iPhone e iPad per le imprese Esempi di utilizzo in azienda

iPhone e iPad per le imprese
Esempi di utilizzo in azienda
Ottobre 2011
Scopri come iPhone e iPad si integrano perfettamente negli ambienti enterprise grazie
agli scenari di implementazione.
• Microsoft Exchange ActiveSync
• Servizi basati su standard
• Network Privati Virtuali (VPN)
• Wi-Fi
• Certificati digitali
• Panoramica sulla sicurezza
• Gestione dei dispositivi mobili (MDM)
Implementare iPhone e iPad
Exchange ActiveSync
iPhone e iPad comunicano direttamente con il tuo Microsoft Exchange Server
tramite Microsoft Exchange ActiveSync (EAS), attivando la tecnologia push per e-mail,
calendari, contatti e task. Exchange ActiveSync fornisce inoltre agli utenti l’accesso alla
consultazione dell’elenco indirizzi globale (Global Address List, GAL) e permette agli
amministratori di imporre criteri per il codice di accesso e di cancellazione remota. iOS
supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync.
Se nella tua azienda è attivo Exchange ActiveSync, disponi dei servizi necessari per
supportare iPhone e iPad e non occorre un’ulteriore configurazione. Se hai Exchange
Server 2003, 2007 o 2010, ma la tua azienda non conosce Exchange ActiveSync, leggi i
passaggi che seguono.
Configurazione di Exchange ActiveSync
Criteri di protezione Exchange
ActiveSync
• Cancellazione a distanza
• Password richiesta sul dispositivo
• Lunghezza minima password
• Numero massimo di tentativi falliti per la
password (prima della cancellazione locale)
• Numeri e lettere entrambi richiesti
• Tempo di inattività in minuti (da 1 a 60
minuti)
Altri criteri di Exchange ActiveSync (solo
per Exchange 2007 e 2010)
• Concessione o divieto di password semplice
• Scadenza della password
• Cronologia delle password
• Intervallo di aggiornamento dei criteri
• Numero minimo di caratteri complessi
nella password
• Richiesta di sincronizzazione manuale
durante il roaming
• Videocamera consentita
• Navigazione web consentita
Panoramica della configurazione di rete
• Verifica che la porta 443 del firewall sia aperta. Se l’azienda consente l’utilizzo di Outlook
Web Access, la porta 443 è probabilmente già aperta.
• Sul server front-end, verifica che sia installato un certificato del server e attiva SSL per la
directory virtuale di Exchange ActiveSync in IIS.
• Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che sia
installato un certificato del server e aggiorna il DNS pubblico per risolvere le connessioni
in arrivo.
• Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente
al server Exchange ActiveSync per i client intranet e internet. Questo è necessario per
consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il server
quando sono attivi entrambi i tipi di connessione.
• Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione
per l’accesso al client web di Exchange. Per maggiori informazioni, consulta la
documentazione Microsoft.
• Per tutti i firewall e i dispositivi di rete, imposta su 30 minuti il timeout della
sessione inattiva. Per informazioni sugli intervalli di heartbeat e timeout, consulta la
documentazione Microsoft Exchange all’indirizzo http://technet.microsoft.com/en-us/
library/cc182270.aspx.
• Configura le impostazioni di protezione dei dispositivi, criteri e funzioni mobili
utilizzando il Gestore di sistema di Exchange. Per quanto riguarda Exchange Server 2007
e 2010, questa operazione viene effettuata in Exchange Management Console.
• Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration
Web Tool, necessario per avviare operazioni di cancellazione remota. Per quanto riguarda
Exchange Server 2007 e 2010, la cancellazione remota può essere inizializzata anche
utilizzando Outlook Web Access o Exchange Management Console.
3
Autenticazione base (nome utente e password)
• Abilita Exchange ActiveSync per utenti/gruppi specifici usando il servizio Active
Directory. In Exchange Server 2003, 2007 e 2010 è abilitato per impostazione
predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto riguarda
Exchange Server 2007 e 2010, fai riferimento a “Configurazione destinatario” in
Exchange Management Console.
• Per impostazione predefinita, l’autenticazione degli utenti di Exchange ActiveSync è
quella di base. Consigliamo di attivare SSL per l’autenticazione di base per garantire
che le credenziali siano criptate durante l’autenticazione.
Altri servizi Exchange ActiveSync
• Consultazione elenco globale degli indirizzi
(GAL)
• Accettazione e creazione di inviti di
calendario
• Sincronizzazione task
• Contrassegni messaggi e-mail
• Sincronizzazione contrassegni Rispondi e
Inoltra con Exchange Server 2010
• Ricerca mail su Exchange Server 2007 e 2010
• Supporto per più account Exchange
ActiveSync
• Autenticazione basata su certificati
• E-mail push alle cartelle selezionate
• Individuazione automatica
Autenticazione basata su certificati
• Installa i servizi dei certificati aziendali su un server membro o un controller di dominio
nel tuo dominio (che sarà il tuo server Autorità di certificazione).
