IPhone e iPad per le imprese Scenari di distribuzione
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
iPhone e iPad per le imprese Scenari di distribuzione Settembre 2012 Scopri come iPhone e iPad si integrano perfettamente negli ambienti enterprise grazie a questi scenari di distribuzione. • Microsoft Exchange ActiveSync • Servizi basati su standard • Virtual Private Network • Wi-Fi • Certificati digitali • Panoramica sulla sicurezza • Gestione dei dispositivi mobili (MDM) • Apple Configurator
Distribuire iPhone e iPad
Exchange ActiveSync
iPhone e iPad comunicano direttamente con il tuo server Microsoft Exchange tramite
Microsoft Exchange ActiveSync (EAS), attivando la tecnologia push per e-mail, calendari,
contatti e task. Exchange ActiveSync fornisce inoltre agli utenti l’accesso alla
consultazione dell’elenco indirizzi globale (GAL) dell’azienda e permette agli
amministratori di imporre criteri per il codice di accesso e la cancellazione remota. iOS
supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync.
Se nella tua azienda è attivo Exchange ActiveSync, disponi già dei servizi necessari per
supportare iPhone e iPad e non occorre un’ulteriore configurazione. Se hai Exchange
Server 2003, 2007 o 2010, ma la tua azienda non conosce Exchange ActiveSync, leggi
i passaggi che seguono.
Configurazione di Exchange ActiveSync
Panoramica della configurazione di rete
• Verifica che la porta 443 del firewall sia aperta. Se l’azienda consente l’utilizzo di
Outlook Web Access, probabilmente la porta 443 è già aperta.
• Sul server front-end verifica che sia installato un certificato del server e attiva SSL per la
Criteri di protezione Exchange directory virtuale di Exchange ActiveSync in IIS.
ActiveSync supportati • Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che sia
• Cancellazione dati in remoto installato un certificato del server e aggiorna il DNS pubblico per risolvere le connessioni
• Password richiesta sul dispositivo
in arrivo.
• Lunghezza minima password
• Numero massimo di tentativi falliti per la • Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente
password (prima della cancellazione locale) al server Exchange ActiveSync per i client intranet e internet. Questo è necessario
• Numeri e lettere entrambi richiesti per consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il
• Tempo di inattività in minuti (da 1 a 60 server quando sono attivi entrambi i tipi di connessione.
minuti)
• Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione
Altri criteri di Exchange ActiveSync per l’accesso al client web di Exchange. Per maggiori informazioni consulta la
(solo per Exchange 2007 e 2010) documentazione Microsoft.
• Possibilità di accettare/vietare password
semplici
• Imposta su 30 minuti il timeout della sessione inattiva per tutti i firewall e i dispositivi di
• Scadenza della password rete. Per informazioni sugli intervalli di heartbeat e timeout, consulta la documentazione
• Cronologia delle password Microsoft Exchange all’indirizzo http://technet.microsoft.com/en-us/library/cc182270.
• Intervallo di aggiornamento dei criteri aspx (in inglese).
• Numero minimo di caratteri complessi
• Utilizza Exchange System Manager per configurare le funzioni, i criteri e le impostazioni
nella password
di sicurezza per i dispositivi mobili. Per Exchange Server 2007 e 2010, questa operazione
• Sincronizzazione manuale richiesta
in roaming
viene effettuata in Exchange Management Console.
• Uso della fotocamera consentito • Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration
• Navigazione web consentita Web Tool, necessario per avviare le operazioni di cancellazione remota. Per Exchange
Server 2007 e 2010, la cancellazione remota può essere avviata anche da Outlook Web
Access o Exchange Management Console.
3
Autenticazione di base (nome utente e password)
• Abilita Exchange ActiveSync per utenti/gruppi specifici usando il servizio Active
Directory. In Exchange Server 2003, 2007 e 2010 è abilitato per impostazione
predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto riguarda
Exchange Server 2007 e 2010, fai riferimento a “Configurazione destinatario” in
Exchange Management Console.
• Per impostazione predefinita l’autenticazione degli utenti di Exchange ActiveSync
è quella di base. Consigliamo di attivare SSL per l’autenticazione di base per garantire
che le credenziali siano criptate durante l’autenticazione.
Autenticazione basata su certificati
• Installa i servizi dei certificati aziendali su un server membro o un controller di dominio
nel tuo dominio (che sarà il tuo server Autorità di certificazione).
• Configura IIS sul tuo server front-end o Client Access di Exchange per accettare
l’autenticazione basata su certificati per la directory virtuale di Exchange ActiveSync.
• Per consentire o richiedere certificati per tutti gli utenti, disattiva “Autenticazione
Altri servizi di Exchange ActiveSync di base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”.
• Consultazione elenco globale degli indirizzi • Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la chiave
(GAL) pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e utilizza
• Accettazione e creazione di inviti
un profilo di configurazione per fornirla agli iPhone e iPad. L’autenticazione con
di calendario
certificati può essere configurata unicamente tramite un profilo di configurazione.
• Sincronizzazione task
• Contrassegni messaggi e-mail Per maggiori informazioni sui servizi di certificati, consulta le risorse Microsoft.
• Sincronizzazione contrassegni Rispondi
e Inoltra con Exchange Server 2010
• Ricerca mail su Exchange Server 2007
e 2010
• Supporto per più account Exchange
ActiveSync
• Autenticazione basata su certificati
• E-mail push alle cartelle selezionate
• Autodiscover
4
Scenario di distribuzione con Exchange ActiveSync
Questo esempio mostra come iPhone e iPad si collegano a una tipica distribuzione di Microsoft Exchange Server 2003, 2007 o 2010.
Chiave privata
(certificato)
Server di certificati
Firewall Firewall
Profilo di configurazione
Chiave pubblica
443 (certificato)
Active Directory
3
1 2
Server proxy Server Client Access o
Internet front-end di Exchange
4
6 5
Gateway di posta Server testa di ponte o Casella di posta Exchange
o server Trasporto Edge* Trasporto Hub o server back-end
*A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge potrebbe risiedere nella rete perimetrale (DMZ, Demilitarized Zone, zona demilitarizzata).
1 iPhone e iPad richiedono l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook
Web Access e per altri servizi web protetti, quindi in molte implementazioni è già aperta e configurata per consentire il traffico HTTPS criptato
con SSL.
2 Il server ISA fornisce l’accesso al server Client Access o front-end di Exchange. ISA è configurato come un proxy, oppure in molti casi
come un proxy inverso, per indirizzare il traffico al server Exchange.
