iPhone e iPad per le imprese Esempi di utilizzo in azienda
Transcript
iPhone e iPad per le imprese Esempi di utilizzo in azienda
iPhone e iPad per le imprese Esempi di utilizzo in azienda Ottobre 2011 Scopri come iPhone e iPad si integrano perfettamente negli ambienti enterprise grazie agli scenari di implementazione. • Microsoft Exchange ActiveSync • Servizi basati su standard • Network Privati Virtuali (VPN) • Wi-Fi • Certificati digitali • Panoramica sulla sicurezza • Gestione dei dispositivi mobili (MDM) Implementare iPhone e iPad Exchange ActiveSync iPhone e iPad comunicano direttamente con il tuo Microsoft Exchange Server tramite Microsoft Exchange ActiveSync (EAS), attivando la tecnologia push per e-mail, calendari, contatti e task. Exchange ActiveSync fornisce inoltre agli utenti l’accesso alla consultazione dell’elenco indirizzi globale (Global Address List, GAL) e permette agli amministratori di imporre criteri per il codice di accesso e di cancellazione remota. iOS supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync. Se nella tua azienda è attivo Exchange ActiveSync, disponi dei servizi necessari per supportare iPhone e iPad e non occorre un’ulteriore configurazione. Se hai Exchange Server 2003, 2007 o 2010, ma la tua azienda non conosce Exchange ActiveSync, leggi i passaggi che seguono. Configurazione di Exchange ActiveSync Criteri di protezione Exchange ActiveSync • Cancellazione a distanza • Password richiesta sul dispositivo • Lunghezza minima password • Numero massimo di tentativi falliti per la password (prima della cancellazione locale) • Numeri e lettere entrambi richiesti • Tempo di inattività in minuti (da 1 a 60 minuti) Altri criteri di Exchange ActiveSync (solo per Exchange 2007 e 2010) • Concessione o divieto di password semplice • Scadenza della password • Cronologia delle password • Intervallo di aggiornamento dei criteri • Numero minimo di caratteri complessi nella password • Richiesta di sincronizzazione manuale durante il roaming • Videocamera consentita • Navigazione web consentita Panoramica della configurazione di rete • Verifica che la porta 443 del firewall sia aperta. Se l’azienda consente l’utilizzo di Outlook Web Access, la porta 443 è probabilmente già aperta. • Sul server front-end, verifica che sia installato un certificato del server e attiva SSL per la directory virtuale di Exchange ActiveSync in IIS. • Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che sia installato un certificato del server e aggiorna il DNS pubblico per risolvere le connessioni in arrivo. • Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente al server Exchange ActiveSync per i client intranet e internet. Questo è necessario per consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il server quando sono attivi entrambi i tipi di connessione. • Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione per l’accesso al client web di Exchange. Per maggiori informazioni, consulta la documentazione Microsoft. • Per tutti i firewall e i dispositivi di rete, imposta su 30 minuti il timeout della sessione inattiva. Per informazioni sugli intervalli di heartbeat e timeout, consulta la documentazione Microsoft Exchange all’indirizzo http://technet.microsoft.com/en-us/ library/cc182270.aspx. • Configura le impostazioni di protezione dei dispositivi, criteri e funzioni mobili utilizzando il Gestore di sistema di Exchange. Per quanto riguarda Exchange Server 2007 e 2010, questa operazione viene effettuata in Exchange Management Console. • Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration Web Tool, necessario per avviare operazioni di cancellazione remota. Per quanto riguarda Exchange Server 2007 e 2010, la cancellazione remota può essere inizializzata anche utilizzando Outlook Web Access o Exchange Management Console. 3 Autenticazione base (nome utente e password) • Abilita Exchange ActiveSync per utenti/gruppi specifici usando il servizio Active Directory. In Exchange Server 2003, 2007 e 2010 è abilitato per impostazione predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto riguarda Exchange Server 2007 e 2010, fai riferimento a “Configurazione destinatario” in Exchange Management Console. • Per impostazione predefinita, l’autenticazione degli utenti di Exchange ActiveSync è quella di base. Consigliamo di attivare SSL per l’autenticazione di base per garantire che le credenziali siano criptate durante l’autenticazione. Altri servizi Exchange ActiveSync • Consultazione elenco globale degli indirizzi (GAL) • Accettazione e creazione di inviti di calendario • Sincronizzazione task • Contrassegni messaggi e-mail • Sincronizzazione contrassegni Rispondi e Inoltra con Exchange Server 2010 • Ricerca mail su Exchange Server 2007 e 2010 • Supporto per più account Exchange ActiveSync • Autenticazione basata su certificati • E-mail push alle cartelle selezionate • Individuazione automatica Autenticazione basata su certificati • Installa i servizi dei certificati aziendali su un server membro o un controller di dominio nel tuo dominio (che sarà il tuo server Autorità di certificazione). • Configura IIS sul tuo server front-end o Client Access di Exchange per accettare l’autenticazione basata su certificati per la directory virtuale di Exchange ActiveSync. • Per consentire o richiedere certificati per tutti gli utenti, disattiva “Autenticazione di base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”. • Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la chiave pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e utilizza un profilo di configurazione per fornirla agli iPhone e iPad. L’autenticazione con certificati può essere configurata unicamente tramite un profilo di configurazione. Per maggiori informazioni sui servizi certificati, consulta le risorse Microsoft. 4 Scenario di implementazione di Exchange ActiveSync Questo esempio mostra come iPhone e iPad si collegano a una tipica implementazione di Microsoft Exchange Server 2003, 2007 o 2010. Chiave privata (certificato) Firewall Server di certificati Firewall Profilo di configurazione 443 3 1 Internet Active Directory Chiave pubblica (certificato) 2 Server proxy Server Client Access o front-end di Exchange 4 6 Gateway di posta o server Trasporto Edge* Server testa di ponte o Trasporto Hub 5 Cassetta postale di Exchange o server back-end *A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge potrebbe risiedere nella rete perimetrale (DMZ, Demilitarized Zone, zona demilitarizzata). 1 iPhone e iPad richiedono l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook Web Access e per altri servizi web protetti, quindi in molte implementazioni è già aperta e configurata per consentire il traffico HTTPS criptato con SSL. 2 Il server ISA fornisce l’accesso al server Client Access o front-end di Exchange. ISA è configurato come proxy oppure, in molti casi, come proxy inverso per indirizzare il traffico al server Exchange. 3 Il server Exchange autentica l’utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l’autenticazione con certificati). 4 Se l’utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la cassetta postale appropriata sul server back-end (tramite il catalogo globale di Active Directory). 5 La connessione Exchange ActiveSync viene stabilita. Gli aggiornamenti e le modifiche vengono trasmessi over-the-air, e le modifiche apportate sull’iPhone o iPad vengono riportate sul server Exchange. 6 Anche i messaggi e-mail inviati vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per indirizzare i messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata tramite un server testa di ponte (o Trasporto Hub) a un gateway di posta (o server Trasporto Edge) esterno tramite SMTP. A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge esterno potrebbero risiedere nella rete perimetrale o all’esterno del firewall. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419822B Implementare iPhone e iPad Servizi basati su standard Poiché supporta il protocollo di posta IMAP, i servizi di directory LDAP e i protocolli per calendari e contatti CalDAV e CardDAV, iOS può integrarsi con praticamente tutti gli ambienti di posta, calendario e contatti basati su standard. Se il tuo ambiente di rete è configurato per richiedere autenticazione dell’utente e SSL, iPhone e iPad forniscono un approccio molto sicuro all’accesso a e-mail, calendario, task e contatti dell’azienda. Porte comuni • IMAP/SSL: 993 • SMTP/SSL: 587 • LDAP/SSL: 636 • CalDAV/SSL: 8443, 443 • CardDAV/SSL: 8843, 443 Soluzioni e-mail con supporto IMAP o POP iOS supporta i server di posta standard di settore abilitati per IMAP4 e POP3 su una serie di piattaforme server, tra cui Windows, UNIX, Linux e Mac OS X. Standard CalDAV e CardDAV iOS supporta i protocolli CalDAV per i calendari e CardDAV per i contatti. Entrambi i protocolli sono stati standardizzati da IETF. Ulteriori informazioni sono disponibili sul sito del consorzio CalConnect agli indirizzi http:// caldav.calconnect.org/ e http://carddav. calconnect.org/. In un’implementazione tipica, iPhone e iPad stabiliscono un accesso diretto ai server di posta IMAP e SMTP per ricevere e inviare e-mail over-the-air, e possono sincronizzare le note in wireless con i server IMAP. I dispositivi iOS possono inoltre connettersi alle directory aziendali LDAPv3 della tua società fornendo agli utenti l’accesso a contatti aziendali nelle app Mail, Contatti e Messaggi. La sincronizzazione con il tuo server CalDAV consente a chi usa un iPad di creare e accettare inviti, di ricevere gli aggiornamenti e di sincronizzare i task con l’app Promemoria, tutto in wireless. E grazie al supporto di CardDAV gli utenti possono mantenere un set di contatti sincronizzati con il server CardDAV utilizzando il formato vCard. Tutti i server di rete possono essere posizionati all’interno di una sottorete DMZ, dietro un firewall aziendale o in entrambe queste situazioni contemporaneamente. Con SSL, iOS supporta la crittografia a 128 bit e i certificati root X.509 generati dalle principali autorità di certificazione. Impostazione di rete L’amministratore IT o di rete dovrà completare questi passaggi fondamentali per abilitare l’accesso diretto dagli iPhone e iPad ai servizi IMAP, LDAP, CalDAV e CardDAV. • Aprire le seguenti porte sul firewall: 993 per la posta IMAP, 587 per la posta SMTP, 636 per servizi directory LDAP, 8443 per i calendari CalDAV e 8843 per i contatti CardDAV. È consigliabile inoltre che la comunicazione tra il tuo server proxy e i server back-end IMAP, LDAP, CalDAV e CardDAV sia impostata per utilizzare SSL e che i certificati digitali sui tuoi server di rete siano firmati da un’autorità di certificazione (CA) affidabile, come per esempio VeriSign. Questo passaggio è molto importante perché garantisce che iPhone e iPad riconoscano il tuo server proxy come un’entità attendibile all’interno dell’infrastruttura aziendale. • Per quanto riguarda i messaggi e-mail SMTP in uscita, la porta 587, 465 o 25 deve essere aperta per consentire l’invio dal dispositivo. iOS cerca automaticamente la porta 587, quindi la 465 e infine la 25. La porta 587 è la più affidabile e sicura, perché richiede l’autenticazione dell’utente. La porta 25 non richiede l’autenticazione e, per impostazione predefinita, viene bloccata da alcuni ISP per impedire lo spamming. 6 Scenario di implementazione Questo esempio mostra come iPhone e iPad si collegano a una tipica implementazione IMAP, LDAP, CalDAV e CardDAV. Firewall Firewall 3 636 (LDAP) Server directory LDAP 8443 (CalDAV) 4 Server CalDAV 1 2 Server proxy inverso Internet 8843 (CardDAV) 993 (IMAP) 587 (SMTP) 5 Server CardDAV 6 Server di posta 1 iPhone e iPad richiedono l’accesso ai servizi di rete tramite le porte designate. 2 A seconda del servizio, gli utenti devono autenticarsi con il proxy inverso o direttamente con il server per ottenere l’accesso ai dati aziendali. In tutti i casi le connessioni vengono inoltrate dal proxy inverso, che funge da gateway sicuro, generalmente dietro il firewall internet aziendale. Dopo aver effettuato l’autenticazione, gli utenti possono accedere ai loro dati aziendali sui server back-end. 3 iPhone e iPad offrono servizi di ricerca nelle directory LDAP, così gli utenti potranno cercare contatti e altre informazioni della rubrica sul server LDAP. 4 Per quanto riguarda i calendari CalDAV, gli utenti possono accedere ai calendari e aggiornarli sul dispositivo. 5 I contatti CardDAV sono archiviati sul server ed è anche possibile accedervi localmente sugli iPhone e iPad. Le modifiche apportate ai campi dei contatti CardDAV vengono sincronizzate sul server. 6 Per quanto riguarda i servizi di posta IMAP, i messaggi esistenti e nuovi possono essere letti sull’iPhone o iPad tramite la connessione proxy con il server di posta. La posta in uscita viene inviata al server SMTP, e copie dei messaggi vengono salvate nella cartella Posta inviata dell’utente. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. UNIX è marchio registrato di The Open Group. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419827B Implementare iPhone e iPad Network Privati Virtuali (VPN) I protocolli VPN standard di settore consentono l’accesso sicuro alle reti aziendali dagli iPhone e iPad. Gli utenti possono connettersi facilmente ai sistemi aziendali con il client VPN integrato in iOS o tramite applicazioni di Juniper, Cisco e F5 Networks. iOS supporta fin da subito Cisco IPSec, L2TP su IPSec e PPTP. Se la tua organizzazione supporta uno di questi protocolli, non servono altre configurazioni di rete o applicazioni aggiuntive di terze parti per collegare iPhone e iPad alla VPN. iOS supporta inoltre VPN SSL, che consente di accedere ai server VPN SSL Juniper serie SA, Cisco ASA e F5 BIG-IP Edge Gateway. Gli utenti devono semplicemente scaricare dall’App Store un’applicazione client VPN sviluppata da Juniper, Cisco o F5. Come altri protocolli VPN supportati da iOS, anche VPN SSL può essere configurato manualmente sul dispositivo o tramite un profilo di configurazione. iOS supporta le tecnologie standard di settore come IPv6, i server proxy e lo split tunneling, assicurando la disponibilità di tutte le funzioni VPN durante il collegamento alle reti aziendali. Inoltre iOS è compatibile con un’ampia gamma di metodi di autenticazione, tra cui password, token a due fattori e certificati digitali. Per semplificare il collegamento negli ambienti dove viene utilizzata l’autenticazione basata su certificati, iOS include la funzione “VPN su richiesta”, che avvia dinamicamente una sessione VPN quando ci si collega a domini specificati. Protocolli e metodi di autenticazione supportati SSL VPN Supporta l’autenticazione utente tramite password, token a due fattori e certificati. Cisco IPSec Supporta l’autenticazione utente tramite password, token a due fattori e autenticazione automatica mediante segreto condiviso e certificati. L2TP over IPSec Supporta l’autenticazione utente tramite password MS-CHAP v2, token a due fattori e autenticazione automatica mediante segreto condiviso. PPTP Supporta l’autenticazione utente mediante password MS-CHAP v2 e token a due fattori. 8 VPN su richiesta Per l’autenticazione basata su certificati, iOS offre la funzione “VPN su richiesta”, che stabilisce automaticamente una connessione quando si accede a domini predefiniti fornendo un’immediata connettività VPN. Questa funzione di iOS non richiede impostazioni particolari sul server. Il setup di “VPN su richiesta” viene effettuato tramite un profilo di configurazione oppure manualmente sul dispositivo. “VPN su richiesta” offre le seguenti opzioni. Sempre Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato. Mai Non viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato, ma se la funzione VPN è già attiva verrà utilizzata. Stabilisci se necessario Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio specificato solo dopo che si è verificato un errore di ricerca DNS. Configurazione VPN • iOS si integra con la maggior parte delle reti VPN esistenti, quindi dovrebbe bastare una configurazione minima per abilitare l’accesso alla tua rete. Il modo migliore per prepararsi all’implementazione consiste nel verificare che iOS supporti i protocolli VPN e i metodi di autenticazione in uso nella tua azienda. • È consigliabile rivedere il percorso di autenticazione al tuo server di autenticazione per verificare che gli standard supportati da iOS siano abilitati all’interno della tua implementazione. • Se prevedi di utilizzare l’autenticazione con certificati, assicurati che la tua infrastruttura per le chiavi pubbliche sia configurata in modo da supportare i certificati in base utente e in base dispositivo con il relativo