• Configura IIS sul tuo server front-end o Client Access di Exchange per accettare
l’autenticazione basata su certificati per la directory virtuale di Exchange ActiveSync.
• Per consentire o richiedere certificati per tutti gli utenti, disattiva “Autenticazione di
base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”.
• Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la
chiave pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e
utilizza un profilo di configurazione per fornirla agli iPhone e iPad. L’autenticazione con
certificati può essere configurata unicamente tramite un profilo di configurazione.
Per maggiori informazioni sui servizi certificati, consulta le risorse Microsoft.
4
Scenario di implementazione di Exchange ActiveSync
Questo esempio mostra come iPhone e iPad si collegano a una tipica implementazione di Microsoft Exchange Server 2003, 2007 o 2010.
Chiave privata (certificato)
Firewall
Server di certificati
Firewall
Profilo di configurazione
443
3
1
Internet
Active Directory
Chiave pubblica
(certificato)
2
Server proxy
Server Client Access o
front-end di Exchange
4
6
Gateway di posta o
server Trasporto Edge*
Server testa di ponte o
Trasporto Hub
5
Cassetta postale di Exchange o server back-end
*A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge potrebbe risiedere nella rete perimetrale (DMZ, Demilitarized Zone, zona demilitarizzata).
1
iPhone e iPad richiedono l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook
Web Access e per altri servizi web protetti, quindi in molte implementazioni è già aperta e configurata per consentire il traffico HTTPS criptato
con SSL.
2
Il server ISA fornisce l’accesso al server Client Access o front-end di Exchange. ISA è configurato come proxy oppure, in molti casi, come proxy
inverso per indirizzare il traffico al server Exchange.
3
Il server Exchange autentica l’utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l’autenticazione con
certificati).
4
Se l’utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la
cassetta postale appropriata sul server back-end (tramite il catalogo globale di Active Directory).
5
La connessione Exchange ActiveSync viene stabilita. Gli aggiornamenti e le modifiche vengono trasmessi over-the-air, e le modifiche apportate
sull’iPhone o iPad vengono riportate sul server Exchange.
6
Anche i messaggi e-mail inviati vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per indirizzare i
messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata tramite un server testa di ponte (o Trasporto Hub) a un
gateway di posta (o server Trasporto Edge) esterno tramite SMTP. A seconda della configurazione di rete, il gateway di posta o il server Trasporto
Edge esterno potrebbero risiedere nella rete perimetrale o all’esterno del firewall.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati potrebbero
essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna
responsabilità in merito al suo utilizzo. Ottobre 2011 L419822B
Implementare iPhone e iPad
Servizi basati su standard
Poiché supporta il protocollo di posta IMAP, i servizi di directory LDAP e i protocolli per
calendari e contatti CalDAV e CardDAV, iOS può integrarsi con praticamente tutti gli
ambienti di posta, calendario e contatti basati su standard. Se il tuo ambiente di rete è
configurato per richiedere autenticazione dell’utente e SSL, iPhone e iPad forniscono un
approccio molto sicuro all’accesso a e-mail, calendario, task e contatti dell’azienda.
Porte comuni
• IMAP/SSL: 993
• SMTP/SSL: 587
• LDAP/SSL: 636
• CalDAV/SSL: 8443, 443
• CardDAV/SSL: 8843, 443
Soluzioni e-mail con supporto
IMAP o POP
iOS supporta i server di posta standard
di settore abilitati per IMAP4 e POP3 su
una serie di piattaforme server, tra cui
Windows, UNIX, Linux e Mac OS X.
Standard CalDAV e CardDAV
iOS supporta i protocolli CalDAV
per i calendari e CardDAV per i
contatti. Entrambi i protocolli sono
stati standardizzati da IETF. Ulteriori
informazioni sono disponibili sul sito del
consorzio CalConnect agli indirizzi http://
caldav.calconnect.org/ e http://carddav.
calconnect.org/.
