki (*) on tuettu; esim. 1.2.3.* vastaisi mitä tahansa DNS-palvelinta 1.2.3.-etuliitteellä. URLStringProbe. Valinnainen. Saavutettavuutta tiedusteleva palvelin. Uudelleenohjaus ei ole tuettu. Verkko-osoitteen tulisi viedä luotetulle HTTPSpalvelimelle. Laite lähettää GET-pyynnön varmentaakseen, että palvelin on saavutettavissa. Action Tämä avain määrittelee VPN:n toiminnan silloin, kun kaikki määritellyistä vastaavuussäännöistä arvioidaan tosiksi. Tämä avain vaaditaan. Action-avaimen arvot ovat: Connect. Käynnistää VPN-yhteyden rajoituksetta seuraavasta verkkoyhteyden muodostusyrityksestä. Disconnect. Purkaa VPN-yhteyden eikä käynnistä uusia verkkoyhteyksiä tarvittaessa. Ignore. Jättää kaikki olemassa olevat VPN-yhteydet päälle, mutta ei käynnistä uusia verkkoyhteyksiä tarvittaessa. Allow. ios-laitteille, joissa on ios 6 tai vanhempi. Katso tämän osion myöhempi kohta Huomioita taaksepäin yhteensopivuudesta. EvaluateConnection. Arvioi ActionParameters-avaimen jokaisella yhteysyrityksellä. Kun tätä käytetään, alla kuvattu ActionParameters-avain vaaditaan määrittelemään arviointisäännöt. ActionParameters Pakka sanakirjoja alla kuvatuilla avaimilla, arvioidaan niiden esiintymisjärjestyksessä. Vaaditaan, kun Action on EvaluateConnection. Domains. Vaaditaan. Sarja merkkijonoja, jotka määrittelevät domainit, joita tämä arviointi koskee. Jokerimerkki-etuliitteet ovat tuettuja, kuten *.example.com. DomainAction. Vaaditaan. Määrittelee VPN:n toiminnan Domains-avaimelle. DomainAction-avaimen arvot ovat: ConnectIfNeeded. Tuo esiin VPN:n, jos Domains-avaimen nimipalvelinkysely epäonnistuu esimerkiksi DNS-palvelimen ilmoittaessa, että se ei kykene kyselemään domain-nimeä tai jos DNS-vastaus ohjataan uudelleen tai yhteydenmuodostus epäonnistuu tai yhteys aikakatkaistaan. NeverConnect. Ei käynnistä VPN:ää Domains-avaimelle. Kun DomainAction on ConnectIfNeeded, voit määritellä myös seuraavat avaimet yhteyden arviointisanakirjassa: RequiredDNSServers. Valinnainen. DNS-palvelimien IP-osoitteiden pakka, jota käytetään Domains-avaimen ratkaisemiseen. Näiden palvelimien ei tarvitse olla osa laitteen nykyistä verkkomäärittelyä. Jos nämä DNS-palvelimet eivät ole saavutettavissa, VPN käynnistetään. Määrittele sisäinen DNS-palvelin tai luotettu ulkoinen DNS-palvelin. RequiredURLStringProbe. Valinnainen. HTTP tai HTTPS (suositeltava) URL tiedusteluun, GET-pyyntöä käyttäen. Jos nimipalvelinkysely tälle palvelimelle onnistuu, myös tiedustelun on onnistuttava. Jos tiedustelu epäonnistuu, VPN käynnistetään. 12
Huomioita taaksepäin yhteensopivuudesta Ennen ios 7:ää domainin käynnistyssäännöt määriteltiin domain-sarjoilla nimeltään OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry ja OnDemandMatchDomainNever. OnRetry- ja Never-tapauksia tuetaan yhä ios 7:ssä, mutta EvaluateConnection-toimintoa pidetään ensisijaisena niihin nähden. Kun haluat luoda sekä ios 7:ssä että aikaisemmissa versioissa toimivan profiilin, käytä uusia EvaluateConnection-avaimia OnDemandMatchDomain-sarjojen lisäksi. ios:n vanhemmat versiot, jotka eivät tunnista EvaluateConnectionia, käyttävät vanhoja sarjoja, kun taas ios 7 ja uudemmat versiot käyttävät EvaluateConnectionia. Allow-toiminnon määrittelevät vanhat määrittelyprofiilit toimivat ios 7:ssä, OnDemandMatchDomainsAlways-domainit tosin poikkeuksena tästä. Ohjelmakohtainen VPN ios 7 tuo mukanaan mahdollisuuden muodostaa VPN-yhteyksiä ohjelmakohtaisesti. Tämä lähestymistapa mahdollistaa entistä tarkemman hallinnan sen suhteen, mikä data kulkee VPN:n kautta ja mikä ei. Laitekohtaisen VPN:n kohdalla kaikki data