processo di distribuzione delle chiavi. • Se desideri configurare il proxy con impostazioni specifiche per determinati URL, metti un file PAC su un server web al quale si possa accedere con le normali impostazioni VPN, assicurandoti che sia del tipo MIME application/x-ns-proxy-autoconfig. Configurazione proxy Per tutte le configurazioni è anche possibile specificare un proxy VPN. Per configurare un solo proxy per tutte le connessioni, utilizza l’impostazione manuale e, se necessario, fornisci i dati relativi a indirizzo, porta e autenticazione. Per dotare il dispositivo di un file di configurazione proxy automatico mediante PAC o WPAD, puoi utilizzare l’impostazione automatica. Per PAC, indica l’URL del file corrispondente. Per WPAD, iPhone e iPad ottengono le necessarie impostazioni dai server DHCP e DNS. 9 Scenario di implementazione L’esempio illustra una distribuzione tipica con un server/concentratore VPN oltre a un server di autenticazione che controlla l’accesso ai servizi di rete aziendali. Firewall Firewall 3a 3b Autenticazione Certificato o token Server di autenticazione VPN Generazione token o autenticazione certificato Servizio di directory 2 1 4 Server/Concentratore VPN Rete privata 5 Internet pubblico Server proxy 1 iPhone e iPad richiedono l’accesso a servizi di rete. 2 Il server/concentratore VPN riceve la richiesta e la passa in seguito al server di autenticazione. 3 In un ambiente con token a due fattori, il server di autenticazione gestisce la generazione di una chiave con token sincronizzato temporalmente insieme al key server. Se viene utilizzato un metodo di autenticazione con certificati, è necessario distribuire un certificato di identità prima dell’autenticazione. Se viene utilizzato un metodo con password, il processo di autenticazione procede con la convalida dell’utente. 4 Dopo che l’utente è stato autenticato, il server di autenticazione convalida i criteri degli utenti e dei gruppi. 5 Dopo che i criteri degli utenti e dei gruppi sono stati validati, il server VPN fornisce accesso criptato e via tunnel ai servizi di rete. 6 Se viene utilizzato un server proxy, iPhone e iPad accedono alle informazioni al di fuori del firewall collegandosi tramite il server proxy. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419828B Implementare iPhone e iPad Wi-Fi Fin da subito, iPhone e iPad possono collegarsi in modo sicuro alle reti Wi-Fi aziendali o guest, consentendo un accesso semplice e veloce alle reti wireless disponibili all’interno della struttura o in viaggio. iOS supporta i protocolli di rete wireless standard di settore, tra cui WPA2 Enterprise, grazie ai quali è possibile configurare rapidamente le reti aziendali e accedervi in modo sicuro. WPA2 Enterprise utilizza la crittografia AES a 128 bit, un collaudato metodo di codifica basato sull’uso di blocchi che fornisce un elevato livello di protezione dei dati. Grazie al supporto di 802.1X, iOS può essere integrato in un’ampia gamma di ambienti di autenticazione RADIUS. I metodi di autenticazione wireless 802.1X supportati da iPhone e iPad comprendono: EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 e LEAP. Protocolli di sicurezza wireless • WEP • WPA Personal • WPA Enterprise • WPA2 Personal • WPA2 Enterprise Metodi di autenticazione 802.1X • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAPv0 (EAP-MS-CHAPv2) • PEAPv1 (EAP-GTC) • LEAP Gli utenti possono impostare iPhone e iPad affinché si colleghino automaticamente alle reti Wi-Fi disponibili. Nel caso siano richieste credenziali di accesso o altre informazioni, è possibile collegarsi direttamente dalle impostazioni Wi-Fi o da applicazioni come Mail, senza aprire una sessione separata del browser. Inoltre, la connettività Wi-Fi persistente e a bassa potenza consente alle app di utilizzare le reti Wi-Fi per inviare notifiche push. Per un setup e un’implementazione veloci, puoi configurare le impostazioni per rete wireless, sicurezza, proxy e autenticazione tramite i profili di configurazione. Configurazione di WPA2 Enterprise • Verifica la compatibilità degli apparati di rete e seleziona un tipo di autenticazione (tipo EAP) supportato da iOS. • Verifica che 802.1X sia attivo sul server di autenticazione e, se necessario, installa un certificato server e assegna permessi per l’accesso alla rete a utenti e gruppi. • Configura i punti di accesso wireless per l’autenticazione 802.1X e inserisci le corrispondenti informazioni sul server RADIUS. • Se intendi utilizzare l’autenticazione con certificati, assicurati che la tua infrastruttura per le chiavi pubbliche sia configurata in modo da supportare i certificati in base utente e in base dispositivo con il relativo processo di distribuzione delle chiavi. • Verifica la compatibilità del formato del certificato e del server di autenticazione. iOS supporta PKCS#1 (.cer, .crt, .der) e PKCS#12. • Per ulteriore documentazione sugli standard di rete wireless e su Wi-Fi Protected Access (WPA), visita il sito www.wi-fi.org. 11 Scenario di distribuzione WPA2 Enterprise/802.1X Questo esempio illustra una tipica implementazione wireless sicura che si avvale dell’autenticazione basata su RADIUS. Server di autenticazione con supporto 802.1X (RADIUS) Firewall Servizi di directory 3 2 4 1 Certificato o password basato sul tipo EAP Punto di accesso wireless con supporto di 802.1X Servizi di rete 1 iPhone e iPad richiedono l’accesso alla rete. La connessione viene avviata quando l’utente seleziona una rete wireless disponibile, o quando il dispositivo rileva una rete precedentemente configurata. 2 Dopo che è stata ricevuta dal punto di accesso, la richiesta viene trasferita al server RADIUS per l’autenticazione. 3 Il server RADIUS convalida l’account utente utilizzando il servizio directory. 4 Dopo avere completato l’autenticazione dell’utente, il punto di accesso fornisce accesso alla rete in base ai criteri e alle autorizzazioni indicati dal server RADIUS. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419830B Implementare iPhone e iPad Certificati digitali iOS supporta i certificati digitali e offre così agli utenti business un accesso sicuro e ottimale ai servizi delle loro imprese. Un certificato digitale consiste di una chiave pubblica e di altre informazioni sull’utente e sull’autorità che ha emesso il certificato stesso. I certificati digitali sono un modulo di identificazione che consente un’autenticazione semplificata, oltre a garantire l’integrità dei dati e la sicurezza. Sugli iPhone e iPad, i certificati possono essere usati in vari modi. Per esempio, i dati firmati con un certificato digitale dimostrano di non essere stati alterati o modificati. I certificati possono anche essere utilizzati per garantire l’identità dell’autore o del “firmatario” e per criptare i profili di configurazione e le comunicazioni di rete, consentendo un’ulteriore protezione delle informazioni riservate o private. Utilizzo dei certificati in iOS Certificati digitali Formati di certificati e identità supportati • iOS supporta i certificati X.509 con chiavi RSA. • Sono riconosciute le estensioni .cer, .crt, .der, .p12 e .pfx. Certificati root iOS comprende già una serie di certificati root preinstallati. Per visualizzare un elenco dei root di sistema preinstallati, consulta l’articolo del supporto Apple alla pagina http://support.apple.com/kb/ HT4415?viewlocale=it_IT. Se utilizzi un certificato root non preinstallato, come un certificato root autofirmato creato dalla tua azienda, puoi distribuirlo utilizzando uno dei metodi elencati nella sezione “Distribuzione e installazione di certificati” di questo documento. I certificati digitali possono essere utilizzati per autenticare in modo sicuro l’accesso degli utenti ai servizi aziendali, senza che siano necessari nomi, password o token. In iOS, l’autenticazione basata su certificati è supportata per l’accesso alle reti Microsoft Exchange ActiveSync, VPN e Wi-Fi. Autorità certificato Richiesta di autenticazione Servizi aziendali Intranet, e-mail, VPN, Wi-Fi Servizio di directory Certificati server I certificati digitali possono inoltre essere utilizzati per convalidare e criptare le comunicazioni di rete. Ciò offre una comunicazione sicura sia ai siti web interni sia ai siti web esterni. Il browser Safari è in grado di verificare la validità del certificato digitale X.509 presentato