3 Il server Exchange autentica l’utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l’autenticazione
con certificati).
4 Se l’utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la casella
di posta appropriata sul server back-end (tramite il catalogo globale di Active Directory).
5 Viene stabilita la connessione Exchange ActiveSync. Gli aggiornamenti e le modifiche vengono trasmessi over-the-air, e le modifiche apportate
sull’iPhone o iPad vengono riportate sul server Exchange.
6 Anche i messaggi e-mail inviati vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per indirizzare i
messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata via SMTP tramite un server testa di ponte (o Trasporto Hub)
a un gateway di posta (o server Trasporto Edge) esterno. A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge
esterno potrebbero risiedere nella rete perimetrale o all’esterno del firewall.
© 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati sono marchi
dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito
al suo utilizzo. Settembre 2012
Distribuire iPhone e iPad
Servizi basati su standard
Poiché supporta il protocollo di posta IMAP, i servizi di directory LDAP e i protocolli per
calendari e contatti CalDAV e CardDAV, iOS può integrarsi con praticamente tutti gli
ambienti di posta, calendario e contatti basati su standard. Se il tuo ambiente di rete è
configurato per richiedere autenticazione dell’utente e SSL, iPhone e iPad forniscono un
approccio molto sicuro per accedere a e-mail, calendario, task e contatti dell’azienda.
In una distribuzione tipica, iPhone e iPad stabiliscono un accesso diretto ai server di posta
IMAP e SMTP per ricevere e inviare e-mail over-the-air, e possono sincronizzare le note
in wireless con i server IMAP. I dispositivi iOS possono inoltre connettersi alle directory
aziendali LDAPv3 della tua impresa, così gli utenti possono accedere ai contatti aziendali
nelle app Mail, Contatti e Messaggi. La sincronizzazione con il tuo server CalDAV consente
a chi usa il dispositivo di creare e accettare inviti, di ricevere gli aggiornamenti e di
sincronizzare i task con l’app Promemoria, tutto in wireless. Inoltre il supporto CardDAV
permette agli utenti di sincronizzare un gruppo di contatti con il vostro server CardDAV
usando il formato vCard. Tutti i server di rete possono essere posizionati all’interno
di una sottorete DMZ, dietro un firewall aziendale o in entrambe queste situazioni
contemporaneamente. Con SSL, iOS supporta la crittografia a 128 bit e i certificati root
X.509 generati dalle principali autorità di certificazione.
Porte consigliate
• IMAP/SSL: 993
• SMTP/SSL: 587
Configurazione della rete
• LDAP/SSL: 636
• CalDAV/SSL: 8443, 443 L’amministratore IT o di rete dovrà completare questi passaggi fondamentali per abilitare
• CardDAV/SSL: 8843, 443 l’accesso diretto dagli iPhone e iPad ai servizi IMAP, LDAP, CalDAV e CardDAV.
Soluzioni e-mail con supporto IMAP • Apri le seguenti porte sul firewall: 993 per la posta IMAP, 587 per la posta SMTP,
o POP 636 per i servizi di directory LDAP, 8443 per i calendari CalDAV e 8843 per i contatti
iOS supporta i server di posta standard CardDAV. È consigliabile inoltre che la comunicazione tra il tuo server proxy e i server
di settore abilitati per IMAP4 e POP3 su back-end IMAP, LDAP, CalDAV e CardDAV sia impostata per utilizzare SSL e che i certificati
una serie di piattaforme server, tra cui digitali sui tuoi server di rete siano firmati da un’autorità di certificazione (CA) affidabile,
Windows, UNIX, Linux e Mac OS X. come per esempio VeriSign. Questo passaggio è molto importante perché garantisce
Standard CalDAV e CardDAV
che iPhone e iPad riconoscano il tuo server proxy come un’entità attendibile all’interno
iOS supporta i protocolli CalDAV per dell’infrastruttura aziendale.
i calendari e CardDAV per i contatti. • Per quanto riguarda le e-mail SMTP in uscita, la porta 587, 465 o 25 deve essere aperta
Entrambi i protocolli sono stati per consentire l’invio della posta dal dispositivo. iOS cerca automaticamente la porta
standardizzati da IETF. Ulteriori
587, quindi la 465 e infine la 25. La porta 587 è la più affidabile e sicura, perché richiede
informazioni sono disponibili sul sito del
l’autenticazione dell’utente. La porta 25 non richiede l’autenticazione e, per impostazione
consorzio CalConnect agli indirizzi http://
caldav.calconnect.org/ e http://carddav.
predefinita, viene bloccata da alcuni ISP per impedire lo spamming.
calconnect.org/.
6
Scenario di distribuzione
Questo esempio mostra come iPhone e iPad si collegano a una tipica distribuzione IMAP, LDAP, CalDAV e CardDAV.
Firewall Firewall
3
636
(LDAP) Server di directory LDAP
8443
(CalDAV) 4
Server CalDAV
1 2
Server proxy inverso
Internet 8843 5
(CardDAV) Server CardDAV
993 (IMAP)
587 (SMTP) 6
Server di posta
1 iPhone e iPad richiedono l’accesso ai servizi di rete tramite le porte designate.
2 A seconda del servizio gli utenti devono autenticarsi con il proxy inverso o direttamente con il server per ottenere l’accesso ai
dati aziendali. In tutti i casi le connessioni vengono inoltrate dal proxy inverso, che funge da gateway sicuro, generalmente dietro
il firewall internet aziendale. Dopo aver effettuato l’autenticazione, gli utenti possono accedere ai loro dati aziendali sui server
back-end.
3 iPhone e iPad offrono servizi di ricerca nelle directory LDAP, così gli utenti potranno cercare contatti e altre informazioni della
rubrica sul server LDAP.
4 Per quanto riguarda i calendari CalDAV, gli utenti possono accedere ai calendari e aggiornarli sul dispositivo.
5 I contatti CardDAV sono archiviati sul server ed è anche possibile accedervi localmente sugli iPhone e iPad. Le modifiche
apportate ai campi dei contatti CardDAV vengono sincronizzate sul server.
6 Per quanto riguarda i servizi di posta IMAP, i messaggi esistenti e nuovi possono essere letti sull’iPhone o iPad tramite la
connessione proxy con il server di posta. La posta in uscita viene inviata al server SMTP, e copie dei messaggi vengono salvate
nella cartella Posta inviata dell’utente.