kulkee alkuperästään riippumatta yksityisen verkon kautta. Koska organisaatioissa käytetään yhä enemmän työntekijöiden omia laitteita, ohjelmakohtainen VPN tarjoaa turvalliset verkkoyhteydet organisaation sisäisille ohjelmille, mutta säilyttää samalla työntekijän omalla laitteella suoritettujen toimintojen yksityisyyden. Ohjelmakohtainen VPN sallii jokaisen mobiililaitteiden hallinnalla (MDM) hallitun ohjelman kommunikoida yksityisen verkon kanssa turvallisen tunnelin kautta. Samalla se estää muita laitteella olevia, ei-hallittuja ohjelmia käyttämästä yksityistä verkkoa. Lisäksi hallittuihin ohjelmiin voidaan määritellä erilaiset VPN-yhteydet datan lisäsuojaksi. Esimerkiksi myyntitarjousohjelma voisi käyttää aivan eri datakeskusta kuin ostoreskontraohjelma samalla kun käyttäjän henkilökohtaiseen verkkoselaukseen käytetään julkista internetiä. Mahdollisuus erottaa liikenne ohjelmatasolla sallii henkilökohtaisten tietojen ja organisaatiolle kuuluvien tietojen erottamisen. Ohjelmakohtaisen VPN:n käyttö edellyttää, että ohjelmaa on hallittava MDM:n kautta ja sen on käytettävä standardeja ios-verkkoyhteysrajapintoja. Ohjelmakohtainen VPN on määritelty MDM-määrittelyllä, joka määrittää, minkä ohjelmien ja Safari-domainien sallitaan käyttää asetuksia. Lisätietoja MDM:stä saat katsomalla luvusta 3: Määrittely ja hallinta. Kertakirjautuminen (SSO) ios 7:n avulla ohjelmat voivat hyödyntää olemassa olevaa yrityksen sisäistä kertakirjautumisinfrastruktuuria Kerberoksen kautta. Kertakirjautuminen voi parantaa käyttäjäkokemusta, kun käyttäjää pyydetään syöttämään salasanansa vain kerran. Se parantaa myös päivittäisen ohjelmankäytön turvallisuutta varmistamalla, että salasanoja ei lähetetä koskaan langattomasti. ios 7 käyttämä Kerberos-todentamisjärjestelmä on standardi ja maailman yleisimmin käytetty kertakirjautumisjärjestelmä. Jos sinulla on Active Directory, edirectory tai OpenDirectory, todennäköisesti käytössä on jo Kerberos-järjestelmä, jota ios 7 voi hyödyntää. ios-laitteilla tulee olla mahdollisuus muodostaa yhteys Kerberos-palveluun verkkoyhteyden kautta käyttäjien todentamiseksi. 13
Tuetut ohjelmat ios tarjoaa joustavan tuen Kerberos-kertakirjautumiselle mihin tahansa (SSO) ohjelmaan, joka käyttää NSURLConnection- tai NSURLSession-luokkaa verkkoyhteyksien ja todentamisen hallintaan. Apple tarjoaa kaikille kehittäjille huippuluokkaiset sovelluskehykset tehdäkseen verkkoyhteyksistä saumattomasti ohjelmiensa kanssa integroituja. Apple tarjoaa myös Safarin esimerkkinä ohjelmasta, joka auttaa sinua pääsemään alkuun SSO-yhteensopivien verkkosivustojen kanssa natiivisti. SSO:n määrittely Kertakirjautumisen määrittely suoritetaan määrittelyprofiileilla, jotka voivat olla joko käsin asennettuja tai MDM:llä hallittuja. SSO-tilin data mahdollistaa joustavan määrityksen. SSO voi olla avoin kaikille ohjelmille tai ohjelman tunnisteen, palvelun verkko-osoitteen tai molempien rajoittama. Verkko-osoitteiden vastaavuutta haettaessa käytetään yksinkertaista vastaamismallia ja verkko-osoitteiden alussa tulee olla joko http:// tai https://. Vastaavuus koskee koko verkko-osoitetta, joten varmista, että ne ovat tarkalleen samat. Esimerkiksi URLPrefixMatches-arvo https://www.example.com/ ei ole sama kuin https://www.example.com:443/. Voit määritellä siten, että http:// tai https:// rajoittaa SSO:n käytön joko turvallisiin tai säännöllisiin HTTP-palveluihin. Esimerkiksi kohteen https:// URLPrefixMatches-arvon käyttö sallii SSO-tilin käytön vain turvallisten HTTPS-palveluiden kanssa. Jos verkko-osoitteen vastaavuusmalli ei pääty kauttaviivaan (/), kauttaviiva (/) lisätään siihen. AppIdentifierMatches-sarjan tulee sisältää merkkijonoja, jotka vastaavat ohjelmapaketin ID:itä. Näiden merkkijonojen tulee olla täysin vastaavia (esimerkiksi com.mycompany.myapp) tai ne voivat määritellä etuliitteen vastaavuuden paketin ID:ssä jokerimerkkiä (*) käyttämällä. Jokerimerkin tulee esiintyä pisteen (.) jälkeen ja vain merkkijonon lopussa (esimerkiksi com.mycompany.