Bezpieczny dostęp do prywatnych sieci korporacyjnych wsystemach iOS, iPadOS, macOS, tvOS, watchOS ivisionOS możliwy jest dzięki użyciu zgodnych ze standardami branżowymi protokołów wirtualnej sieci prywatnej (VPN).
Obsługiwane protokoły
Systemy iOS, iPadOS, macOS, tvOS, watchOS ivisionOS obsługują następujące protokoły imetody uwierzytelniania:
IKEv2: Obsługuje IPv4, IPv6 oraz poniższe:
Metody uwierzytelniania: Hasło współdzielone, certyfikaty, EAP‑TLS oraz EAP‑MSCHAPv2
Kryptografia SuiteB: Certyfikaty ECDSA, szyfrowanie ESP przy użyciu GCM oraz grupy ECP dla grupy Diffiego‑Hellmana
Dodatkowe funkcje: MOBIKE, fragmentacja IKE, przekierowanie serwera, split tunneling
Systemy iOS, iPadOS, macOS ivisionOS obsługują także następujące protokoły imetody uwierzytelniania:
L2TP przez IPsec: Uwierzytelnianie użytkownika przy użyciu hasła MS‑CHAPv2, tokenu dwuskładnikowego, certyfikatu, uwierzytelnianie urządzenia przy użyciu hasła współdzielonego lub certyfikatu
Podczas korzystania zprotokołu L2TP przez IPsec, system macOS może także korzystać zuwierzytelniania Kerberos przy użyciu hasła współdzielonego lub certyfikatu.
IPsec: Uwierzytelnianie użytkownika przy użyciu hasła, tokenu dwuskładnikowego, uwierzytelnianie urządzenia przy użyciu hasła współdzielonego icertyfikatów
Jeśli Twoja organizacja obsługuje te protokoły, łączenie urządzeń Apple zwirtualną siecią prywatną nie wymaga dodatkowej konfiguracji sieci ani korzystania zaplikacji innych producentów.
Obsługa obejmuje także takie technologie, jak IPv6, serwery proxy idzielone tunelowanie (split tunelling). Dzielone tunelowanie zapewnia sprawne działanie sieci VPN podczas łączenia zsieciami organizacji.
Dodatkowo szablon roboczy Network Extension umożliwia deweloperom tworzenie własnych rozwiązań VPN dla systemów iOS, iPadOS, macOS, tvOS ivisionOS. Niektórzy dostawcy usług VPN oferują aplikacje pomagające skonfigurować urządzenia Apple do współpracy zich usługami. Aby skonfigurować urządzenie do obsługi określonego rozwiązania, zainstaluj aplikację udostępnianą przez dostawcę, anastępnie (opcjonalnie) utwórz profil konfiguracji zniezbędnymi ustawieniami.
VPN na żądanie
Wsystemach iOS, iPadOS, macOS itvOS dostępna jest funkcja VPN na żądanie, która pozwala urządzeniom Apple na automatyczne nawiązywanie połączenia VPN wrazie potrzeby. Wymaga ona metody uwierzytelniania nieobejmującej interakcji zużytkownikiem— na przykład uwierzytelniania opartego ocertyfikaty. Funkcja VPN na żądanie jest konfigurowana przy użyciu klucza OnDemandRules wpakiecie danych VPN wprofilu konfiguracyjnym. Reguły stosowane są wdwóch etapach:
Etap wykrywania sieci: Definiuje wymaganie połączenia VPN stosowane po wykryciu zmiany podstawowego połączenia urządzenia zsiecią.
Etap sprawdzania połączenia: Definiuje wymaganie połączenia VPN dla nazw domen wymagających takiego połączenia.
Reguły mogą wykonywać między innymi następujące czynności:
Rozpoznawanie, kiedy urządzenie Apple połączone jest zsiecią wewnętrzną iużywanie VPN nie jest konieczne
Rozpoznawanie, kiedy używana jest nieznana sieć Wi‑Fi iużywanie VPN jest wymagane
Uruchamianie połączenia VPN, gdy żądanie określonej domeny DNS nie powiedzie się
VPN dla aplikacji
Systemy iOS, iPadOS, macOS, watchOS ivisionOS 1.1 umożliwiają nawiązywanie połączeń VPN przeznaczonych dla poszczególnych aplikacji, co zapewnia większą kontrolę nad danymi przesyłanymi przez VPN. Możliwość rozdzielania ruchu sieciowego na poziomie aplikacji umożliwia oddzielenie danych osobistych od danych organizacji, zapewniając wten sposób bezpieczne połączenia sieciowe dla aplikacji używanych wewnętrznie, zachowując jednocześnie prywatność osobistych działań użytkownika.