© 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. UNIX è un marchio registrato di The Open Group. Tutti gli altri
prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple
non si assume alcuna responsabilità in merito al suo utilizzo. Settembre 2012
Distribuire iPhone e iPad Network Privati Virtuali (VPN) I protocolli VPN standard di settore consentono l’accesso sicuro alle reti aziendali dagli iPhone e iPad. Gli utenti possono connettersi facilmente ai sistemi aziendali con il client VPN integrato in iOS o tramite applicazioni di Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks e F5 Networks. iOS supporta fin da subito Cisco IPSec, L2TP su IPSec e PPTP. Se la tua organizzazione utilizza uno di questi protocolli, non servono altre configurazioni di rete o applicazioni aggiuntive di terze parti per collegare iPhone e iPad alla VPN. Inoltre iOS supporta VPN SSL, consentendo l’accesso ai server VPN SSL Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks e F5 Networks. Gli utenti devono semplicemente scaricare dall’App Store un’applicazione client VPN sviluppata da una di queste società. Come altri protocolli VPN supportati da iOS, anche VPN SSL può essere configurato manualmente sul telefono o tramite un profilo di configurazione. iOS supporta le tecnologie standard di settore come IPv6, i server proxy e lo split tunneling, assicurando la disponibilità di tutte le funzioni VPN durante il collegamento alle reti aziendali. Inoltre iOS è compatibile con un’ampia gamma di metodi di autenticazione, tra cui password, token a due fattori e certificati digitali. Per semplificare il collegamento negli ambienti dove si usa l’autenticazione basata su certificati, iOS include la funzione “VPN su richiesta”, che avvia dinamicamente una sessione VPN quando ci si collega a domini specificati. Protocolli e metodi di autenticazione supportati VPN SSL Supporta l’autenticazione utente tramite password, token a due fattori e certificati. Cisco IPSec Supporta l’autenticazione utente tramite password, token a due fattori e l’autenticazione automatica mediante segreto condiviso e certificati. L2TP su IPSec Supporta l’autenticazione utente tramite password MS-CHAP v2, token a due fattori e l’autenticazione automatica mediante segreto condiviso. PPTP Supporta l’autenticazione utente mediante password MS-CHAP v2 e token a due fattori.
8 VPN su richiesta Per l’autenticazione basata su certificati, iOS offre la funzione “VPN su richiesta”, che stabilisce automaticamente una connessione quando si accede a domini predefiniti fornendo un’immediata connettività VPN. Questa funzione di iOS non richiede impostazioni particolari sul server. La “VPN su richiesta” viene impostata tramite un profilo di configurazione oppure manualmente sul dispositivo. “VPN su richiesta” offre le seguenti opzioni. Sempre Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato. Mai Non viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato, ma se la funzione VPN è già attiva verrà utilizzata. Stabilisci se necessario Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato solo dopo che si è verificato un errore di ricerca DNS. Configurazione VPN • iOS si integra con la maggior parte delle reti VPN esistenti, quindi dovrebbe bastare una configurazione minima per abilitare l’accesso alla tua rete. Il modo migliore per prepararsi alla distribuzione consiste nel verificare che iOS supporti i protocolli VPN e i metodi di autenticazione in uso nella tua azienda. • È consigliabile rivedere il percorso di autenticazione al tuo server di autenticazione per verificare che gli standard supportati da iOS siano abilitati all’interno della tua implementazione. • Se prevedi di utilizzare l’autenticazione con certificati, assicurati che la tua infrastruttura per le chiavi pubbliche sia configurata in modo da supportare i certificati utente e dispositivo con il relativo processo di distribuzione delle chiavi. • Se desideri configurare il proxy con impostazioni specifiche per determinati URL, metti un file PAC su un server web al quale si possa accedere con le normali impostazioni VPN, assicurandoti che sia del tipo MIME application/x-ns-proxy-autoconfig. Configurazione proxy Per tutte le configurazioni è anche possibile specificare un proxy VPN. Per configurare un solo proxy per tutte le connessioni, utilizza l’impostazione manuale e, se necessario, fornisci i dati relativi a indirizzo, porta e autenticazione. Per fornire al dispositivo un file di configurazione proxy automatico mediante PAC e WPAD, puoi utilizzare l’impostazione automatica. Per PAC, indica l’URL del file corrispondente. Per WPAD, iPhone e iPad ottengono le necessarie impostazioni dai server DHCP e DNS.
9
Scenario di distribuzione
L’esempio illustra una distribuzione tipica con un server/concentratore VPN oltre a un server di autenticazione che controlla l’accesso
ai servizi di rete aziendali.
Firewall Firewall
3a 3b
Certificato o token Server di autenticazione VPN Servizio di directory
di autenticazione Generazione token o autenticazione certificato
2
1 4
Server/Concentratore VPN
Rete privata
5
Server proxy
Internet pubblico
1 iPhone e iPad richiedono l’accesso ai servizi di rete.
2 Il server/concentratore VPN riceve la richiesta e la passa in seguito al server di autenticazione.
3 In un ambiente a due fattori il server di autenticazione gestisce quindi una generazione di codici token sincronizzata con il key server. Se si
utilizza un metodo di autenticazione con certificati, prima dell’autenticazione è necessario distribuire un certificato di identità. Se si utilizza un
metodo con password, il processo di autenticazione procede con la convalida dell’utente.
4 Dopo che l’utente è stato autenticato, il server di autenticazione convalida i criteri degli utenti e dei gruppi.
5 Dopo che i criteri degli utenti e dei gruppi sono stati validati, il server VPN fornisce l’accesso criptato e via tunnel ai servizi di rete.
Se viene utilizzato un server proxy, iPhone e iPad accedono alle informazioni al di fuori del firewall collegandosi tramite il server proxy.
© 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Tutti gli
altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo;
Apple non si assume alcuna responsabilità in merito al suo utilizzo. Settembre 2012
Distribuire iPhone e iPad
Wi-Fi
iPhone e iPad possono collegarsi fin da subito in modo sicuro alle reti Wi-Fi aziendali
o guest, consentendo un accesso semplice e veloce alle reti wireless disponibili in sede
o in viaggio.
iOS supporta i protocolli di rete wireless standard di settore, tra cui WPA2 Enterprise,
grazie ai quali è possibile configurare rapidamente le reti aziendali e accedervi in modo
sicuro. WPA2 Enterprise utilizza la crittografia AES a 128 bit, un collaudato metodo di
codifica basato sull’uso di blocchi che fornisce un elevato livello di protezione dei dati.