*). Kun jokerimerkki annetaan, pääsy tilille myönnetään mille tahansa ohjelmalle, jonka paketin ID alkaa etuliitteellä. Digitaaliset varmenteet Digitaalisten varmenteiden käyttö on tunnistamismenetelmä, joka takaa sujuvan todentamisen sekä tietojen eheyden ja salauksen. Digitaalinen varmenne koostuu julkisesta avaimesta, käyttäjän tiedoista ja varmenteen myöntäneestä varmentajasta. ios tukee digitaalisia varmenteita tarjoten organisaatioille turvallisen ja kätevän pääsyn yrityksen palveluihin. Varmenteita voidaan käyttää eri tavoin. Tietojen allekirjoittaminen digitaalisella varmenteella auttaa varmistamaan, että tietoja ei voi muuttaa. Varmenteilla voidaan myös taata tekijän tai allekirjoittajan identiteetti. Niillä voidaan myös salata määritysprofiileja ja verkkoviestintää luottamuksellisten tai henkilökohtaisten tietojen salauksen parantamiseksi. Esimerkiksi Safari-selain voi tarkistaa X.509-digitaalivarmenteen kelvollisuuden ja ottaa käyttöön suojatun istunnon 256-bittisellä AES-salauksella. Tällä varmennetaan, että sivuston identiteetti on hyväksytty ja että kommunikaatio verkkosivuston kanssa on suojattua. Näin autetaan estämään henkilökohtaisten tai luottamuksellisten tietojen sieppaaminen. 14
Tuetut varmenne- ja identiteettimuodot: ios tukee X.509-varmenteita RSA-avaimilla. Tiedostopäätteet.cer,.crt,.der,.p12 ja.pfx tunnistetaan. Varmenteiden käyttäminen ios:ssä Juurivarmenteet ios sisältää valmiiksi joukon esiasennettuja juurivarmenteita. Lisätietoja saat katsomalla tässä Applen tukiartikkelissa olevaa luetteloa. ios voi päivittää varmenteet langattomasti, mikäli jokin esiasennetuista juurivarmenteista vaarantuisi. Tämä voidaan poistaa käytöstä rajoituksella, joka estää langattomat varmennepäivitykset. Jos käytät juurivarmennetta, jota ei ole esiasennettu (kuten oman organisaatiosi luoma itse allekirjoitettu juurivarmenne) voit jakaa sen käyttäen jotakin alla luetelluista menetelmistä. Varmenteiden jakaminen ja asentaminen Varmenteiden jakaminen ios-laitteisiin on yksinkertaista. Kun varmenne vastaanotetaan, käyttäjä voi tarkistaa sen tiedot napauttamalla ja lisätä sitten varmenteen laitteeseen napauttamalla. Kun henkilövarmenne asennetaan, käyttäjiltä pyydetään sitä suojaava salasana. Jos varmenteen autenttisuutta ei voida varmistaa, se näkyy ei-luotettuna ja käyttäjä voi päättää, haluaako edelleenkin lisätä sen laitteeseensa. Varmenteiden asentaminen määrittelyprofiilien kautta Jos määrittelyprofiileja käytetään asetusten jakamiseen yrityspalveluille (kuten Exchange, VPN tai Wi-Fi), varmenteet voidaan lisätä profiiliin käyttöönoton helpottamiseksi. Tähän sisältyy mahdollisuus jakaa varmenteita MDM:n kautta. Varmenteiden jakaminen Mailin tai Safarin kautta Jos varmenne lähetetään sähköpostissa, se näkyy liitteenä. Safaria voidaan myös käyttää varmenteiden lataamiseen verkkosivulta. Voit ylläpitää varmennetta suojatulla verkkosivustolla ja tarjota käyttäjille verkko-osoitteen, josta he voivat ladata varmenteen laitteilleen. Varmenteen poistaminen ja peruminen Kun haluat poistaa asennetun varmenteen manuaalisesti, valitse Asetukset > Yleiset > Profiilit ja valitse poistettava varmenne. Jos