In un’implementazione tipica, iPhone e iPad stabiliscono un accesso diretto ai server di
posta IMAP e SMTP per ricevere e inviare e-mail over-the-air, e possono sincronizzare
le note in wireless con i server IMAP. I dispositivi iOS possono inoltre connettersi alle
directory aziendali LDAPv3 della tua società fornendo agli utenti l’accesso a contatti
aziendali nelle app Mail, Contatti e Messaggi. La sincronizzazione con il tuo server CalDAV
consente a chi usa un iPad di creare e accettare inviti, di ricevere gli aggiornamenti
e di sincronizzare i task con l’app Promemoria, tutto in wireless. E grazie al supporto
di CardDAV gli utenti possono mantenere un set di contatti sincronizzati con il server
CardDAV utilizzando il formato vCard. Tutti i server di rete possono essere posizionati
all’interno di una sottorete DMZ, dietro un firewall aziendale o in entrambe queste
situazioni contemporaneamente. Con SSL, iOS supporta la crittografia a 128 bit e i
certificati root X.509 generati dalle principali autorità di certificazione. Impostazione di rete
L’amministratore IT o di rete dovrà completare questi passaggi fondamentali per abilitare
l’accesso diretto dagli iPhone e iPad ai servizi IMAP, LDAP, CalDAV e CardDAV.
• Aprire le seguenti porte sul firewall: 993 per la posta IMAP, 587 per la posta SMTP, 636
per servizi directory LDAP, 8443 per i calendari CalDAV e 8843 per i contatti CardDAV.
È consigliabile inoltre che la comunicazione tra il tuo server proxy e i server back-end
IMAP, LDAP, CalDAV e CardDAV sia impostata per utilizzare SSL e che i certificati digitali
sui tuoi server di rete siano firmati da un’autorità di certificazione (CA) affidabile, come
per esempio VeriSign. Questo passaggio è molto importante perché garantisce che
iPhone e iPad riconoscano il tuo server proxy come un’entità attendibile all’interno
dell’infrastruttura aziendale.
• Per quanto riguarda i messaggi e-mail SMTP in uscita, la porta 587, 465 o 25 deve essere
aperta per consentire l’invio dal dispositivo. iOS cerca automaticamente la porta 587,
quindi la 465 e infine la 25. La porta 587 è la più affidabile e sicura, perché richiede
l’autenticazione dell’utente. La porta 25 non richiede l’autenticazione e, per impostazione
predefinita, viene bloccata da alcuni ISP per impedire lo spamming.
6
Scenario di implementazione Questo esempio mostra come iPhone e iPad si collegano a una tipica implementazione IMAP, LDAP, CalDAV e CardDAV.
Firewall
Firewall
3
636
(LDAP)
Server directory LDAP
8443
(CalDAV)
4
Server CalDAV
1
2
Server proxy inverso
Internet
8843
(CardDAV)
993 (IMAP)
587 (SMTP)
5
Server CardDAV
6
Server di posta
1
iPhone e iPad richiedono l’accesso ai servizi di rete tramite le porte designate.
2
A seconda del servizio, gli utenti devono autenticarsi con il proxy inverso o direttamente con il server per ottenere l’accesso ai
dati aziendali. In tutti i casi le connessioni vengono inoltrate dal proxy inverso, che funge da gateway sicuro, generalmente dietro
il firewall internet aziendale. Dopo aver effettuato l’autenticazione, gli utenti possono accedere ai loro dati aziendali sui server
back-end.
3
iPhone e iPad offrono servizi di ricerca nelle directory LDAP, così gli utenti potranno cercare contatti e altre informazioni della
rubrica sul server LDAP.
4
Per quanto riguarda i calendari CalDAV, gli utenti possono accedere ai calendari e aggiornarli sul dispositivo.
5
I contatti CardDAV sono archiviati sul server ed è anche possibile accedervi localmente sugli iPhone e iPad. Le modifiche
apportate ai campi dei contatti CardDAV vengono sincronizzate sul server.
6
Per quanto riguarda i servizi di posta IMAP, i messaggi esistenti e nuovi possono essere letti sull’iPhone o iPad tramite la
connessione proxy con il server di posta. La posta in uscita viene inviata al server SMTP, e copie dei messaggi vengono salvate
nella cartella Posta inviata dell’utente.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. UNIX è marchio registrato di The Open Group. Tutti gli altri
prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo
informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419827B
Implementare iPhone e iPad
Network Privati Virtuali (VPN)
I protocolli VPN standard di settore consentono l’accesso sicuro alle reti aziendali dagli
iPhone e iPad. Gli utenti possono connettersi facilmente ai sistemi aziendali con il client
VPN integrato in iOS o tramite applicazioni di Juniper, Cisco e F5 Networks.
iOS supporta fin da subito Cisco IPSec, L2TP su IPSec e PPTP. Se la tua organizzazione
supporta uno di questi protocolli, non servono altre configurazioni di rete o applicazioni
aggiuntive di terze parti per collegare iPhone e iPad alla VPN.
iOS supporta inoltre VPN SSL, che consente di accedere ai server VPN SSL Juniper serie SA,
Cisco ASA e F5 BIG-IP Edge Gateway. Gli utenti devono semplicemente scaricare dall’App
Store un’applicazione client VPN sviluppata da Juniper, Cisco o F5. Come altri protocolli VPN
supportati da iOS, anche VPN SSL può essere configurato manualmente sul dispositivo o
tramite un profilo di configurazione.
iOS supporta le tecnologie standard di settore come IPv6, i server proxy e lo split
tunneling, assicurando la disponibilità di tutte le funzioni VPN durante il collegamento alle
reti aziendali. Inoltre iOS è compatibile con un’ampia gamma di metodi di autenticazione,
tra cui password, token a due fattori e certificati digitali. Per semplificare il collegamento
negli ambienti dove viene utilizzata l’autenticazione basata su certificati, iOS include
la funzione “VPN su richiesta”, che avvia dinamicamente una sessione VPN quando ci si
collega a domini specificati.