Grazie al supporto di 802.1X, iOS si può integrare in un’ampia gamma di ambienti di
autenticazione RADIUS. I metodi di autenticazione wireless 802.1X supportati da iPhone
e iPad comprendono: EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 e LEAP.
Gli utenti possono impostare iPhone e iPad affinché si colleghino automaticamente alle
reti Wi-Fi disponibili. Nel caso siano richieste credenziali di accesso o altre informazioni,
è possibile collegarsi direttamente dalle impostazioni Wi-Fi o da applicazioni come Mail,
senza aprire una sessione separata del browser. Inoltre la connettività Wi-Fi persistente e
a bassa potenza consente alle app di utilizzare le reti Wi-Fi per inviare notifiche push.
Protocolli di sicurezza wireless
• WEP
Per consentire il roaming all’interno delle reti aziendali Wi-Fi di grandi dimensioni,
• WPA Personal iPhone e iPad sono compatibili con i protocolli 802.11k e 802.11r.* 802.11k agevola la
• WPA Enterprise transizione di iPhone e iPad da una stazione base all’altra utilizzando i report della
• WPA2 Personal stazione base. 802.11r semplifica invece l’autenticazione 802.1X quando un dispositivo
• WPA2 Enterprise passa da un punto di accesso a un altro.
Metodi di autenticazione 802.1X
Per un setup e una distribuzione veloci, puoi configurare le impostazioni per rete
• EAP-TLS wireless, sicurezza, proxy e autenticazione tramite i profili di configurazione.
• EAP-TTLS
• EAP-FAST
• EAP-SIM Impostazione con WPA2 Enterprise
• PEAPv0 (EAP-MS-CHAP v2) • Verifica la compatibilità delle apparecchiature di rete e seleziona un tipo di
• PEAPv1 (EAP-GTC) autenticazione (tipo EAP) supportato da iOS.
• LEAP
• Verifica che 802.1X sia attivo sul server di autenticazione e, se necessario, installa un
certificato del server e assegna a utenti e gruppi i permessi per l’accesso alla rete.
• Configura i punti di accesso wireless per l’autenticazione 802.1X e inserisci le
corrispondenti informazioni sul server RADIUS.
• Se intendi utilizzare l’autenticazione con certificati, configura la tua infrastruttura per le
chiavi pubbliche in modo da supportare i certificati utente e dispositivo con il relativo
processo di distribuzione delle chiavi.
• Verifica la compatibilità del formato del certificato e del server di autenticazione. iOS
supporta i certificati nei formati PKCS#1 (.cer, .crt, .der) e PKCS#12.
• Per ulteriore documentazione sugli standard di rete wireless e su Wi-Fi Protected Access
(WPA), visita il sito www.wi-fi.org.11
Scenario di distribuzione WPA2 Enterprise/802.1X
Questo esempio illustra una tipica distribuzione wireless sicura che sfrutta l’autenticazione basata su RADIUS.
Server di autenticazione con Firewall Servizi di directory
supporto 802.1x (RADIUS)
3
2
1 4
Punto di accesso wireless
con supporto 802.1X Servizi di rete
Certificato o password
basati sul tipo EAP
1 iPhone e iPad richiedono l’accesso alla rete. La connessione viene avviata quando l’utente seleziona una rete wireless disponibile, o quando il
dispositivo rileva una rete precedentemente configurata.
2 Dopo che è stata ricevuta dal punto di accesso, la richiesta viene trasferita al server RADIUS per l’autenticazione.
3 Il server RADIUS convalida l’account utente utilizzando il servizio di directory.
4 Dopo avere completato l’autenticazione dell’utente, il punto di accesso fornisce l’accesso alla rete in base ai criteri e alle autorizzazioni indicati
dal server RADIUS.
*iPhone 4S, iPhone 5, iPad con display Retina, iPad mini e iPod touch di quinta generazione supportano 802.11k e 802.11r.
© 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati sono marchi
dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito
al suo utilizzo. Settembre 2012Distribuire iPhone e iPad
Certificati digitali
iOS supporta i certificati digitali, fornendo così agli utenti business un accesso sicuro
e semplificato ai servizi delle loro imprese. Un certificato digitale è composto da una
chiave pubblica e da altre informazioni sull’utente e sull’autorità che ha emesso il
certificato stesso. Si tratta di una forma di identificazione che semplifica l’autenticazione
e garantisce l’integrità e la sicurezza dei dati.
Sugli iPhone e iPad i certificati possono essere usati in vari modi. Per esempio i dati
firmati con un certificato digitale dimostrano di non essere stati alterati o modificati. I
certificati si possono usare anche per garantire l’identità dell’autore o del “firmatario”,
oppure per criptare i profili di configurazione e le comunicazioni di rete, consentendo
un’ulteriore protezione delle informazioni riservate o private.
Utilizzo dei certificati in iOS
Certificati digitali
I certificati digitali si possono usare per autenticare in modo sicuro l’accesso degli utenti
Formati di certificati e identità
ai servizi aziendali, senza che siano necessari username, password o token. In iOS
supportati l’autenticazione basata su certificati è supportata per l’accesso alle reti Microsoft
• iOS supporta i certificati X.509 Exchange ActiveSync, VPN e Wi-Fi.
con chiavi RSA.
• Sono riconosciute le estensioni .cer, .crt,
.der, .p12 e .pfx.
Certificati root
iOS comprende già una serie di certificati
Autorità certificato Richiesta di autenticazione Servizi aziendali Servizio di directory
root preinstallati. Per visualizzare un
Intranet, e-mail, VPN, Wi-Fi
elenco dei root di sistema preinstallati,
consulta l’articolo del supporto Apple
Certificati server
alla pagina http://support.apple.com/kb/
HT4415?viewlocale=it_IT. Se utilizzi un I certificati digitali si possono usare anche per convalidare e criptare le comunicazioni
certificato root non preinstallato, come un di rete, in modo da offrire una comunicazione sicura ai siti web sia interni sia esterni.
certificato root autofirmato creato dalla Il browser Safari è in grado di verificare la validità del certificato digitale X.509 e di
tua azienda, puoi distribuirlo utilizzando impostare una sessione sicura con codifica AES fino a 256 bit. Viene verificato che
uno dei metodi elencati nella sezione l’identità del sito sia legittima e che la comunicazione sia protetta per impedire
“Distribuzione e installazione di certificati” l’intercettazione di dati riservati o personali.
di questo documento.