käyttäjä poistaa varmenteen, jota tarvitaan tilin tai verkon käyttöön, laite ei enää kykene muodostamaan yhteyttä kyseisiin palveluihin. Mobiililaitteiden hallintapalvelin voi tarkistaa kaikki laitteella olevat varmenteet ja poistaa kaikki varmenteet, jotka se on asentanut. Lisäksi OCSP- (Online Certificate Status Protocol) ja CRL-protokollat (Certificate Revocation List) ovat tuettuja varmenteiden tilan tarkistamista varten. Kun OCSP- tai CRL-yhteensopivaa varmennetta käytetään, ios arvioi sen ajoittain varmistaakseen, että sitä ei ole peruttu. Bonjour Bonjour on Applen standardipohjainen ja helposti asennettava verkkoprotokolla, jolla laitteet löytävät palvelut verkosta. ios-laitteet käyttävät Bonjouria löytääkseen AirPrint-yhteensopivia tulostimia ja AirPlay-yhteensopivia laitteita, kuten Apple TV:n. Myös jotkin vertaisohjelmat edellyttävät Bonjouria. Sinun on oltava varma, että verkkoinfrastruktuuri ja Bonjour on määritelty toimimaan oikein yhdessä. ios 7.1 -laitteet etsivät AirPlay-lähteitä myös Bluetoothin välityksellä. Kun yhteensopiva Apple TV on löytynyt, AirPlay-data välitetään Wi-Fi-verkon yli. Apple TV 6.1 tai uudempi vaaditaan Bluetoothin käyttöön, ja ios-laitteen ja Apple TV:n on oltava samassa aliverkossa, jotta sisältöä voidaan toistaa tai peilata. Lisätietoja Bonjourista saat tutustumalla tähän Applen verkkosivuun. 15
Luku 2: Turvallisuus ios:ssä on monitasoinen suojaus. Sen ansiosta ios-laitteilla voidaan käyttää turvallisesti verkkopalveluita ja suojata tärkeitä tietoja. ios tarjoaa vahvan salauksen tiedonsiirtoon, koetellut todentamismenetelmät yrityksen palveluiden käyttöön ja laitteistosalauksen kaikelle levossa olevalle datalle. ios tarjoaa myös turvallisen suojauksen pääsykoodikäytännöillä, jotka voidaan toimittaa ja panna täytäntöön langattomasti. Jos laite päätyy vääriin käsiin, käyttäjät ja IT-ylläpitäjät voivat käynnistää etätyhjennyskomennon yksityisten tietojen poistamista varten. Kun pohditaan ios:n suojausta yrityskäytössä, on hyödyllistä ymmärtää seuraavat asiat: Laiterajoitukset. Tavat estää laitteen luvaton käyttö Salaus ja tietosuoja. Levossa olevan datan suojaus myös silloin, kun laite katoaa tai varastetaan Verkon suojaus. Verkkoprotokollat ja datan salaus lähetysvaiheessa Ohjelmien suojaus. Ohjelmien turvallisen toiminnan mahdollistaminen alustan luotettavuutta vaarantamatta Internet-palvelut. Applen verkkopohjainen infrastruktuuri viestintään, synkronointiin ja varmuuskopiointiin Nämä ominaisuudet toimivat yhteistyössä tarjoten suojatun mobiilialustan. Seuraavia pääsykoodikäytäntöjä tuetaan: Vaadi pääsykoodi laitteella Vaadi alfanumeerinen arvo Pääsykoodin vähimmäispituus Erikoismerkkien vähimmäismäärä Pääsykoodin enimmäisikä Aika ennen automaattilukitusta Pääsykoodihistoria Lisäaika ennen laitteen lukitusta Virheellisten yritysten enimmäismäärä Laitteen turvallisuus Vahvojen pääsykäytäntöjen laatiminen ios-laitteille on avainasemassa yritystietojen suojaamisessa. Laitteiden pääsykoodit ovat etulinjassa suojauduttaessa luvattomalta käytöltä ja ne voidaan määritellä ja panna täytäntöön langattomasti. ios-laitteissa käytetään kunkin käyttäjän luomaa yksilöllistä pääsykoodia vahvan salausavaimen luomiseen. Näin voidaan parantaa laitteella olevien arkaluontoisten ohjelmatietojen suojausta. Lisäksi ios tarjoaa turvalliset menetelmät laitteen määrittelyyn IT-ympäristössä, joissa erityisten asetusten, käytäntöjen ja rajoitusten on oltava kohdallaan. Nämä menetelmät tarjoavat joustavat vaihtoehdot suojauksen vakiotason luomiseen valtuutetuille käyttäjille. Pääsykoodikäytännöt Laitteen pääsykoodi estää valtuuttamattomia käyttäjiä käyttämästä dataa tai muulla tavoin saamasta pääsyä laitteelle. ios:n avulla voit valita laajasta pääsykoodikäytäntöjen joukosta omia suojaustarpeitasi vastaavat, mukaan lukien umpeutumisajat, pääsykoodin vahvuus ja se, miten usein pääsykoodi on vaihdettava. 16