Protocolli e metodi di autenticazione supportati
SSL VPN
Supporta l’autenticazione utente tramite password, token a due fattori e certificati.
Cisco IPSec
Supporta l’autenticazione utente tramite password, token a due fattori e autenticazione
automatica mediante segreto condiviso e certificati.
L2TP over IPSec
Supporta l’autenticazione utente tramite password MS-CHAP v2, token a due fattori e
autenticazione automatica mediante segreto condiviso.
PPTP
Supporta l’autenticazione utente mediante password MS-CHAP v2 e token a due fattori.
8
VPN su richiesta
Per l’autenticazione basata su certificati, iOS offre la funzione “VPN su richiesta”, che
stabilisce automaticamente una connessione quando si accede a domini predefiniti
fornendo un’immediata connettività VPN.
Questa funzione di iOS non richiede impostazioni particolari sul server. Il setup di “VPN
su richiesta” viene effettuato tramite un profilo di configurazione oppure manualmente
sul dispositivo.
“VPN su richiesta” offre le seguenti opzioni.
Sempre
Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio
specificato.
Mai
Non viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio
specificato, ma se la funzione VPN è già attiva verrà utilizzata.
Stabilisci se necessario
Viene stabilita una connessione VPN per gli indirizzi che corrispondono al dominio
specificato solo dopo che si è verificato un errore di ricerca DNS.
Configurazione VPN
• iOS si integra con la maggior parte delle reti VPN esistenti, quindi dovrebbe bastare
una configurazione minima per abilitare l’accesso alla tua rete. Il modo migliore per
prepararsi all’implementazione consiste nel verificare che iOS supporti i protocolli VPN
e i metodi di autenticazione in uso nella tua azienda.
• È consigliabile rivedere il percorso di autenticazione al tuo server di autenticazione
per verificare che gli standard supportati da iOS siano abilitati all’interno della tua
implementazione.
• Se prevedi di utilizzare l’autenticazione con certificati, assicurati che la tua infrastruttura
per le chiavi pubbliche sia configurata in modo da supportare i certificati in base
utente e in base dispositivo con il relativo processo di distribuzione delle chiavi.
• Se desideri configurare il proxy con impostazioni specifiche per determinati URL, metti
un file PAC su un server web al quale si possa accedere con le normali impostazioni
VPN, assicurandoti che sia del tipo MIME application/x-ns-proxy-autoconfig.
Configurazione proxy
Per tutte le configurazioni è anche possibile specificare un proxy VPN. Per configurare
un solo proxy per tutte le connessioni, utilizza l’impostazione manuale e, se necessario,
fornisci i dati relativi a indirizzo, porta e autenticazione. Per dotare il dispositivo di
un file di configurazione proxy automatico mediante PAC o WPAD, puoi utilizzare
l’impostazione automatica. Per PAC, indica l’URL del file corrispondente. Per WPAD,
iPhone e iPad ottengono le necessarie impostazioni dai server DHCP e DNS.
9
Scenario di implementazione
L’esempio illustra una distribuzione tipica con un server/concentratore VPN oltre a un server di autenticazione che controlla l’accesso
ai servizi di rete aziendali.
Firewall
Firewall
3a
3b
Autenticazione
Certificato o token
Server di autenticazione VPN
Generazione token o autenticazione certificato
Servizio di directory
2
1
4
Server/Concentratore VPN
Rete privata
5
Internet pubblico
Server proxy
1
iPhone e iPad richiedono l’accesso a servizi di rete.
2
Il server/concentratore VPN riceve la richiesta e la passa in seguito al server di autenticazione.
3
In un ambiente con token a due fattori, il server di autenticazione gestisce la generazione di una chiave con token sincronizzato temporalmente
insieme al key server. Se viene utilizzato un metodo di autenticazione con certificati, è necessario distribuire un certificato di identità prima
dell’autenticazione. Se viene utilizzato un metodo con password, il processo di autenticazione procede con la convalida dell’utente.
4
Dopo che l’utente è stato autenticato, il server di autenticazione convalida i criteri degli utenti e dei gruppi.