VPN dla aplikacji pozwala każdej aplikacji zarządzanej przez rozwiązanie MDM na łączenie się zsiecią prywatną przez bezpieczny tunel, jednocześnie uniemożliwiając aplikacjom niezarządzanym korzystanie zsieci prywatnej. Aplikacje zarządzane mogą zostać skonfigurowane do użycia różnych połączeń VPN, aby dodatkowo zwiększyć bezpieczeństwo danych. Na przykład aplikacja do obsługi sprzedaży może używać zupełnie innego centrum danych, niż aplikacja do zarządzania rachunkowością.
Po utworzeniu funkcji VPN dla aplikacji wdowolnej konfiguracji VPN należy także powiązać to połączenie zaplikacjami używającymi go do zabezpieczania ruchu sieciowego. Czynność ta wykonywana jest przy użyciu odwzorowań wpakiecie danych VPN dla aplikacji (macOS) lub przez podanie konfiguracji VPN wpoleceniu instalacji aplikacji (iOS, iPadOS, macOS, visionOS 1.1).
Funkcja VPN dla aplikacji może zostać skonfigurowana do współpracy zwbudowanym do systemów iOS, iPadOS, watchOS ivisionOS 1.1 klientem VPNIKEv2. Aby uzyskać informacje dotyczące obsługi funkcji VPN dla aplikacji winnych rozwiązaniach VPN należy skontaktować się zdostawcą danego rozwiązania VPN.
Uwaga: Aby aplikacja wsystemie iOS, iPadOS, watchOS 10 lub visionOS 1.1 mogła używać funkcji VPN dla aplikacji, musi być zarządzana przez rozwiązanie MDM.
VPN Always-On
Dostępna dla protokołu IKEv2 funkcja VPN Always-On zapewnia organizacji pełną kontrolę nad ruchem wsieci generowanym przez urządzenia iOS iiPadOS, umożliwiając tunelowanie całego ruchu IP do organizacji. Organizacja może monitorować ifiltrować ruch do izurządzeń, zabezpieczać dane wsieci, atakże ograniczać dostęp urządzeń do Internetu.
Aktywacja funkcji VPN Always-On wymaga urządzenia nadzorowanego. Gdy profil VPN Always-On zostanie zainstalowany na urządzeniu, funkcja VPN Always-On jest aktywowana automatycznie (bez udziału użytkownika) ipozostaje aktywna do momentu odinstalowania profilu VPNAlwaysOn (ponowne uruchomienie urządzenia nie wyłącza tej funkcji).
Po uaktywnieniu funkcji VPN Always-On na urządzeniu tworzenie iusuwanie tuneli VPN zależy od statusu IP interfejsu. Gdy interfejs uzyskuje dostępność do sieci IP, próbuje utworzyć tunel. Gdy interfejs traci połączenie zsiecią IP, tunel jest usuwany.
Funkcja VPN Always-On obsługuje również tunele dla określonych interfejsów. Wprzypadku urządzeń obsługujących połączenia przez sieć komórkową istnieje jeden tunel dla każdego aktywnego interfejsu IP (jeden tunel dla interfejsu połączenia komórkowego ijeden tunel dla interfejsu Wi-Fi). Gdy tunele VPN są utworzone, cały ruch sieciowy jest przez nie przesyłany. Ruch ten obejmuje pakiety kierowane przez ina adresy IP (ruch sieciowy zoryginalnych aplikacji, takich jak FaceTime iWiadomości). Jeśli tunele nie są utworzone, cały ruch wsieci IP jest odrzucany.
Cały ruch sieciowy tunelowany zurządzenia trafia do serwera VPN. Można stosować opcjonalne filtrowanie imonitorowanie przed przekazaniem ruchu sieciowego do miejsc docelowych wewnątrz sieci należącej do organizacji lub do Internetu. Analogicznie, ruch sieciowy do urządzenia przekazywany jest przez należący do organizacji serwer VPN. Na serwerze tym mogą być stosowane procesy filtrowania imonitorowania ruchu sieciowego przed przekazaniem go do urządzenia.
Uwaga: Łączenie wparę AppleWatch przy użyciu funkcji VPN Always-On nie jest obsługiwane.
Przechwytujące serwery proxy
Przechwytujące serwery proxy to specjalny typ VPN wsystemie macOS. Mogą być one używane wróżny sposób do monitorowania imodyfikowania ruchu sieciowego. Typowe zastosowania to rozwiązania filtrowania zawartości oraz brokery dostępu do usług wchmurze. Ze względu na różne zastosowania dobrym pomysłem jest zdefiniowanie kolejności, wjakiej te serwery proxy mają widzieć iobsługiwać ruch sieciowy. Na przykład, serwer proxy filtrujący ruch sieciowy powinien działać przed serwerem proxy szyfrującym ruch sieciowy. Kolejność tę można zdefiniować przy użyciu pakietu danych VPN.
Zobacz takżeUżywanie konfiguracji proxy VPN oraz certyfikatów na urządzeniach ApplePrzegląd ustawień dotyczących połączeń VPN na urządzeniach Apple