Käytäntöjen valvonta Käytännöt voidaan jakaa osana määrittelyprofiilia käyttäjien asennettaviksi. Profiili voidaan myös määritellä siten, että profiilin poistaminen on mahdollista vain järjestelmänvalvojan salasanalla. Tai sitten profiili voidaan määritellä siten, että se on lukittu laitteeseen eikä sitä voida poistaa ilman, että poistetaan samalla laitteen koko sisältö. Lisäksi pääsykoodiasetukset voidaan määritellä etänä käyttäen mobiililaitteen hallinnan (MDM) ratkaisuja, jotka voivat siirtää käytännöt suoraan laitteeseen. Näin käytännöt voidaan panna täytäntöön ja päivittää ilman käyttäjän toimenpiteitä. Jos laite on määritelty käyttämään Microsoft Exchange -tiliä, Exchange ActiveSync -käytännöt siirretään laitteeseen langattomasti. Käytäntöjen saatavuus vaihtelee riippuen Exchange ActiveSyncin ja Exchange Serverin versiosta. Jos sekä Exchangeettä MDM-käytännöt ovat olemassa, käytetään tiukempaa käytäntöä. Turvallinen laitemäärittely Määrittelyprofiilit ovat XML-tiedostoja, jotka sisältävät suojauskäytäntöjä ja rajoituksia, VPN-määrittelytietoja, Wi-Fi-asetuksia, sähköposti- ja kalenteritilejä sekä todentamistietoja, jotka sallivat ios-laitteiden toimimisen yhdessä IT-järjestelmiesi kanssa. Mahdollisuus luoda pääsykoodikäytännöt yhdessä laiteasetusten kanssa määrittelyprofiilissa varmistaa, että organisaatiosi laitteet määritellään oikein ja IT-osaston asettamien suojausstandardien mukaisesti. Ja koska määrittelyprofiileja ei voida salata ja lukita, asetuksia ei voida poistaa, muuttaa tai jakaa muiden kanssa. Määrittelyprofiilit voidaan sekä allekirjoittaa että salata. Määrittelyprofiilin allekirjoittaminen varmistaa, että profiilin täytäntöön panemia asetuksia ei voida muuttaa millään tavalla. Määrittelyprofiilin salaaminen suojaa profiilin sisällön ja sallii asennuksen vain laitteella, jota varten se luotiin. Määrittelyprofiilit salataan käyttäen CMS.ää (Cryptographic Message Syntax, RFC 3852), joka tukee 3DES:ää ja AES 128:aa. Kun jaat salattua määrittelyprofiilia ensimmäisen kerran, voit asentaa sen USB:n kautta Apple Configuratorin avulla tai langattomasti käyttäen Over-the-Air Profile Delivery and Configuration -protokollaa tai MDM:ää. Peräkkäiset salatut määrittelyprofiilit voidaan toimittaa sähköpostin liitteenä, ylläpidettyinä verkkosivustolla, jolta ne ovat käyttäjien saatavilla tai siirtämällä laitteeseen MDM-ratkaisuja käyttäen. Lisätietoja saat tutustumalla ios Developer Library -sivustolla olevaan Over-the-Air Profile Delivery and Configuration -protokollaan. Laiterajoitukset Laiterajoitukset määrittävät, mitä ominaisuuksia käyttäjät voivat käyttää laitteella. Tyypillisesti näihin sisältyvät verkossa toimivat ohjelmat, kuten Safari, YouTube tai itunes Store, mutta rajoitteilla voidaan hallita myös laitteen toiminnallisuutta, kuten ohjelman asentamista tai kameran käyttöä. Rajoitusten avulla voit määrittää laitteen omien vaatimustesi mukaan ja samalla voit sallia käyttäjille laitteen hyödyntämisen tavoilla, jotka ovat yhteneväisiä organisaatiosi käytäntöjen kanssa. Rajoitukset voidaan määritellä manuaalisesti kullakin laitteella, panna täytäntöön määrittelyprofiilia käyttämällä tai luoda etänä MDM-ratkaisun avulla. Lisäksi kameran tai verkkoselailun rajoitukset voidaan pääsykoodikäytäntöjen tavoin panna langattomasti täytäntöön Microsoft Exchange Server 2007:n ja 2010:n kautta. Rajoituksia voidaan käyttää myös estämään sähköpostiviestien siirtelyä eri tilien välillä tai siihen, että tietyltä tililtä vastaanotettuja viestejä välitettäisiin eteenpäin. Liitteessä B on tietoja tuetuista rajoituksista. 17