5
Dopo che i criteri degli utenti e dei gruppi sono stati validati, il server VPN fornisce accesso criptato e via tunnel ai servizi di rete.
6
Se viene utilizzato un server proxy, iPhone e iPad accedono alle informazioni al di fuori del firewall collegandosi tramite il server proxy.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Tutti gli
altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a
puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419828B
Implementare iPhone e iPad
Wi-Fi
Fin da subito, iPhone e iPad possono collegarsi in modo sicuro alle reti Wi-Fi aziendali o
guest, consentendo un accesso semplice e veloce alle reti wireless disponibili all’interno
della struttura o in viaggio.
iOS supporta i protocolli di rete wireless standard di settore, tra cui WPA2 Enterprise,
grazie ai quali è possibile configurare rapidamente le reti aziendali e accedervi in modo
sicuro. WPA2 Enterprise utilizza la crittografia AES a 128 bit, un collaudato metodo di
codifica basato sull’uso di blocchi che fornisce un elevato livello di protezione dei dati.
Grazie al supporto di 802.1X, iOS può essere integrato in un’ampia gamma di ambienti
di autenticazione RADIUS. I metodi di autenticazione wireless 802.1X supportati da
iPhone e iPad comprendono: EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 e
LEAP.
Protocolli di sicurezza wireless
• WEP
• WPA Personal
• WPA Enterprise
• WPA2 Personal
• WPA2 Enterprise
Metodi di autenticazione 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAPv0 (EAP-MS-CHAPv2)
• PEAPv1 (EAP-GTC)
• LEAP Gli utenti possono impostare iPhone e iPad affinché si colleghino automaticamente alle
reti Wi-Fi disponibili. Nel caso siano richieste credenziali di accesso o altre informazioni,
è possibile collegarsi direttamente dalle impostazioni Wi-Fi o da applicazioni come Mail,
senza aprire una sessione separata del browser. Inoltre, la connettività Wi-Fi persistente e
a bassa potenza consente alle app di utilizzare le reti Wi-Fi per inviare notifiche push.
Per un setup e un’implementazione veloci, puoi configurare le impostazioni per rete
wireless, sicurezza, proxy e autenticazione tramite i profili di configurazione.
Configurazione di WPA2 Enterprise
• Verifica la compatibilità degli apparati di rete e seleziona un tipo di autenticazione (tipo
EAP) supportato da iOS.
• Verifica che 802.1X sia attivo sul server di autenticazione e, se necessario, installa un
certificato server e assegna permessi per l’accesso alla rete a utenti e gruppi.
• Configura i punti di accesso wireless per l’autenticazione 802.1X e inserisci le
corrispondenti informazioni sul server RADIUS.
• Se intendi utilizzare l’autenticazione con certificati, assicurati che la tua infrastruttura per
le chiavi pubbliche sia configurata in modo da supportare i certificati in base utente e in
base dispositivo con il relativo processo di distribuzione delle chiavi.
• Verifica la compatibilità del formato del certificato e del server di autenticazione. iOS
supporta PKCS#1 (.cer, .crt, .der) e PKCS#12.
• Per ulteriore documentazione sugli standard di rete wireless e su Wi-Fi Protected Access
(WPA), visita il sito www.wi-fi.org.
11
Scenario di distribuzione WPA2 Enterprise/802.1X
Questo esempio illustra una tipica implementazione wireless sicura che si avvale dell’autenticazione basata su RADIUS.
Server di autenticazione con
supporto 802.1X (RADIUS)
Firewall
Servizi di directory
3
2
4
1
Certificato o
password basato
sul tipo EAP
Punto di accesso
wireless
con supporto di 802.1X
Servizi di rete
1
iPhone e iPad richiedono l’accesso alla rete. La connessione viene avviata quando l’utente seleziona una rete wireless disponibile, o quando il
dispositivo rileva una rete precedentemente configurata.
2
Dopo che è stata ricevuta dal punto di accesso, la richiesta viene trasferita al server RADIUS per l’autenticazione.
3
Il server RADIUS convalida l’account utente utilizzando il servizio directory.
4
Dopo avere completato l’autenticazione dell’utente, il punto di accesso fornisce accesso alla rete in base ai criteri e alle autorizzazioni indicati
dal server RADIUS.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati potrebbero
essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna
responsabilità in merito al suo utilizzo. Ottobre 2011 L419830B
Implementare iPhone e iPad
Certificati digitali
iOS supporta i certificati digitali e offre così agli utenti business un accesso sicuro
e ottimale ai servizi delle loro imprese. Un certificato digitale consiste di una
chiave pubblica e di altre informazioni sull’utente e sull’autorità che ha emesso il
certificato stesso. I certificati digitali sono un modulo di identificazione che consente
un’autenticazione semplificata, oltre a garantire l’integrità dei dati e la sicurezza.