Richiesta HTTPS Servizi di rete Autorità certificato13 Distribuzione e installazione di certificati La distribuzione di certificati su iPhone e iPad è semplice. Ogni volta che si riceve un certificato, basta un tocco per esaminarne i contenuti e un altro per aggiungerlo al proprio dispositivo. Quando un certificato di identità viene installato, all’utente viene richiesta la frase chiave che lo protegge. Se non è possibile verificare l’autenticità di un certificato, prima di aggiungerlo al dispositivo viene visualizzato un avviso. Installazione dei certificati mediante un profilo di configurazione Se utilizzi profili di configurazione per distribuire le impostazioni di servizi aziendali come Exchange, VPN o Wi-Fi, i certificati si possono aggiungere al profilo per ottimizzarne la distribuzione. Installazione dei certificati via Mail o Safari Se un certificato viene inviato in un’e-mail, verrà visualizzato come allegato. Inoltre è possibile utilizzare Safari per scaricare certificati da una pagina web. Puoi ospitare il certificato su un sito web protetto e fornire agli utenti l’URL da cui scaricare il certificato sui propri dispositivi. Installazione tramite Simple Certificate Enrollment Protocol (SCEP) SCEP è un protocollo progettato per semplificare la distribuzione di certificati su larga scala. Consente la registrazione over-the-air dei certificati digitali su iPhone e iPad, che possono essere utilizzati per l’autenticazione ai servizi aziendali e la registrazione con un server MDM. Per maggiori informazioni sul protocollo SCEP e la registrazione over-the-air, visita www.apple.com/it/iphone/business/resources. Rimozione e revoca dei certificati Per rimuovere manualmente un certificato installato, scegli Impostazioni > Generali > Profili. Se rimuovi un certificato che è necessario per accedere a un account o a una rete, il tuo dispositivo non potrà collegarsi a questi servizi. Per rimuovere i certificati over-the-air puoi utilizzare un server MDM, che è in grado di visualizzare tutti i certificati presenti sul dispositivo e di rimuovere quelli installati. Inoltre viene supportato l’OCSP (Online Certificate Status Protocol) per controllare lo stato dei certificati. Quando si usa un certificato abilitato per OCSP, iOS lo convalida per assicurare che non sia stato revocato prima del completamento dell’attività richiesta. © 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad, Mac OS e Safari sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Settembre 2012
Distribuire iPhone e iPad
Panoramica sulla sicurezza
Il sistema operativo iOS è il cuore di ogni iPhone e iPad e si basa su vari livelli di sicurezza.
Questo fa sì che gli iPhone e gli iPad possano accedere in modo sicuro ai servizi aziendali
e proteggere i dati importanti. iOS fornisce una crittografia forte per i dati in trasmissione,
metodi di autenticazione collaudati per accedere ai servizi aziendali e crittografia hardware
per tutti i dati archiviati. Le funzioni di sicurezza di iOS prevedono anche l’uso di criteri
relativi ai codici d’accesso che si possono distribuire e imporre in wireless. Inoltre, se il
dispositivo finisce nelle mani sbagliate, gli utenti e gli amministratori IT possono avviare
operazioni di cancellazione remota per eliminare tutte le informazioni private.
Quando si prende in considerazione la sicurezza di iOS per uso aziendale, è utile comprendere
i seguenti argomenti.
• Sicurezza del dispositivo: metodi che impediscono l’utilizzo non autorizzato del dispositivo.
• Sicurezza dei dati: protezione dei dati a riposo, compresi i casi in cui un dispositivo viene
perso o rubato.
• Sicurezza della rete: protocolli di rete e crittografia dei dati che vengono trasmessi.
• Sicurezza delle app: fondamenta sicure della piattaforma iOS.
Queste funzioni operano in sinergia per creare una piattaforma mobile estremamente sicura.
Sicurezza del dispositivo
• Codici sicuri Sicurezza del dispositivo
• Scadenza dei codici di accesso Stabilire solide politiche per l’accesso all’iPhone e all’iPad è essenziale per proteggere i dati
• Cronologia del riutilizzo dei codici di accesso aziendali. L’uso di un codice è la prima difesa contro gli accessi non autorizzati e può essere
• Numero massimo di tentativi falliti
configurata e imposta over-the-air. I dispositivi iOS utilizzano un codice di accesso univoco
• Imposizione di codici over-the-air
stabilito da ogni utente per generare una chiave di codifica sofisticata che aumenta la
• Disattivazione progressiva del dispositivo
protezione della posta e dei dati delle applicazioni sul dispositivo. Inoltre iOS fornisce metodi
sicuri per configurare il dispositivo in un ambiente aziendale che richiede impostazioni,
criteri e restrizioni specifici. Questi metodi offrono opzioni flessibili per stabilire un livello di
protezione standard per gli utenti autorizzati.
Criteri relativi al codice di accesso
Il codice di accesso impedisce agli utenti non autorizzati di utilizzare il dispositivo
o di accedere ai dati archiviati al suo interno. iOS consente di scegliere un’ampia gamma
di requisiti per il codice d’accesso in base alle tue esigenze di sicurezza, compresi i limiti
di tempo, la sicurezza del codice e la frequenza con cui è necessario modificarlo.
Sono supportati i seguenti criteri relativi al codice di accesso.
• Richiedi l’utilizzo di un codice di accesso
• Consenti un valore semplice
• Richiedi un valore alfanumerico
• Lunghezza minima del codice
• Numero minimo di caratteri complessi
• Validità massima del codice
• Intervallo di tempo prima del blocco automatico
• Cronologia codici
• Intervallo per il blocco del dispositivo
• Numero massimo di tentativi falliti15
Imposizione dei criteri
I criteri sopra descritti si possono impostare sull’iPhone o iPad in vari modi. Si possono
distribuire come parte di un profilo di configurazione che l’utente deve installare.
È possibile impostare il profilo in modo che la sua eliminazione sia consentita solo
con una password amministrativa, oppure bloccarlo sul dispositivo e impedirne la
rimozione a meno che non vengano cancellati completamente tutti i contenuti del
dispositivo. Inoltre i criteri possono essere configurati in remoto utilizzando soluzioni
MDM in grado di trasmettere le informazioni direttamente al dispositivo. Questo
consente di imporre e aggiornare i criteri senza alcuna operazione da parte dell’utente.