Salaus ja tietosuoja ios-laitteisiin tallennettujen tietojen suojaaminen on tärkeää missä tahansa ympäristössä, jossa käsitellään luottamuksellisia tietoja. Lähetysvaiheessa tapahtuvan datan salauksen lisäksi ios-laitteissa on myös laitteistosalaus kaikelle siihen tallennetulle datalle sekä sähköpostin ja ohjelmien tietojen parannettu salaus. Salaus ios-laitteissa käytetään laitteistopohjaista salausta. Laitteistosalauksena käytetään 256-bittistä AES:ää kaikkien laitteen tietojen salaamiseen. Salaus on aina päällä eikä sitä voida poistaa käytöstä. Lisäksi itunesissa käyttäjän tietokoneelle varmuuskopioidut tiedot voidaan myös salata. Käyttäjä voi ottaa ominaisuuden käyttöön itse tai se voidaan laittaa hänelle käyttöön määrittelyprofiilien laiterajoitusasetuksissa. ios tukee S/MIMEä sähköpostissa, joten käyttäjät voivat katsella ja lähettää salattuja sähköpostiviestejä. ios 7:n ja ios 6:n kryptografiset moduulit on tarkistettu U.S. Federal Information Processing Standardin (FIPS) 140-2 tason 1 vastaavuuden osalta. Sillä tarkistetaan kryptografisten toimintojen luotettavuus Apple-ohjelmissa ja muiden valmistajien ios:n kryptografisia palveluita kunnolla hyödyntävissä ohjelmissa. Lisätietoja saat tutustumalla artikkeliin ios-tuotteiden tietoturva: Validoinnit ja ohjeita ja ios 7: Apple FIPS ios Cryptographic Modules v4.0. Tietojen suojaus Laitteelle tallennettujen sähköpostiviestien ja liitetiedostojen suojausta voidaan parantaa ios:n sisäisten tietojensuojausominaisuuksien ansiosta. Tietojen suojaus hyödyntää jokaisen käyttäjän yksilöllistä laitepääsykoodia ios-laitteiden laitteistosalauksen kanssa luodakseen vahvan salausavaimen. Tämä estää pääsyn dataan laitteen ollessa lukittuna. Näin varmistetaan, että tärkeät tiedot on suojattu myös laitteen vaarannuttua. Tietojen suojausominaisuus voidaan laittaa päälle luomalla vain laitteelle pääsykoodi. Tietojen suojauksen tehokkuus riippuu vahvasta pääsykoodista, joten on tärkeää vaatia käyttämään neljää lukua vahvempaa pääsykoodia pääsykoodikäytäntöjä laadittaessa. Käyttäjät voivat varmistaa, että tietojen suojaus on otettu käyttöön heidän laitteillaan katsomalla pääsykoodiasetusten näyttöä. Mobiililaitteiden hallintaratkaisut kykenevät myös kyselemään laitteelta tätä tietoa. Tietojensuojausrajapinnat ovat myös kehittäjien käytettävissä ja niitä voidaan käyttää datan suojaamiseen App Storen ohjelmissa tai räätälöidyissä yrityksen sisäisissä ohjelmissa. ios 7:stä lähtien ohjelmien tallentama data on oletusarvoisesti suojausluokkaa Suojattu ensimmäiseen todennukseen, joka on vastaava kuin koko levyn salaus pöytäkoneilla ja suojaa tietoja hyökkäyksiltä, joihin liittyy uudelleenkäynnistys. Huomaa: Jos laite on päivitetty ios 6:sta, olemassa olevaa dataa ei tallenneta uuteen luokkaan. Ohjelman poistamisen ja uudelleenasentamisen seurauksena ohjelma saa uuden suojausluokan. Touch ID Touch ID on iphone 5s:n sisäinen sormenjäljen tunnistusjärjestelmä, joka tekee erittäin turvallisen pääsyn laitteeseen nopeammaksi ja helpommaksi. Tämä edistyksellinen teknologia lukee sormenjälkiä mistä tahansa kulmasta ja oppii ajan myötä lisää käyttäjän sormenjäljestä. Tunnistimen avulla se laajentaa sormenjälkikarttaa, kun jokaisella käyttökerralla tunnistetaan lisää päällekkäisiä solmuja. 18