Sugli iPhone e iPad, i certificati possono essere usati in vari modi. Per esempio, i dati
firmati con un certificato digitale dimostrano di non essere stati alterati o modificati.
I certificati possono anche essere utilizzati per garantire l’identità dell’autore o del
“firmatario” e per criptare i profili di configurazione e le comunicazioni di rete,
consentendo un’ulteriore protezione delle informazioni riservate o private.
Utilizzo dei certificati in iOS
Certificati digitali
Formati di certificati e identità
supportati
• iOS supporta i certificati X.509 con chiavi
RSA.
• Sono riconosciute le estensioni .cer, .crt, .der, .p12 e .pfx.
Certificati root
iOS comprende già una serie di certificati
root preinstallati. Per visualizzare un
elenco dei root di sistema preinstallati,
consulta l’articolo del supporto Apple
alla pagina http://support.apple.com/kb/
HT4415?viewlocale=it_IT. Se utilizzi un
certificato root non preinstallato, come un
certificato root autofirmato creato dalla
tua azienda, puoi distribuirlo utilizzando
uno dei metodi elencati nella sezione
“Distribuzione e installazione di certificati”
di questo documento.
I certificati digitali possono essere utilizzati per autenticare in modo sicuro l’accesso
degli utenti ai servizi aziendali, senza che siano necessari nomi, password o token. In iOS,
l’autenticazione basata su certificati è supportata per l’accesso alle reti Microsoft Exchange
ActiveSync, VPN e Wi-Fi.
Autorità certificato
Richiesta di autenticazione
Servizi aziendali Intranet, e-mail, VPN, Wi-Fi
Servizio di directory
Certificati server
I certificati digitali possono inoltre essere utilizzati per convalidare e criptare le
comunicazioni di rete. Ciò offre una comunicazione sicura sia ai siti web interni sia ai
siti web esterni. Il browser Safari è in grado di verificare la validità del certificato digitale
X.509 presentato e di impostare una sessione sicura con codifica AES fino a 256 bit. Ciò
verifica che l’identità del sito sia legittima e che la tua comunicazione con il sito web sia
protetta per impedire l’intercettazione di dati riservati o personali.
Richiesta HTTPS
Servizi di rete
Autorità certificato
13
Distribuzione e installazione di certificati
Installare certificati su iPhone e iPad è semplice. Ogni volta che ricevi un certificato,
basta un tocco per esaminarne i contenuti e un altro per aggiungerlo al tuo dispositivo.
Quando un certificato di identità viene installato, all’utente viene richiesta la frase
chiave che lo protegge. Se è impossibile verificare l’autenticità di un certificato, verrà
visualizzato un avviso prima che venga aggiunto al dispositivo.
Installazione di certificati mediante un profilo di configurazione
Se utilizzi profili di configurazione per distribuire le impostazioni di servizi aziendali
come Exchange, VPN o Wi-Fi, i certificati possono essere aggiunti al profilo per una
distribuzione ottimizzata.
Installazione di certificati via Mail o Safari
Se un certificato viene inviato in un’e-mail, verrà visualizzato come allegato. Inoltre è
possibile utilizzare Safari per scaricare certificati da una pagina web. Puoi ospitare il
certificato su un sito web protetto e fornire agli utenti l’URL da cui scaricare il certificato
sui propri dispositivi.
Installazione tramite Simple Certificate Enrollment Protocol (SCEP)
SCEP è un protocollo progettato per semplificare la distribuzione di certificati su larga
scala. Consente la distribuzione over-the-air agli iPhone e iPad di certificati digitali che
possono essere utilizzati per l’autenticazione ai servizi aziendali e la registrazione con un
server MDM.
Per maggiori informazioni sul protocollo SCEP e la registrazione over-the-air, vai su www.
apple.com/it/iphone/business/resources.
Rimozione e revoca dei certificati
Per rimuovere manualmente un certificato installato, scegli Impostazioni > Generali >
Profili. Se rimuovi un certificato che è necessario per accedere a un account o a una rete,
il tuo dispositivo non potrà collegarsi a questi servizi.
Per rimuovere i certificati over-the-air puoi utilizzare un server MDM, in grado di
visualizzare tutti i certificati presenti sul dispositivo e di rimuovere quelli installati.
Inoltre, viene supportato l’OCSP (Online Certificate Status Protocol) per controllare lo
stato dei certificati. Quando si utilizza un certificato abilitato per OCSP, iOS lo convalida
per assicurare che non sia stato revocato prima del completamento dell’attività richiesta.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli
USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le
specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple
non si assume alcuna responsabilità in merito al suo utilizzo. Ottobre 2011 L419821B
Implementare iPhone e iPad
Panoramica sulla sicurezza
iOS, il sistema operativo alla base di iPhone e iPad, integra numerosi livelli di protezione.