In alternativa, se il dispositivo è configurato per accedere a un account di Microsoft
Exchange, i criteri di Exchange ActiveSync vengono trasmessi over-the-air al
dispositivo. È opportuno ricordare che i criteri disponibili variano in base alla versione
di Exchange (2003, 2007 o 2010). Consulta Exchange ActiveSync e dispositivi iOS per
conoscere i criteri supportati dalla tua specifica configurazione.
Configurazione sicura del dispositivo
Criteri e restrizioni configurabili supportati I profili di configurazione sono file XML che contengono criteri e restrizioni di sicurezza,
Funzionamento del dispositivo informazioni sulla configurazione VPN, impostazioni Wi-Fi, account e-mail e calendari,
• Consenti l’installazione di app e credenziali di autenticazione che consentono agli iPhone e iPad di lavorare con i
• Consenti Siri sistemi della tua azienda. La possibilità di determinare in un profilo di configurazione
• Consenti Siri con dispositivo bloccato sia i criteri del codice d’accesso sia le impostazioni del dispositivo garantisce che i
• Consenti notifiche Passbook con dispositivo dispositivi dell’azienda siano configurati correttamente e secondo gli standard di
bloccato
sicurezza stabilite. Poiché i profili di configurazione possono essere criptati e bloccati,
• Consenti l’uso della fotocamera
• Consenti l’uso di FaceTime
le impostazioni non possono essere eliminate, modificate o condivise con altri.
• Consenti istantanea schermo I profili di configurazione possono essere sia firmati sia criptati. Con la firma si
• Consenti sincronizzazione automatica in roaming garantisce che i parametri imposti dal profilo di configurazione non possano essere
• Consenti sincronizzazione messaggi recenti in
modificati in alcun modo. La crittografia, invece, protegge i contenuti del profilo
Mail
• Consenti composizione vocale e consente l’installazione solo sul dispositivo per il quale è stato creato. I profili di
• Consenti acquisti In-App configurazione vengono criptati con CMS (Cryptographic Message Syntax, RFC 3852),
• Richiedi password dello Store per ogni acquisto che supporta 3DES e AES 128.
• Consenti gioco multiplayer
Per distribuire per la prima volta i profili di configurazione criptati, dovrai installarli
• Consenti aggiunta di amici in Game Center
• Imposta classificazioni consentite via USB usando Utility Configurazione oppure in wireless tramite la registrazione
over-the-air. Oltre che con questi metodi, successivamente i profili di configurazione
App
criptati possono essere distribuiti allegandoli a un’e-mail, ospitandoli su un sito web
• Consenti l’uso di YouTube
• Consenti l’uso di iTunes Store accessibile agli utenti o trasferendoli sui dispositivi attraverso soluzioni MDM.
• Consenti l’uso di Safari
• Imposta le preferenze di sicurezza di Safari Restrizioni del dispositivo
Le restrizioni del dispositivo determinano quali sue funzioni possono essere utilizzate
iCloud
dagli utenti. Riguardano in particolare applicazioni che prevedono l’accesso alla
• Consenti backup
• Consenti la sincronizzazione di documenti rete, come Safari, YouTube o iTunes Store, ma possono anche controllare operazioni
e valori chiave come l’installazione di app o l’utilizzo della videocamera. Le restrizioni ti permettono
• Consenti Streaming foto di configurare il dispositivo in base alle tue esigenze e di consentire agli utenti
• Consenti Streaming foto condiviso di utilizzarlo in modo coerente con le tue pratiche aziendali. Puoi impostarle
Sicurezza e privacy manualmente su ciascun dispositivo, imporle con un profilo di configurazione o
• Consenti l’invio dei dati di diagnosi a Apple definirle in remoto con una soluzione MDM. Inoltre, come per i criteri dei codici di
• Consenti all’utente di accettare certificati accesso, le restrizioni relative alla videocamera e alla navigazione web possono essere
non attendibili imposte over-the-air tramite Microsoft Exchange Server 2007 e 2010.
• Imponi i backup criptati
Oltre a configurare restrizioni e criteri sul dispositivo, il reparto IT può configurare
Restrizioni solo per dispositivi supervisionati
e controllare anche l’applicazione desktop iTunes, per esempio impedendo l’accesso
• Consenti iMessage
• Consenti Game Center a contenuti espliciti, definendo quali servizi di rete sono accessibili all’interno di
• Consenti la rimozione di app iTunes e stabilendo se l’utente può installare gli aggiornamenti software. Per maggiori
• Consenti iBookstore informazioni consulta Distribuire iTunes per dispositivi iOS.
• Consenti contenuti a sfondo erotico da
iBookstore
• Abilita filtro di Siri per le espressioni volgari
• Consenti l’installazione manuale dei profili
di configurazione16
Sicurezza dei dati
Sicurezza dei dati La protezione dei dati archiviati sull’iPhone e sull’iPad è importante per qualsiasi
• Crittografia hardware ambiente che disponga di informazioni riservate sull’azienda o sui clienti. Oltre a
• Protezione dei dati criptare i dati in trasmissione, iPhone e iPad forniscono la crittografia hardware per i
• Cancellazione dati in remoto dati archiviati nel dispositivo, inoltre proteggono e-mail e dati delle applicazioni con un
• Cancellazione locale
ulteriore livello di crittografia.
• Profili di configurazione criptati
• Backup iTunes criptati Se un dispositivo viene perso o rubato, è importante disattivarlo e cancellare tutti i
Classificazione dei contenuti
suoi dati. Può essere utile adottare un criterio che preveda la cancellazione dei dati
• Consenti musica e podcast espliciti dopo un certo numero di tentativi di inserimento del codice falliti, un deterrente
• Imposta regione classificazione fondamentale contro gli accessi non autorizzati.
• Imposta classificazioni consentite
Crittografia
iPhone e iPad offrono la crittografia hardware, che usa lo standard AES a 256 bit per
proteggere tutti i dati sul dispositivo. La crittografia è sempre attiva e non può essere
disabilitata dagli utenti.
È inoltre possibile criptare i dati contenuti nei backup di iTunes sul computer
dell’utente. Questa funzione può essere attivata dall’utente oppure applicata tramite
le impostazioni di restrizione dei profili di configurazione.
iOS supporta lo standard S/MIME nelle e-mail, consentendo agli iPhone e iPad di
visualizzare e inviare messaggi di posta criptati. Le restrizioni possono anche essere
utilizzate per impedire lo spostamento delle e-mail da un account all’altro, o che un
messaggio venga inoltrato da un account diverso da quello di ricezione.