Touch ID tekee pidemmän ja monimutkaisemman pääsykoodin käytöstä entistä käytännöllisempää, koska käyttäjien ei tarvitse syöttää sitä niin usein. Touch ID ratkaisee myös pääsykoodipohjaisen lukituksen vaatiman vaivannäön, ei korvaamalla sitä, mutta ennemminkin tarjoamalla turvallisen pääsyn laitteeseen mielekkäillä aika- ja muilla rajoituksilla. Kun Touch ID on otettu käyttöön, iphone 5s lukittuu välittömästi, kun käynnistys/ nukkumispainiketta on painettu. Käytettäessä pelkkää pääsykoodiin perustuvaa suojausta monet käyttäjät asettavat lukituksen avaamisen lisäajan välttyäkseen pääsykoodin syöttämiseltä aina laitetta käyttäessään. Touch ID:n ansiosta iphone 5s lukittuu aina nukkumaan mennessään ja vaatii sormenjäljen (tai vaihtoehtoisesti pääsykoodin) aina herätettäessä. Touch ID toimii yhdessä turvallisen alueen kanssa se on Applen A7-siruun tehty apuprosessori. Turvallisessa alueessa on oma suojattu ja salattu muistitilansa ja se kommunikoi suojatusti Touch ID -tunnistimen kanssa. Kun iphone 5s lukittuu, Complete-tietojensuojausluokan avaimet suojataan avaimella, jota pidetään turvallisen alueen salatussa muistissa. Avainta säilytetään enintään 48 tuntia ja se hylätään, mikäli iphone 5s käynnistetään uudelleen tai tunnistamatonta sormenjälkeä käytetään viisi kertaa. Jos sormenjälki tunnistetaan, turvallinen alue tarjoaa avaimen tietojen suojausavaimen paketoinnin poistoa varten ja laitteen lukitus avataan. Etätyhjennys ios tukee etätyhjennystä. Jos laite katoaa tai varastetaan, ylläpitäjä tai laitteen omistaja voi antaa etätyhjennykselle komennon tyhjentää laitteesta kaikki tiedot ja poistaa sen käytöstä. Jos laitteeseen on määritetty Exchange-tili, ylläpitäjä voi antaa etätyhjennyskomennon käyttäen Exchange Management Consolea (Exchange Server 2007) tai Exchange ActiveSync Mobile Administration Web Tool -työkalua (Exchange Server 2003 tai 2007). Myös Exchange Server 2007:n käyttäjät voivat käynnistää etätyhjennyskomentoja suoraan käyttäen Outlook Web Accessia. Etätyhjennyskomennot voidaan myös käynnistää MDM-ratkaisuilla tai käyttäen icloudin Etsi iphoneni -ominaisuutta vaikka Exchange-yrityspalvelut eivät olisi käytössäkään. Paikallinen tyhjennys Laitteet voidaan myös määrittää käynnistämään paikallinen tyhjennys automaattisesti muutaman epäonnistuneen pääsykoodin syöttöyrityksen jälkeen. Tämä suojaa brute-force-hyökkäyksillä tehtäviä käyttöyrityksiä vastaan. Kun pääsykoodi on luotu, käyttäjillä on mahdollisuus ottaa paikallinen tyhjennys käyttöön suoraan asetuksissa. Oletusarvoisesti ios tyhjentää laitteen automaattisesti 10 epäonnistuneen pääsykoodin syöttöyrityksen jälkeen. Pääsykoodikäytäntöjen tavoin virheellisten yritysten enimmäismäärä voidaan määritellä määrittelyprofiililla, asettaa MDM-palvelimen avulla tai täytäntöön- panna langattomasti Microsoft Exchange ActiveSync -käytännöillä. Etsi iphoneni ja Aktivointilukitus Jos laite katoaa tai varastetaan, on tärkeää tyhjentää se ja poistaa se käytöstä. Laitetta ei voida aktivoida uudelleen syöttämättä omistajan Apple ID -tunnistetietoja Etsi iphoneni -ominaisuuden ollessa päällä ios 7:ssä. Organisaation omistamia laitteita kannattaa joko valvoa tai ylläpitää käyttäjiä varten käytäntöä, jossa Etsi iphoneni -ominaisuus poistetaan käytöstä, jotta se ei estä organisaatiota määrittämästä laitetta toisen henkilön käyttöön. ios 7.1:ssä tai uudemmassa aktivointilukituksen voi ottaa käyttöön yhteensopivalla mobiililaitteen hallintaratkaisulla, kun käyttäjä laittaa Etsi iphoneni -ominaisuuden päälle. Mobiililaitteen hallintaratkaisu voi tallentaa ohituskoodin, kun aktivointilukitus otetaan käyttöön. Koodia voi myöhemmin käyttää aktivointilukituksen 19