Per questo iPhone e iPad possono accedere in modo sicuro ai servizi aziendali e
proteggere i da importanti. iOS fornisce una crittografia sicura per i dati in trasmissione,
metodi di autenticazione collaudati per l’accesso ai servizi dell’azienda e crittografia
hardware per tutti i dati archiviati sul dispositivo. Offre anche una solida protezione
attraverso l’uso di criteri relativi al codice di accesso che possono essere imposti e
forniti over-the-air. Inoltre, se il dispositivo finisce nelle mani sbagliate, gli utenti e gli
amministratori IT possono inizializzare operazioni di cancellazione remota per eliminare
tutte le informazioni private.
Quando si prende in considerazione la sicurezza di iOS per uso aziendale, è utile
comprendere i seguenti argomenti.
• Sicurezza del dispositivo: metodi che impediscono l’utilizzo non autorizzato del
dispositivo.
• Sicurezza dei dati: protezione di dati a riposo, compresi i casi in cui un dispositivo viene
perso o rubato.
• Sicurezza della rete: protocolli di rete e crittografia di dati in trasmissione.
• Sicurezza delle app: fondamenta sicure della piattaforma iOS.
Sicurezza del dispositivo
• Codici forti
• Scadenza dei codici
• Cronologia del riutilizzo dei codici
• Numero massimo di tentativi falliti
• Imposizione di codici over-the-air
• Protezione progressiva del dispositivo
Queste funzioni collaborano fra di loro per creare una piattaforma mobile estremamente
sicura.
Protezione del dispositivo
Stabilire solide politiche per l’accesso all’iPhone e all’iPad è essenziale per proteggere i
dati aziendali. L’imposizione di un codice d’accesso è la prima difesa contro gli accessi
non autorizzati e può essere configurata e imposta over-the-air. I dispositivi iOS utilizzano
il codice di accesso impostato dal singolo utente per generare una chiave di codifica forte
che fornisce un ulteriore livello di protezione per le e-mail e i dati sensibili presenti sul
dispositivo. Inoltre, iOS fornisce metodi sicuri per configurare il dispositivo in un ambiente
aziendale che richiede impostazioni, criteri e limitazioni specifici. Questi metodi offrono
opzioni flessibili per stabilire un livello di protezione standard per gli utenti autorizzati.
Criteri relativi al codice di accesso
Il codice di accesso impedisce agli utenti non autorizzati di utilizzare il dispositivo o di
accedere ai dati archiviati al suo interno. iOS consente di scegliere un’ampia gamma di
requisiti per il codice d’accesso in base alle tue esigenze di sicurezza, compresi i limiti di
tempo, la sicurezza del codice e la frequenza con cui è necessario modificarlo.
Sono supportati i seguenti criteri relativi al codice di accesso.
• Richiedere l’utilizzo di un codice di accesso
• Accettare codici semplici
• Richiedere numeri e lettere
• Lunghezza minima codice
• Numero minimo di caratteri complessi
• Tempo massimo di validità del codice
• Intervallo prima del blocco automatico
• Cronologia codice
• Tempo previsto prima del blocco del dispositivo
• Numero massimo di tentativi falliti
15
Imposizione dei criteri
I criteri sopra descritti possono essere impostati sull’iPhone o iPad in vari modi.
Si possono distribuire come parte di un profilo di configurazione che l’utente
deve installare. È possibile impostare il profilo in modo che la sua eliminazione sia
consentita solo con una password amministrativa, oppure bloccarlo sul dispositivo
e impedirne la rimozione senza la parallela cancellazione di tutti i contenuti. Inoltre,
i criteri possono essere configurati in remoto utilizzando soluzioni MDM in grado di
trasmettere le informazioni direttamente al dispositivo. Questo consente di imporre e
aggiornare i criteri senza alcuna operazione da parte dell’utente.
In alternativa, se il dispositivo è configurato per accedere a un account di Microsoft
Exchange, i criteri di Exchange ActiveSync vengono trasmessi over-the-air. È opportuno
ricordare che i criteri disponibili variano in base alla versione di Exchange (2003, 2007
o 2010). Consulta Exchange ActiveSync e dispositivi iOS per conoscere i criteri supportati
dalla tua specifica configurazione.