Protezione dei dati
Sfruttando le capacità di codifica hardware di iPhone e iPad, è possibile proteggere
ulteriormente le e-mail e gli allegati archiviati sul dispositivo usando le funzioni di
protezione dei dati integrate in iOS. La protezione dei dati sfrutta il codice univoco
del dispositivo di ogni singolo utente unitamente alla crittografia hardware di iPhone
e iPad per generare una chiave di codifica forte che impedisce l’accesso ai dati quando
il dispositivo è bloccato. In questo modo le informazioni più importanti sono al sicuro
anche se il dispositivo viene compromesso.
Per attivare la protezione dei dati è sufficiente definire un codice d’accesso. Poiché
l’efficacia di questa funzione dipende dall’efficacia del codice di accesso, è importante
che i criteri aziendali richiedano e impongano l’utilizzo di codici formati da più
di quattro caratteri. Gli utenti possono verificare se la protezione dei dati è attiva
osservando la schermata delle impostazioni del codice d’accesso. Inoltre le soluzioni
MDM possono interrogare il dispositivo per ottenere questa informazione.
Queste stesse API di protezione dei dati sono disponibili anche per gli sviluppatori
e si possono usare per tutelare i dati delle app aziendali, siano esse commerciali o
Disattivazione progressiva del dispositivo in-house.
iPhone e iPad possono essere configurati
in modo da attivare automaticamente la Cancellazione dati in remoto
cancellazione dei dati dopo un certo numero iOS supporta la cancellazione remota. In caso di smarrimento o furto, l’amministratore
di tentativi falliti di inserire il codice d’accesso.
o il proprietario del dispositivo può usare un comando che cancella tutti i dati al suo
Se un utente immette ripetutamente il codice
interno e lo disattiva. Se il dispositivo è configurato con un account Exchange, si può
d’accesso errato, iOS viene disabilitato per
avviare la cancellazione a distanza da Exchange Management Console (Exchange
intervalli sempre più lunghi. In seguito a troppi
tentativi non riusciti, tutti i dati e tutte le Server 2007) o Exchange ActiveSync Mobile Administration Web Tool (Exchange
impostazioni presenti sul dispositivo saranno Server 2003 o 2007). Gli utenti di Exchange Server 2007 possono anche avviare la
cancellati. cancellazione remota direttamente da Outlook Web Access. In più, le soluzioni MDM
possono inviare comandi di cancellazione a distanza anche nel caso in cui non
vengano utilizzati i servizi aziendali Exchange.17
Cancellazione locale
I dispositivi possono anche essere configurati in modo da avviare automaticamente
una cancellazione in locale dopo un certo numero di tentativi falliti di inserire il codice
d’accesso. È un deterrente fondamentale contro i tentativi di accedere al dispositivo
con la forza. Una volta stabilito il codice di accesso, gli utenti possono attivare la
cancellazione locale direttamente dalle impostazioni. Per impostazione predefinita, iOS
cancella automaticamente i dati dopo 10 tentativi di inserimento falliti. Come per gli
altri criteri relativi al codice di accesso, il numero massimo di tentativi falliti può essere
imposto con un profilo di configurazione, tramite un server MDM oppure over-the-air
tramite i criteri di Microsoft Exchange ActiveSync.
iCloud
iCloud archivia musica, foto, app, calendari, documenti e molto di più, e grazie alla
tecnologia push li invia in wireless a tutti i dispositivi dell’utente. Può anche fare
backup quotidiani in Wi-Fi di varie informazioni, tra cui impostazioni del dispositivo,
dati delle app, messaggi di testo e MMS. iCloud protegge i contenuti criptandoli
durante la trasmissione via internet, archiviandoli in formato criptato, e utilizzando
token sicuri per l’autenticazione. Inoltre le funzioni di iCloud, come Streaming foto,
la sincronizzazione dei documenti e il backup, possono essere disattivate tramite un
profilo di configurazione. Per saperne di più sulla sicurezza e sulla privacy di iCloud,
vai su http://support.apple.com/kb/HT4865?viewlocale=it_IT.
Sicurezza della rete
• VPN integrata con Cisco IPSec, L2TP,
PPTP Sicurezza della rete
• VPN SSL con applicazioni dall’App Store Gli utenti di dispositivi mobili devono poter accedere a reti di informazioni aziendali
• SSL/TLS con certificati X.509
da qualsiasi parte del mondo, tuttavia è importante anche assicurarsi che gli utenti
• WPA/WPA2 Enterprise con 802.1X
siano autorizzati e che i loro dati siano protetti nel corso della trasmissione. iOS
• Autenticazione basata su certificati
fornisce tecnologie collaudate per raggiungere questi obiettivi di sicurezza sia per le
• RSA SecurID, CRYPTOCard
connessioni a reti Wi-Fi sia per le connessioni a reti cellulari.
Protocolli VPN
Oltre alla tua infrastruttura esistente, ogni sessione FaceTime e conversazione iMessage
• Cisco IPSec
viene criptata dall’inizio alla fine. iOS crea un ID univoco per ciascun utente, garantendo
• L2TP/IPSec
• PPTP che le comunicazioni siano criptate, instradate e connesse adeguatamente.
• VPN SSL
VPN
Metodi di autenticazione Molti ambienti aziendali dispongono di alcune forme di Network privati virtuali
• Password (MSCHAPv2) (VPN, Virtual Private Network). Questi servizi di reti sicuri sono già utilizzati e di solito
• RSA SecurID richiedono impostazioni e configurazioni minime per funzionare con iPhone e iPad.
• CRYPTOCard
iOS si integra fin da subito con un’ampia gamma di tecnologie VPN grazie al supporto
• Certificati digitali X.509
• Segreto condiviso per Cisco IPSec, L2TP e PPTP, inoltre funziona con VPN SSL tramite applicazioni di
Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks e F5 Networks.
Protocolli di autenticazione 802.1X Il supporto per questi protocolli assicura il massimo livello di crittografia basata su IP
• EAP-TLS per la trasmissione dei dati sensibili.