e di impostare una sessione sicura con codifica AES fino a 256 bit. Ciò verifica che l’identità del sito sia legittima e che la tua comunicazione con il sito web sia protetta per impedire l’intercettazione di dati riservati o personali. Richiesta HTTPS Servizi di rete Autorità certificato 13 Distribuzione e installazione di certificati Installare certificati su iPhone e iPad è semplice. Ogni volta che ricevi un certificato, basta un tocco per esaminarne i contenuti e un altro per aggiungerlo al tuo dispositivo. Quando un certificato di identità viene installato, all’utente viene richiesta la frase chiave che lo protegge. Se è impossibile verificare l’autenticità di un certificato, verrà visualizzato un avviso prima che venga aggiunto al dispositivo. Installazione di certificati mediante un profilo di configurazione Se utilizzi profili di configurazione per distribuire le impostazioni di servizi aziendali come Exchange, VPN o Wi-Fi, i certificati possono essere aggiunti al profilo per una distribuzione ottimizzata. Installazione di certificati via Mail o Safari Se un certificato viene inviato in un’e-mail, verrà visualizzato come allegato. Inoltre è possibile utilizzare Safari per scaricare certificati da una pagina web. Puoi ospitare il certificato su un sito web protetto e fornire agli utenti l’URL da cui scaricare il certificato sui propri dispositivi. Installazione tramite Simple Certificate Enrollment Protocol (SCEP) SCEP è un protocollo progettato per semplificare la distribuzione di certificati su larga scala. Consente la distribuzione over-the-air agli iPhone e iPad di certificati digitali che possono essere utilizzati per l’autenticazione ai servizi aziendali e la registrazione con un server MDM. Per maggiori informazioni sul protocollo SCEP e la registrazione over-the-air, vai su www. apple.com/it/iphone/business/resources. Rimozione e revoca dei certificati Per rimuovere manualmente un certificato installato, scegli Impostazioni > Generali > Profili. Se rimuovi un certificato che è necessario per accedere a un account o a una rete, il tuo dispositivo non potrà collegarsi a questi servizi. Per rimuovere i certificati over-the-air puoi utilizzare un server MDM, in grado di visualizzare tutti i certificati presenti sul dispositivo e di rimuovere quelli installati. Inoltre, viene supportato l’OCSP (Online Certificate Status Protocol) per controllare lo stato dei certificati. Quando si utilizza un certificato abilitato per OCSP, iOS lo convalida per assicurare che non sia stato revocato prima del completamento dell’attività richiesta. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419821B Implementare iPhone e iPad Panoramica sulla sicurezza iOS, il sistema operativo alla base di iPhone e iPad, integra numerosi livelli di protezione. Per questo iPhone e iPad possono accedere in modo sicuro ai servizi aziendali e proteggere i da importanti. iOS fornisce una crittografia sicura per i dati in trasmissione, metodi di autenticazione collaudati per l’accesso ai servizi dell’azienda e crittografia hardware per tutti i dati archiviati sul dispositivo. Offre anche una solida protezione attraverso l’uso di criteri relativi al codice di accesso che possono essere imposti e forniti over-the-air. Inoltre, se il dispositivo finisce nelle mani sbagliate, gli utenti e gli amministratori IT possono inizializzare operazioni di cancellazione remota per eliminare tutte le informazioni private. Quando si prende in considerazione la sicurezza di iOS per uso aziendale, è utile comprendere i seguenti argomenti. • Sicurezza del dispositivo: metodi che impediscono l’utilizzo non autorizzato del dispositivo. • Sicurezza dei dati: protezione di dati a riposo, compresi i casi in cui un dispositivo viene perso o rubato. • Sicurezza della rete: protocolli di rete e crittografia di dati in trasmissione. • Sicurezza delle app: fondamenta sicure della piattaforma iOS. Sicurezza del dispositivo • Codici forti • Scadenza dei codici • Cronologia del riutilizzo dei codici • Numero massimo di tentativi falliti • Imposizione di codici over-the-air • Protezione progressiva del dispositivo Queste funzioni collaborano fra di loro per creare una piattaforma mobile estremamente sicura. Protezione del dispositivo Stabilire solide politiche per l’accesso all’iPhone e all’iPad è essenziale per proteggere i dati aziendali. L’imposizione di un codice d’accesso è la prima difesa contro gli accessi non autorizzati e può essere configurata e imposta over-the-air. I dispositivi iOS utilizzano il codice di accesso impostato dal singolo utente per generare una chiave di codifica forte che fornisce un ulteriore livello di protezione per le e-mail e i dati sensibili presenti sul dispositivo. Inoltre, iOS fornisce metodi sicuri per configurare il dispositivo in un ambiente aziendale che richiede impostazioni, criteri e limitazioni specifici. Questi metodi offrono opzioni flessibili per stabilire un livello di protezione standard per gli utenti autorizzati. Criteri relativi al codice di accesso Il codice di accesso impedisce agli utenti non autorizzati di utilizzare il dispositivo o di accedere ai dati archiviati al suo interno. iOS consente di scegliere un’ampia gamma di requisiti per il codice d’accesso in base alle tue esigenze di sicurezza, compresi i limiti di tempo, la sicurezza del codice e la frequenza con cui è necessario modificarlo. Sono supportati i seguenti criteri relativi al codice di accesso. • Richiedere l’utilizzo di un codice di accesso • Accettare codici semplici • Richiedere numeri e lettere • Lunghezza minima codice • Numero minimo di caratteri complessi • Tempo massimo di validità del codice • Intervallo prima del blocco automatico • Cronologia codice • Tempo previsto prima del blocco del dispositivo • Numero massimo di tentativi falliti 15 Imposizione dei criteri I criteri sopra descritti possono essere impostati sull’iPhone o iPad in vari modi. Si possono distribuire come parte di un profilo di configurazione che l’utente deve installare. È possibile impostare il profilo in modo che la sua eliminazione sia consentita solo con una password amministrativa, oppure bloccarlo sul dispositivo e impedirne la rimozione senza la parallela cancellazione di tutti i contenuti. Inoltre, i criteri possono essere configurati in remoto utilizzando soluzioni MDM in grado di trasmettere le informazioni direttamente al dispositivo. Questo consente di imporre e aggiornare i criteri senza alcuna operazione da parte dell’utente. In alternativa, se il dispositivo è configurato per accedere a un account di Microsoft Exchange, i criteri di Exchange ActiveSync vengono trasmessi over-the-air. È opportuno ricordare che i criteri disponibili variano in base alla versione di Exchange (2003, 2007 o 2010). Consulta Exchange ActiveSync e dispositivi iOS per conoscere i criteri supportati dalla tua specifica configurazione. Criteri e restrizioni configurabili supportati Funzioni del dispositivo • Consentire l’installazione di app • Consentire Siri • Consentire l’uso della fotocamera • Consentire l’uso di FaceTime • Consentire l’acquisizione di schermate • Consentire la sincronizzazione automatica durante il roaming • Consentire la composizione vocale • Consentire gli acquisti In-App • Richiedere la password dello store per tutti gli acquisti • Consentire giochi multiplayer • Consentire l’aggiunta di amici in Game Center Applicazioni • Consentire l’uso di YouTube • Consentire l’uso di iTunes Store • Consentire l’uso di Safari • Impostare le preferenze di sicurezza di Safari iCloud • Consentire i backup • Consentire la sincronizzazione di documenti e key-value • Consentire Streaming foto Sicurezza e privacy • Consentire l’invio di dati diagnostici a Apple • Consentire all’utente di accettare certificati non verificati • Imporre i backup criptati Classificazione dei contenuti • Consentire musica e podcast espliciti • Impostare la regione della classificazione • Impostare le classificazioni consentite Configurazione sicura del dispositivo I profili di configurazione sono file XML che contengono criteri e limiti di sicurezza, informazioni sulla configurazione VPN, impostazioni Wi-Fi, account e-mail e calendari, e credenziali di autenticazione che consentono agli iPhone e iPad di lavorare con i sistemi della tua azienda. La possibilità di fissare in