Verkon suojaus Sisäänrakennettu Cisco IPSec, L2TP, PPTP VPN SSL VPN App Store -ohjelmien kautta SSL/TLS X.509-varmenteilla WPA/WPA2 Enterprise 802.1X:llä Varmennepohjainen todentaminen RSA SecurID, CRYPTOCard VPN-protokollat Cisco IPSec L2TP/IPSec PPTP SSL VPN Todentamismenetelmät Salasana (MSCHAPv2) RSA SecurID CRYPTOCard X.509-digitaalivarmenteet Jaettu salaisuus 802.1X-todennusprotokollat EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Tuetut varmennemuodot ios tukee X.509-varmenteita RSA-avaimilla. Tiedostopäätteet.cer,.crt, ja.der tunnistetaan. poistamiseen automaattisesti, kun laite tyhjennetään ja annetaan uudelle käyttäjälle. Lue lisätietoja mobiililaitteen hallintaratkaisusi dokumentaatiosta. Kun haluat lisätietoa Etsi iphoneni -ominaisuudesta ja Aktivointilukituksesta, katso icloud: Etsi iphoneni -ominaisuuden aktivointilukitus ios 7:ssä ja ios 7: Mobiililaitteen hallinta ja Etsi iphoneni -aktivointilukitus. Verkkoturvallisuus Mobiilikäyttäjien on voitava käyttää yrityksen verkkoja kaikkialta maailmasta. Samalla on tärkeä varmistaa, että käyttäjät ovat luvallisia ja että heidän tietonsa suojataan siirron aikana. ios tarjoaa koetellut teknologiat näiden turvallisuustavoitteiden saavuttamiseen sekä Wi-Fi- että mobiiliverkkoyhteyksiä varten. Lisäksi olemassa oleva infrastruktuuri, jokainen FaceTime-istunto ja imessagekeskustelu salataan päästä päähän. ios luo yksilöivän tunnuksen jokaiselle käyttäjälle. Tällä varmistetaan, että yhteydet salataan, reititetään ja yhdistetään oikein. VPN Monissa yritysympäristöissä on jonkinlainen VPN-verkko. Nämä suojatut verkkopalvelut ovat jo käyttöönotettuja ja vaativat tyypillisesti vähimmäiskäyttöönoton ja -määrittelyn toimiakseen ios:n kanssa. ios on integroitavissa suoraan pakkauksesta monenlaisiin yleisesti käytettyihin VPN-teknologioihin. Katso yksityiskohtia luvusta 1 VPN-verkot. SSL/TLS ios tukee SSL-versiota 3 sekä TLS-versiota (Transport Layer Security) 1.0, 1.1 ja 1.2. Safari, Kalenteri, Mail ja muut internet-ohjelmat käynnistävät nämä mekanismit automaattisesti muodostaen salatun viestintäkanavan ios:n ja yrityspalveluiden välille. WPA/WPA2 ios tukee WPA2 Enterpriseä taatakseen todennetun yhteyden yrityksen langattomiin verkkoihin. WPA2 Enterprise käyttää 128-bittistä AES-salausta, joten käyttäjä voi olla varma, että tietojen lähettäminen ja vastaanottaminen Wi-Fi-verkkoyhteyden välityksellä on turvallista. 802.1X:n tuen ansiosta iphone ja ipad voidaan integroida moniin eri RADIUS-todentamisympäristöihin. Ohjelmien suojaus Turvallisuus on ollut keskeisessä osassa ios:n suunnittelussa. Se sisältää sandboxing-menetelmällä suojatun lähestymistavan ohjelman ajonaikaiseen suojaukseen ja ohjelman allekirjoittamiseen sen varmistamiseksi, että ohjelmiin ei voida koskea. ios:ssä on myös sovelluskehys, joka helpottaa ohjelman ja verkkopalvelun tunnistetietojen turvallista tallentamista salatussa tallennuspaikassa, jota kutsutaan avainnipuksi. Kehittäjille se tarjoaa yleisen Cryptoarkkitehtuurin, jota voidaan käyttää ohjelman tietojen tallennuksen salaamiseen. Ajonaikainen suojaus Laitteessa olevat ohjelmat on suojattu sandboxing-menetelmällä. Näin rajoitetaan pääsyä muiden ohjelmien tallentamiin tietoihin. Lisäksi järjestelmätiedostot, resurssit ja ydin on erotettu käyttäjän ohjelmatilasta. Jos ohjelman tarvitsee käyttää toisen ohjelman tietoja, se voi tehdä niin vain käyttämällä ios:n tarjoamia rajapintoja ja palveluita. Myös koodin luominen on estetty. 20