• EAP-TTLS
• EAP-FAST Oltre a consentire l’accesso sicuro ad ambienti VPN, iOS offre metodi collaudati per
• EAP-SIM l’autenticazione dell’utente. L’autenticazione tramite certificati digitali x.509 standard
• PEAP v0, v1 fornisce agli utenti un accesso ottimizzato alle risorse aziendali e un’alternativa
• LEAP fattibile all’uso di token hardware. Inoltre l’autenticazione con certificati consente
ad iOS di sfruttare la funzione “VPN su richiesta”, rendendo trasparente il processo di
Formati dei certificati supportati
autenticazione VPN e fornendo contemporaneamente credenziali sicure per accedere
iOS supporta i certificati X.509 con
ai servizi di rete. Per ambienti aziendali in cui un token a due fattori è un requisito
chiavi RSA. Vengono riconosciute le
estensioni .cer, .crt e .der.
fondamentale, iOS si integra con RSA SecureID e CRYPTOCard.
iOS supporta la configurazione di reti proxy e split tunneling dell’indirizzo IP così che
il traffico verso domini di rete pubblici o privati sia inoltrato secondo i criteri specifici
della tua azienda.18
SSL/TLS
iOS supporta SSL v3 e Transport Layer Security (TLS v1.0, 1.1 e 1.2), lo standard di
sicurezza di ultima generazione per internet. Safari, Calendario, Mail e altre applicazioni
internet avviano automaticamente questi meccanismi per instaurare un canale di
comunicazione criptato tra iOS e i servizi aziendali.
WPA/WPA2
iOS supporta WPA2 Enterprise per fornire un accesso autenticato alla rete wireless
della tua azienda. WPA2 Enterprise utilizza la crittografia AES a 128 bit, assicurando
al massimo agli utenti che i loro dati rimarranno protetti quando inviano e ricevono
comunicazioni su una rete Wi-Fi. Grazie al supporto per 802.1X, iPhone e iPad possono
essere integrati in un’ampia gamma di ambienti di autenticazione RADIUS.
Sicurezza delle app
iOS è una piattaforma fondata sulla sicurezza. La protezione runtime delle applicazioni
Sicurezza delle app segue l’approccio “Sandbox” e richiede la firma delle app per garantire che non
• Protezione runtime vengano alterate. iOS ha anche un framework sicuro per archiviare in un portachiavi
• Firma obbligatoria del codice criptato le credenziali di accesso alle app e alla rete. Inoltre iOS offre agli sviluppatori
• Servizi Portachiavi un’architettura Common Crypto per criptare i dati archiviati dalle applicazioni.
• API Common Crypto
• Protezione dei dati delle applicazioni Protezione runtime
• App gestite Le app sul dispositivo sono “sandboxed”, cioè non possono accedere ai dati archiviati
da altre applicazioni. Inoltre i file, le risorse e il kernel del sistema sono protetti dallo
spazio in cui sono attive le applicazioni dell’utente. Se un’applicazione richiede
l’accesso ai dati di un’altra app, può farlo solo tramite le API e i servizi forniti da iOS.
Viene impedita anche la generazione di codice.
Firma obbligatoria del codice
Tutte le applicazioni iOS devono essere firmate. Le applicazioni fornite con il dispositivo
sono firmate da Apple. Le app di altri produttori sono firmate dallo sviluppatore
tramite un certificato emesso da Apple. Questo garantisce che le app non siano state
manomesse o alterate. In più vengono effettuati controlli runtime per garantire che
un’applicazione non sia divenuta inattendibile dall’ultima volta in cui è stata usata.
L’uso di applicazioni personalizzate o in-house può essere regolato con un profilo
di fornitura: per eseguire l’applicazione, gli utenti devono avere installato tale profilo.
I profili si possono installare o revocare over-the-air per mezzo di soluzioni MDM.
Gli amministratori possono anche limitare l’uso di un’applicazione a specifici dispositivi.
Framework di autenticazione sicura
iOS fornisce un portachiavi sicuro e criptato per archiviare identità digitali, nomi utenti
e password. I dati del portachiavi si trovano in una partizione separata in modo che le
credenziali memorizzate da applicazioni di altri produttori non siano accessibili dalle
app con un’identità diversa. Con questo meccanismo si proteggono le credenziali di
autenticazione memorizzate su iPhone e iPad per una gamma di applicazioni e servizi
aziendali.
Architettura Common Crypto
Gli sviluppatori hanno accesso ad API di crittografia per proteggere ulteriormente i dati
delle loro applicazioni. I dati possono essere criptati simmetricamente tramite metodi
collaudati come AES, RC4 o 3DES. Inoltre iPhone e iPad forniscono l’accelerazione
hardware per la crittografia AES e l’hashing SHA1, che massimizza le prestazioni
dell’applicazione.19 Protezione dei dati delle applicazioni Le applicazioni possono sfruttare anche la crittografia hardware integrata dell’iPhone e dell’iPad per proteggere ulteriormente i dati sensibili. Gli sviluppatori possono definire file specifici da proteggere: quando il dispositivo è bloccato, il sistema cripta i contenuti dei file rendendoli inaccessibili sia all’applicazione sia a potenziali intrusi. App gestite Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni in-house dell’azienda. Quando un’app è gestita, il server può specificare se l’app in questione e i relativi dati possono essere rimossi dal dispositivo tramite il server MDM. Inoltre il server può impedire che i dati dell’app gestita vengano inclusi nei backup di iTunes e iCloud. Questo permette ai responsabili IT di gestire le app che potrebbero contenere informazioni sensibili con un maggiore livello di controllo rispetto a quanto accade con le applicazioni scaricate direttamente dall’utente. Per installare un’app gestita, il server MDM invia un comando di installazione al dispositivo. Le app gestite richiedono l’accettazione da parte dell’utente prima di essere installate. Per maggiori informazioni sulle app gestite, leggi la Panoramica sulla gestione dei dispositivi mobili (MDM) su www.apple.com/business/mdm. Dispositivi rivoluzionari, sicurezza a tutto tondo iPhone e iPad forniscono una protezione criptata dei dati in transito, a riposo o conservati in iCloud o iTunes. Che un utente stia accedendo alla posta elettronica aziendale, stia visitando un sito web privato o si stia autenticando alla rete dell’azienda, iOS assicura che solo gli utenti autorizzati possano accedere alle informazioni aziendali riservate. E grazie al supporto per funzioni di rete di livello enterprise e metodi completi per impedire la perdita di dati, puoi distribuire i dispositivi iOS in tutta tranquillità sapendo che stai implementando soluzioni collaudate per la sicurezza dei dispositivi e dei dati. © 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes, Passbook, Safari e Siri sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iMessage è un marchio di Apple Inc. iCloud e iTunes Store sono marchi di servizio di Apple Inc., registrati negli USA e in altri Paesi. App Store e iBookstore sono marchi di servizio di Apple Inc. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Settembre 2012
Puoi anche leggere