un profilo di configurazione sia i criteri del codice d’accesso sia le impostazioni del dispositivo garantisce che i dispositivi dell’azienda siano configurati correttamente e secondo gli standard di sicurezza stabiliti. Poiché i profili di configurazione possono essere criptati e bloccati, le impostazioni non possono essere eliminate, modificate o condivise con altri. I profili di configurazione possono essere sia firmati sia criptati. Firmare un profilo di configurazione garantisce che i parametri da esso imposti non possano essere modificati in alcun modo. La crittografia, invece, protegge i contenuti del profilo e consente l’installazione solo sul dispositivo per il quale è stato creato. I profili di configurazione vengono criptati con CMS (Cryptographic Message Syntax, RFC 3852), che supporta 3DES e AES 128. Per distribuire per la prima volta i profili di configurazione criptati, dovrai installarli via USB usando Utility Configurazione oppure in wireless tramite la registrazione over-the-air. Oltre che con questi metodi, successivamente i profili di configurazione criptati possono essere distribuiti allegandoli a un’e-mail, ospitandoli su un sito web accessibile agli utenti o trasferendoli sui dispositivi attraverso soluzioni MDM. Restrizioni del dispositivo Le restrizioni del dispositivo determinano quali sue funzioni possono essere utilizzate dagli utenti. Riguardano in particolare applicazioni che prevedono l’accesso alla rete, come Safari, YouTube o iTunes Store, ma possono anche controllare operazioni come l’installazione di app o l’utilizzo della videocamera. Le restrizioni ti permettono di configurare il dispositivo in modo da soddisfare le tue necessità e di consentire agli utenti di utilizzarlo in modo coerente con le tue pratiche aziendali. Puoi impostarle manualmente su ciascun dispositivo, imporle con un profilo di configurazione o definirle in remoto con una soluzione MDM. Inoltre, come i criteri dei codici di accesso, le restrizioni relative alla videocamera e alla navigazione web possono essere imposte over-the-air tramite Microsoft Exchange Server 2007 e 2010. Oltre a configurare restrizioni e criteri sul dispositivo, il reparto IT può configurare e controllare anche l’applicazione desktop iTunes. Per esempio è possibile impedire l’accesso a contenuti espliciti, definire quali servizi di rete sono fruibili all’interno di iTunes e stabilire se l’utente può installare gli aggiornamenti software. Per saperne di più, vedi Implementare iTunes per i dispositivi iOS. 16 Sicurezza dei dati Sicurezza dei dati • Crittografia hardware • Protezione dei dati • Cancellazione a distanza • Cancellazione locale • Profili di configurazione criptati • Backup iTunes criptati La protezione dei dati archiviati sull’iPhone e sull’iPad è importante per qualsiasi ambiente che disponga di informazioni riservate sull’azienda o sui clienti. Oltre a criptare i dati in trasmissione, iPhone e iPad forniscono la crittografia hardware per i dati archiviati nel dispositivo, inoltre proteggono e-mail e dati delle applicazioni con un ulteriore livello di crittografia. Se un dispositivo viene perso o rubato, è importante disattivarlo e cancellare tutti i suoi dati. Un’altra buona idea è impostare un criterio che cancelli i dati dopo un determinato numero di tentativi falliti di inserimento del codice, deterrente fondamentale contro i tentativi di accesso non autorizzato al dispositivo. Crittografia iPhone e iPad offrono la crittografia hardware, che usa lo standard AES a 256 bit per proteggere tutti i dati sul dispositivo. La crittografia è sempre attiva e non può essere disattivata dagli utenti. È inoltre possibile criptare i dati contenuti nei backup di iTunes sul computer dell’utente. Questa funzione può essere attivata dall’utente oppure applicata tramite le impostazioni di restrizione dei profili di configurazione. iOS supporta lo standard S/MIME nelle e-mail, consentendo agli iPhone e iPad di visualizzare e inviare messaggi di posta criptati. Le restrizioni possono anche essere utilizzate per impedire lo spostamento delle e-mail da un account all’altro, o che un messaggio venga inoltrato da un account diverso da quello di ricezione. Protezione dei dati Partendo dalle capacità di crittografia hardware di iPhone e iPad, è possibile proteggere ulteriormente le e-mail e gli allegati archiviati sul dispositivo usando le funzioni di protezione dati integrate in iOS. La protezione dei dati sfrutta il codice univoco del dispositivo di ogni singolo utente unitamente alla crittografia hardware di iPhone e iPad per generare una chiave di codifica forte che impedisce l’accesso ai dati quando il dispositivo è bloccato. In questo modo, le informazioni più importanti sono al sicuro anche quando il dispositivo è compromesso. Per attivare la protezione dei dati è sufficiente definire un codice di accesso. Poiché l’efficacia di questa funzione dipende dall’efficacia del codice di accesso, è importante che i criteri aziendali richiedano e impongano l’utilizzo di codici formati da più di quattro caratteri. Gli utenti possono verificare se la protezione dei dati è attiva osservando la schermata delle impostazioni del codice di accesso. Inoltre, le soluzioni MDM possono interrogare il dispositivo per ottenere questa informazione. Le API per la protezione dei dati sono anche a disposizione degli sviluppatori, che possono utilizzarle per proteggere i dati delle applicazioni in-house o commerciali. Protezione progressiva del dispositivo iPhone e iPad possono essere configurati in modo da attivare automaticamente la cancellazione dei dati dopo un certo numero di tentativi falliti di inserire il codice d’accesso. Se un utente immette ripetutamente il codice d’accesso errato, iOS viene disabilitato per intervalli sempre più lunghi. In seguito a troppi tentativi non riusciti, tutti i dati e tutte le impostazioni presenti sul dispositivo saranno cancellati. Cancellazione a distanza iOS supporta la cancellazione remota. Se un dispositivo viene perso o rubato, l’amministratore o il proprietario può inviare un comando di cancellazione a distanza che rimuova tutti i dati e disattivi il dispositivo. Se il dispositivo è configurato con un account Exchange, l’amministratore può avviare la cancellazione remota da Exchange Management Console (Exchange Server 2007) oppure Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 o 2007). Gli utenti di Exchange Server 2007 possono anche avviare la cancellazione remota direttamente da Outlook Web Access. In più, le soluzioni MDM possono inviare comandi di cancellazione a distanza anche nel caso in cui non vengano utilizzati i servizi aziendali Exchange. 17 Cancellazione locale I dispositivi possono anche essere configurati in modo da avviare automaticamente una cancellazione in locale dopo un certo numero di tentativi falliti di inserire il codice d’accesso. È un deterrente fondamentale contro i tentativi di accedere al dispositivo con la forza. Una volta stabilito il codice di accesso, gli utenti possono attivare la cancellazione locale direttamente dalle impostazioni. Per impostazione predefinita, iOS cancella automaticamente i dati dopo 10 tentativi di inserimento falliti. Come per gli altri criteri relativi al codice di accesso, il numero massimo di tentativi falliti può essere imposto con un profilo di configurazione, tramite un server MDM oppure over-the-air tramite i criteri di Microsoft Exchange ActiveSync. iCloud iCloud archivia musica, foto, app, calendari, documenti e molto di più, e grazie alla tecnologia push li invia in wireless a tutti i dispositivi dell’utente. Può anche fare backup quotidiani in Wi-Fi di varie informazioni, tra cui impostazioni del dispositivo, dati delle app, messaggi di testo e MMS. iCloud protegge i contenuti criptandoli durante la trasmissione via internet, archiviandoli in formato criptato, e utilizzando token sicuri per l’autenticazione. Inoltre le funzioni di iCloud, come Streaming foto, la sincronizzazione dei documenti e il backup, possono essere disattivate tramite un profilo di configurazione. Per saperne di più sulla sicurezza e sulla privacy di iCloud, vai su http://support.apple.com/kb/HT4865?viewlocale=it_IT. Sicurezza della rete • Protocolli Cisco IPSec, L2TP, VPN PPTP integrati • VPN SSL con applicazioni dall’App Store • SSL/TLS con certificati X.509 • WPA/WPA2 Enterprise con 802.1X • Autenticazione basata su certificati • RSA SecurID, CRYPTOCard Protocolli VPN • Cisco IPSec • L2TP/IPSec • PPTP • VPN SSL Metodi di autenticazione • Password (MSCHAPv2) • RSA SecurID • CRYPTOCard • Certificati digitali X.509 • Segreto condiviso Protocolli di autenticazione 802.1X • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP Formati dei certificati supportati iOS supporta i certificati X.509 con chiavi RSA. Vengono riconosciute le estensioni .cer, .crt e .der. Sicurezza della rete Gli utenti di dispositivi mobili devono poter accedere a reti di informazioni aziendali da qualsiasi parte del mondo, tuttavia è importante anche assicurarsi che gli utenti siano autorizzati e che i loro dati siano protetti nel corso della trasmissione. iOS fornisce tecnologie collaudate per raggiungere questi obiettivi di sicurezza sia per le connessioni a reti Wi-Fi sia per le connessioni a reti cellulari. Oltre alla tua infrastruttura esistente, ogni sessione FaceTime e conversazione iMessage viene criptata dall’inizio alla fine. iOS crea un ID univoco per ciascun utente, garantendo che le comunicazioni siano criptate, instradate e connesse adeguatamente. VPN Molti ambienti aziendali dispongono di alcune forme di Network privati virtuali (VPN, Virtual Private Network). Questi servizi di reti sicure sono già utilizzati e di solito richiedono impostazioni e configurazioni minime per funzionare con iPhone e iPad. iOS si integra fin da subito con un’ampia gamma di tecnologie VPN grazie al supporto per Cisco IPSec, L2TP e PPTP, inoltre funziona con VPN SSL tramite applicazioni di Juniper, Cisco e F5 Networks. Il supporto per questi protocolli assicura il massimo livello di crittografia basata su IP per la trasmissione dei dati sensibili. Oltre a consentire l’accesso sicuro ad ambienti VPN, iOS offre metodi collaudati per l’autenticazione dell’utente. L’autenticazione tramite certificati digitali x.509 standard fornisce agli utenti un accesso ottimizzato alle risorse aziendali e un’alternativa fattibile all’uso di token hardware. Inoltre, l’autenticazione con certificati consente ad iOS di sfruttare la funzione “VPN su richiesta”, rendendo trasparente il processo di autenticazione VPN e fornendo contemporaneamente credenziali sicure per accedere ai servizi di rete. Per ambienti aziendali in cui un token a due fattori è un requisito fondamentale, iOS si integra con RSA SecureID e CRYPTOCard. iOS supporta la configurazione di reti proxy e split tunneling dell’indirizzo IP così che il traffico verso domini di rete pubblici o privati sia inoltrato secondo i criteri specifici della tua azienda. 18 SSL/TLS iOS supporta SSL v3 e Transport Layer Security (TLS v1.0, 1.1 e 1.2), lo standard di sicurezza di ultima generazione per internet. Safari, Calendario, Mail e altre applicazioni internet avviano automaticamente questi meccanismi per instaurare un canale di comunicazione criptato tra iOS e i servizi aziendali. WPA/WPA2 iOS supporta WPA2 Enterprise per fornire un accesso autenticato alla rete wireless della tua azienda. WPA2 Enterprise utilizza la crittografia AES a 128 bit, assicurando al massimo agli utenti che i loro dati rimarranno protetti quando inviano e ricevono comunicazioni su una rete Wi-Fi. Grazie al supporto di 802.1X, iPhone e iPad possono essere integrati in un’ampia gamma di ambienti di autenticazione RADIUS. Sicurezza delle app Sicurezza delle app • Protezione runtime • Firma del codice obbligatoria • Servizi Portachiavi • API CommonCrypto • Protezione dei dati delle applicazioni iOS è una piattaforma fondata sulla sicurezza. La protezione runtime delle applicazioni segue l’approccio “Sandbox” e richiede obbligatoriamente a ogni applicazione la firma per garantire che non sia stata alterata. iOS è anche dotato di un framework sicuro per archiviare in un portachiavi criptato le credenziali di accesso alle applicazioni e alla rete. Inoltre offre agli sviluppatori un’architettura Common Crypto per criptare i dati delle applicazioni. Protezione runtime Le applicazioni sul dispositivo sono “sandboxed”, ossia non possono accedere ai dati archiviati da altre applicazioni. Inoltre i file, le risorse e i kernel del sistema sono protetti dallo spazio in cui sono attive le applicazioni dell’utente. Se un’applicazione richiede l’accesso ai dati di un’altra app, può farlo solo tramite le API e i servizi forniti da iOS. Viene impedita anche la generazione di codice. Firma del codice obbligatoria Tutte le applicazioni iOS devono essere firmate. Tutte le applicazioni fornite con il dispositivo sono firmate da Apple. Le app di altri produttori sono firmate dallo sviluppatore tramite un certificato emesso da Apple. Ciò garantisce che le app non siano state manomesse o alterate. In più, vengono effettuati controlli runtime per garantire che un’applicazione non sia divenuta inattendibile dall’ultima volta in cui è stata usata. L’uso di applicazioni personalizzate o in-house può essere regolato con un profilo di fornitura. Per eseguire l’applicazione, gli utenti devono disporre di un profilo di fornitura. I profili possono essere installati o revocati over-the-air per mezzo di soluzioni MDM. Gli amministratori possono anche limitare l’uso di un’applicazione a specifici dispositivi. Framework di autenticazione sicura iOS fornisce un portachiavi sicuro e criptato per l’archiviazione di identità digitali, nomi utenti e password. I dati nel portachiavi sono suddivisi in modo che le credenziali memorizzate da applicazioni di altri produttori non siano accessibili dalle app con un’identità diversa. Questo fornisce un meccanismo per proteggere le credenziali di autenticazione memorizzate sul iPhone e iPad per una gamma di applicazioni e servizi aziendali. Architettura Common Crypto Gli sviluppatori hanno accesso ad API di crittografia che possono usare per proteggere ulteriormente i dati della loro applicazione. I dati possono essere criptati simmetricamente tramite metodi collaudati come AES, RC4 o 3DES. Inoltre, iPhone e iPad forniscono un’accelerazione hardware per la crittografia AES e SHA1, che massimizza le prestazioni dell’applicazione. 19 Protezione dei dati delle applicazioni Le applicazioni possono sfruttare anche la crittografia hardware integrata dell’iPhone e dell’iPad per proteggere ulteriormente i dati sensibili. Gli sviluppatori possono specificare determinati file per la protezione dei dati, dando istruzione al sistema di criptarne i contenuti per renderli inaccessibili all’applicazione e a qualsiasi potenziale intruso quando il dispositivo è bloccato. App gestite Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni in-house dell’azienda. Definire un’app come gestita consente al server di specificare se l’app in questione e i relativi dati possono essere rimossi dal dispositivo tramite il server MDM. Inoltre, il server può impedire che i dati dell’app gestita vengano inclusi nei backup di iTunes e iCloud. Ciò permette ai responsabili IT di gestire le app che potrebbero contenere informazioni sensibili con un maggiore livello di controllo rispetto a quanto accade con le applicazioni scaricate direttamente dall’utente. Per installare un’app gestita, il server MDM invia un comando di installazione al dispositivo. Prima di poter essere installate, le app gestite richiedono l’accettazione da parte dell’utente. Per maggiori informazioni sulle app gestite, leggi la Panoramica sulla gestione dei dispositivi mobili (MDM) su www.apple.com/business/mdm (in inglese). Dispositivi rivoluzionari, sicurezza a tutto tondo iPhone e iPad forniscono una protezione criptata dei dati in transito, a riposo o conservati in iCloud o iTunes. Che un utente stia accedendo alla posta elettronica aziendale, stia visitando un sito web privato o si stia autenticando alla rete dell’azienda, iOS assicura che solo gli utenti autorizzati possano accedere alle informazioni aziendali riservate. E grazie al supporto per funzioni di rete di livello enterprise e metodi comprensivi per impedire la perdita di dati, puoi distribuire i dispositivi iOS in tutta tranquillità sapendo che stai implementando soluzioni collaudate per la sicurezza dei dispositivi e dei dati. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes e Safari sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iCloud e iTunes Store sono marchi di servizio di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Ottobre 2011 L422500B Implementare iPhone e iPad Gestione dei dispositivi mobili (MDM) iOS supporta la gestione MDM (Mobile Device Management) consentendo alle aziende di gestire implementazioni su larga scala di iPhone e iPad all’interno della propria organizzazione. Le funzioni MDM si basano sulle tecnologie della piattaforma iOS, come i profili di configurazione e la registrazione over-the-air, inoltre è possibile integrare il servizio di notifiche push Apple in soluzioni server in-house o di terze parti. Ciò consente ai reparti IT di introdurre gli iPhone e iPad negli ambienti aziendali in totale sicurezza, di configurare e aggiornare le impostazioni dei dispositivi, di monitorare il rispetto dei criteri aziendali e di cancellare o bloccare i dispositivi gestiti, il tutto in wireless. Gestire iPhone e iPad La gestione dei dispositivi iOS avviene tramite la connessione a un server MDM che può essere realizzato internamente dal reparto IT dell’azienda o acquistato da un fornitore di terze parti. Il dispositivo si collega al server per verificare se ci sono operazioni in sospeso e reagisce mettendo in atto le azioni più opportune. Le operazioni possono riguardare l’aggiornamento dei criteri, la risposta a una richiesta di informazioni sul dispositivo o su una rete oppure l’eliminazione di impostazioni o dati. La maggior parte delle funzioni di gestione viene completata dietro le quinte e non richiede alcun intervento da parte dell’utente. Per esempio, se un reparto IT aggiorna la propria infrastruttura VPN, il server MDM può configurare gli iPhone e iPad con le nuove informazioni degli account over the air. Al prossimo utilizzo della VPN, il nuovo setup sarà già attivo e il dipendente non avrà bisogno di chiamare l’assistenza o di modificare le impostazioni manualmente. Firewall Servizio di notifica push Apple Server MDM di terze parti 21 MDM e il servizio notifiche push di Apple Quando un server MDM vuole comunicare con un iPhone o iPad, una notifica silenziosa con la richiesta di mettersi in contatto con il server viene inviata al dispositivo tramite il servizio notifiche push Apple. Il processo di notifica non implica né l’invio né la ricezione di alcun tipo di informazione proprietaria. La notifica push si limita esclusivamente a riattivare il dispositivo in modo che possa mettersi in contatto con il server MDM. Tutte le informazioni di configurazione, le impostazioni e le interrogazioni vengono inviate direttamente dal server al dispositivo iOS su una connessione SSL/TLS criptata. iOS gestisce tutte le richieste e le azioni MDM in background così da limitare l’impatto su aspetti come la durata della batteria, le prestazioni e l’affidabilità. iOS e SCEP iOS supporta Simple Certificate Enrollment Protocol (SCEP). SCEP è una bozza internet in IETF ed è progettato per semplificare la distribuzione di certificati su larga scala. Ciò consente la registrazione over-the-air su iPhone e iPad di certificati d’identità che possono essere usati per autenticare l’accesso ai servizi aziendali. Perché il server notifiche push riconosca i comandi del server MDM occorre prima installare un certificato, che può essere richiesto e scaricato da Apple Push Certificates Portal. Dopo che il certificato delle notifiche push Apple sarà stato caricato nel server MDM, sarà possibile iniziare a registrare i dispositivi. Per maggiori informazioni sulla richiesta del certificato per il server MDM, vai su www.apple.com/business/mdm. Impostazione della rete per il servizio notifiche push Apple Quando i server MDM e i dispositivi iOS sono dietro un firewall, può essere necessario configurare la rete in modo da consentire il corretto funzionamento del servizio MDM. Per inviare notifiche da un server MDM a un servizio notifiche push Apple, la porta TCP 2195 deve essere aperta. Inoltre occorre aprire anche la porta TCP 2196 per consentire di raggiungere il servizio di feedback. Per i dispositivi che si collegano al servizio push via Wi-Fi, è necessario aprire la porta TCP 5223. L’intervallo IP per il servizio push può variare, ma si suppone che il server MDM si colleghi utilizzando il nome host anziché l’indirizzo IP. Il servizio push usa uno schema di bilanciamento del carico che produce un diverso indirizzo IP per lo stesso nome host. Il nome host è gateway.push.apple.com (e gateway.sandbox.push.apple.com per l’ambiente di sviluppo notifiche push). In più l’intero blocco 17.0.0.0/8 è assegnato a Apple, perciò è possibile impostare regole del firewall per specificare tale intervallo. Per saperne di più consulta il tuo fornitore MDM o leggi il documento Developer Technical Note TN2265 (in inglese) nella iOS Developer Library su http://developer. apple.com/library/ios/#technotes/tn2265/_index.html. Registrazione Una volta configurati il server MDM e la rete, il primo passo verso la gestione di un iPhone o iPad consiste nel registrarlo con un server MDM. Creando una relazione tra il dispositivo e il server è possibile gestire il dispositivo su richiesta, senza interagire con l’utente. Questo passaggio può avvenire collegando l’iPhone o iPad a un computer via USB, ma la maggior parte delle soluzioni distribuiscono il profilo di registrazione in wireless. Alcuni fornitori MDM utilizzano un’app per lanciare il processo, altri chiedono agli utenti di accedere a un portale web. Ciascun metodo ha i suoi vantaggi, ed entrambi sono usati per avviare la registrazione over-the-air tramite Safari. 22 Panoramica sul processo di registrazione Il processo di registrazione over-the-air è costituito da tre fasi riunite in un flusso automatizzato che rappresenta la soluzione più versatile per registrare i dispositivi in modo sicuro in un ambiente aziendale. Le fasi sono le seguenti. 1. Autenticazione dell’utente L’autenticazione dell’utente garantisce che le richieste di registrazione in entrata provengano da utenti autorizzati e che le informazioni del dispositivo siano acquisite prima della registrazione del certificato. Gli amministratori possono chiedere all’utente di iniziare il processo di registrazione attraverso un portale web, un’e-mail, un SMS e perfino un’app. 2. Registrazione con certificato Dopo che l’utente è stato autenticato, iOS genera una richiesta di registrazione del certificato tramite il protocollo SCEP (Simple Certificate Enrollment Protocol). Questa richiesta di registrazione comunica direttamente con l’autorità di certificazione (CA, Certificate Authority) dell’azienda e consente all’iPhone o iPad di ricevere in risposta il certificato d’identità dalla CA. 3. Configurazione del dispositivo Dopo aver installato un certificato d’identità, il dispositivo sarà in grado di ricevere over-the-air un profilo di configurazione criptato. Questo profilo può essere installato solo sul dispositivo a cui è destinato e contiene impostazioni per la connessione al server MDM. Al termine del processo di registrazione, l’utente visualizza la schermata di installazione che riporta i diritti di accesso del server MDM per quel dispositivo. Accettando l’installazione del profilo, il dispositivo dell’utente viene automaticamente registrato, senza bisogno di fare altro. Una volta registrato come dispositivo gestito, l’iPhone o iPad potrà essere configurato dinamicamente, interrogato o cancellato in remoto dal server MDM. Configurazione Per configurare account, criteri e restrizioni, il server MDM invierà al dispositivo i necessari profili di configurazione, che verranno installati automaticamente. I profili di configurazione sono file XML contenenti dati di configurazione e impostazioni che consentono al dispositivo di interagire con i sistemi aziendali, per esempio informazioni sull’account, criteri dei codici di accesso, restrizioni e altri parametri. Abbinata alla procedura di registrazione descritta in precedenza, la configurazione dei dispositivi fornisce al reparto IT la garanzia che solo utenti fidati possano accedere ai servizi aziendali e che i loro dispositivi siano correttamente configurati secondo criteri stabiliti. Poiché i profili di configurazione possono essere criptati e bloccati, le impostazioni non possono essere eliminate, modificate o condivise con altri. 23 Impostazioni configurabili Account • Exchange ActiveSync • E-mail IMAP/POP • Wi-Fi • VPN • LDAP • CardDAV • CalDAV • Calendari sottoscritti Criteri relativi al codice di accesso • Richiedere l’utilizzo di un codice di accesso • Accettare codici semplici • Richiedere numeri e lettere • Lunghezza minima codice • Numero minimo di caratteri complessi • Tempo massimo di validità del codice • Intervallo prima del blocco automatico • Cronologia codice • Tempo previsto prima del blocco del dispositivo • Numero massimo di tentativi falliti Funzioni del dispositivo • Consentire l’installazione di app • Consentire Siri • Consentire l’uso della fotocamera • Consentire l’uso di FaceTime • Consentire l’acquisizione di schermate • Consentire la sincronizzazione automatica durante il roaming • Consentire la composizione vocale • Consentire gli acquisti In-App • Richiedere la password dello store per tutti gli acquisti • Consentire giochi multiplayer • Consentire l’aggiunta di amici in Game Center Applicazioni • Consentire l’uso di YouTube • Consentire l’uso di iTunes Store • Consentire l’uso di Safari • Impostare le preferenze di sicurezza di Safari Sicurezza e privacy iCloud • Consentire l’invio di dati diagnostici a Apple • Consentire i backup • Consentire all’utente di accettare certificati • Consentire la sincronizzazione di non verificati documenti e key-value • Imporre i backup criptati • Consentire Streaming foto Altre impostazioni • Credenziali • Web clip • Impostazioni SCEP • Impostazioni APN Classificazione dei contenuti • Consentire musica e podcast espliciti • Impostare la regione della classificazione • Impostare le classificazioni consentite 24 Interrogazione dei dispositivi Oltre a configurare i dispositivi, un server MDM è in grado di richiedere loro una serie di informazioni che possono essere usate per assicurarsi che i dispositivi rispettino sempre i criteri richiesti. Richieste ammesse Informazioni sul dispositivo • Identificatore univoco del dispositivo (UDID) • Nome del dispositivo • Versione iOS e build • Nome e numero modello • Numero di serie • Capacità e spazio disponibile • IMEI • Firmware modem • Livello batteria Informazioni di rete • ICCID • Indirizzi MAC Bluetooth® e Wi-Fi • Rete operatore corrente • Rete operatore abbonato • Versione impostazioni operatore • Numero di telefono • Roaming dati (attivo/disattivo) Informazioni su conformità e sicurezza • Profili di configurazione installati • Certificati installati con date di scadenza • Elenco delle restrizioni imposte • Capacità di crittografia hardware • Presenza codice d’accesso Applicazioni • Applicazioni installate (ID, nome, versione, dimensioni dell’applicazione e dei dati) • Profili di fornitura installati con data di scadenza Gestione I server MDM possono compiere una varietà di operazioni sui dispositivi iOS. Per esempio possono installare e rimuovere i profili di configurazione e di fornitura, gestire le app, terminare la relazione MDM e cancellare in remoto un dispositivo. Impostazioni gestite Durante il processo iniziale di impostazione del dispositivo, il server MDM invia all’iPhone o iPad dei profili di configurazione che vengono installati dietro le quinte. Col tempo potrebbe rendersi necessario aggiornare o cambiare le impostazioni e i criteri applicati in fase di registrazione. Per fare queste modifiche, il server MDM può installare un nuovo profilo di configurazione e modificare o rimuovere in qualsiasi momento i profili esistenti. Inoltre può essere necessario installare sui dispositivi iOS configurazioni specifiche per un contesto, a seconda dell’ubicazione di un utente o del suo ruolo nell’azienda. Se per esempio un utente finale si trova all’estero, il server MDM può richiedere che la sincronizzazione delle e-mail avvenga manualmente invece che in automatico, e può perfino disattivare in remoto i servizi voce o dati per impedire all’utente di incorrere nei costi di roaming applicati da un operatore wireless. App gestite Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni in-house dell’azienda. Il server può rimuovere su richiesta le app gestite e i relativi dati, o specificare se le app devono essere eliminate contestualmente alla rimozione del profilo MDM. Inoltre, il server MDM può impedire che i dati dell’app gestita vengano inclusi nei backup di iTunes e iCloud. 25 Per installare un’app gestita, il server MDM invia un comando di installazione al dispositivo. Prima di poter essere installate, le app gestite richiedono l’accettazione da parte dell’utente. Quando il server MDM richiede l’installazione di un’app gestita dall’App Store, questa sarà ottenuta con l’account iTunes utilizzato al momento della sua installazione. Per le app a pagamento, il server MDM deve inviare un codice di riscatto del Volume Purchasing Program (VPP). Per maggiori informazioni sul programma VPP vai su www.apple.com/business/vpp/. Le app dell’App Store non possono essere installate sul dispositivo se l’App Store è stato disattivato. Rimuovere o cancellare i dispositivi Se un dispositivo non risulta conforme, viene perso o smarrito, o se un dipendente lascia l’azienda, il server MDM può agire in vari modi per proteggere le informazioni aziendali. Un amministratore IT può terminare la relazione MDM con un dispositivo rimuovendo il profilo di configurazione che contiene le informazioni sul server. Questo comporta la cancellazione di tutti gli account, delle impostazioni e delle app installate dal server. In alternativa è possibile conservare il profilo di configurazione e utilizzare il server MDM solo per eliminare i profili di configurazione, i profili di fornitura e le app gestite che si vogliono cancellare. Con questo approccio, il dispositivo resta gestito dal server MDM e in seguito non dovrà essere registrato nuovamente. Entrambi i metodi offrono al reparto IT la possibilità di assicurarsi che le informazioni siano accessibili solo agli utenti e ai dispositivi conformi, e garantisce che i dati aziendali vengano rimossi senza intaccare i dati personali dell’utente, come musica, foto e app. Per eliminare tutti i contenuti e i dati in modo permanente e riportare il dispositivo alle impostazioni di fabbrica, il server MDM può avviare la cancellazione a distanza dell’iPhone o iPad. Se l’utente sta ancora cercando il dispositivo smarrito, il reparto IT può anche inviare un comando per bloccare lo schermo: per sbloccarlo sarà necessario immettere il codice di accesso. Se l’utente ha solo dimenticato il proprio codice di accesso, il server MDM può rimuoverlo dal dispositivo e richiedere all’utente di crearne uno nuovo entro 60 minuti. Comandi di gestione supportati Impostazioni gestite • Installare un profilo di configurazione • Rimuovere un profilo di configurazione • Roaming dati • Roaming voce (disponibile solo con alcuni operatori) App gestite • Installare un’app gestita • Rimuovere un’app gestita • Elenco di tutte le app gestite • Installare un profilo di fornitura • Rimuovere un profilo di fornitura Comandi di sicurezza • Cancellazione a distanza • Blocco a distanza • Cancellazione del codice 26 Panoramica del processo Il seguente esempio mostra l’implementazione di base di un server MDM. 1 Firewall 3 2 4 Servizio di notifica push Apple Server MDM di terze parti 5 1 Un profilo di configurazione contenente le informazioni del server MDM viene inviato al dispositivo. L’utente riceve le informazioni relative a cosa verrà gestito e/o richiesto dal server. 2 L’utente installa il profilo per consentire la gestione del dispositivo. 3 La registrazione del dispositivo avviene quando il profilo è installato. Il server autentica il dispositivo e autorizza l’accesso. 4 Il server invia notifiche push chiedendo al dispositivo di verificare operazioni e richieste. 5 Il dispositivo si collega direttamente al server su HTTPS. Il server invia i comandi o le richieste di informazioni. Per maggiori informazioni sulle funzioni MDM, vai su www.apple.com/business/mdm. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes e Safari sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iCloud e iTunes Store sono marchi di servizio di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Il marchio e il logo Bluetooth sono di marchi registrati di Bluetooth SIG, Inc. e qualsiasi utilizzo da parte di Apple è concesso in licenza. UNIX è marchio registrato di The Open Group. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Ottobre 2011 L422501B