Criteri e restrizioni configurabili supportati
Funzioni del dispositivo
• Consentire l’installazione di app
• Consentire Siri
• Consentire l’uso della fotocamera
• Consentire l’uso di FaceTime
• Consentire l’acquisizione di schermate
• Consentire la sincronizzazione automatica
durante il roaming
• Consentire la composizione vocale
• Consentire gli acquisti In-App
• Richiedere la password dello store per tutti gli
acquisti
• Consentire giochi multiplayer
• Consentire l’aggiunta di amici in Game Center
Applicazioni
• Consentire l’uso di YouTube
• Consentire l’uso di iTunes Store
• Consentire l’uso di Safari
• Impostare le preferenze di sicurezza di Safari
iCloud
• Consentire i backup
• Consentire la sincronizzazione di documenti e
key-value
• Consentire Streaming foto
Sicurezza e privacy
• Consentire l’invio di dati diagnostici a Apple
• Consentire all’utente di accettare certificati non
verificati
• Imporre i backup criptati
Classificazione dei contenuti
• Consentire musica e podcast espliciti
• Impostare la regione della classificazione
• Impostare le classificazioni consentite
Configurazione sicura del dispositivo
I profili di configurazione sono file XML che contengono criteri e limiti di sicurezza,
informazioni sulla configurazione VPN, impostazioni Wi-Fi, account e-mail e calendari,
e credenziali di autenticazione che consentono agli iPhone e iPad di lavorare con
i sistemi della tua azienda. La possibilità di fissare in un profilo di configurazione
sia i criteri del codice d’accesso sia le impostazioni del dispositivo garantisce che i
dispositivi dell’azienda siano configurati correttamente e secondo gli standard di
sicurezza stabiliti. Poiché i profili di configurazione possono essere criptati e bloccati, le
impostazioni non possono essere eliminate, modificate o condivise con altri.
I profili di configurazione possono essere sia firmati sia criptati. Firmare un profilo
di configurazione garantisce che i parametri da esso imposti non possano essere
modificati in alcun modo. La crittografia, invece, protegge i contenuti del profilo
e consente l’installazione solo sul dispositivo per il quale è stato creato. I profili di
configurazione vengono criptati con CMS (Cryptographic Message Syntax, RFC 3852),
che supporta 3DES e AES 128.
Per distribuire per la prima volta i profili di configurazione criptati, dovrai installarli
via USB usando Utility Configurazione oppure in wireless tramite la registrazione
over-the-air. Oltre che con questi metodi, successivamente i profili di configurazione
criptati possono essere distribuiti allegandoli a un’e-mail, ospitandoli su un sito web
accessibile agli utenti o trasferendoli sui dispositivi attraverso soluzioni MDM.
Restrizioni del dispositivo
Le restrizioni del dispositivo determinano quali sue funzioni possono essere utilizzate
dagli utenti. Riguardano in particolare applicazioni che prevedono l’accesso alla rete,
come Safari, YouTube o iTunes Store, ma possono anche controllare operazioni come
l’installazione di app o l’utilizzo della videocamera. Le restrizioni ti permettono di
configurare il dispositivo in modo da soddisfare le tue necessità e di consentire agli
utenti di utilizzarlo in modo coerente con le tue pratiche aziendali. Puoi impostarle
manualmente su ciascun dispositivo, imporle con un profilo di configurazione o
definirle in remoto con una soluzione MDM. Inoltre, come i criteri dei codici di accesso,
le restrizioni relative alla videocamera e alla navigazione web possono essere imposte
over-the-air tramite Microsoft Exchange Server 2007 e 2010.
Oltre a configurare restrizioni e criteri sul dispositivo, il reparto IT può configurare e
controllare anche l’applicazione desktop iTunes. Per esempio è possibile impedire
l’accesso a contenuti espliciti, definire quali servizi di rete sono fruibili all’interno di
iTunes e stabilire se l’utente può installare gli aggiornamenti software. Per saperne di
più, vedi Implementare iTunes per i dispositivi iOS.
16
Sicurezza dei dati
Sicurezza dei dati
• Crittografia hardware
• Protezione dei dati
• Cancellazione a distanza
• Cancellazione locale
• Profili di configurazione criptati
• Backup iTunes criptati
La protezione dei dati archiviati sull’iPhone e sull’iPad è importante per qualsiasi
ambiente che disponga di informazioni riservate sull’azienda o sui clienti. Oltre a
criptare i dati in trasmissione, iPhone e iPad forniscono la crittografia hardware per i
dati archiviati nel dispositivo, inoltre proteggono e-mail e dati delle applicazioni con un
ulteriore livello di crittografia.
Se un dispositivo viene perso o rubato, è importante disattivarlo e cancellare tutti
i suoi dati. Un’altra buona idea è impostare un criterio che cancelli i dati dopo
un determinato numero di tentativi falliti di inserimento del codice, deterrente
fondamentale contro i tentativi di accesso non autorizzato al dispositivo.
Crittografia
iPhone e iPad offrono la crittografia hardware, che usa lo standard AES a 256 bit per
proteggere tutti i dati sul dispositivo. La crittografia è sempre attiva e non può essere
disattivata dagli utenti.
È inoltre possibile criptare i dati contenuti nei backup di iTunes sul computer
dell’utente. Questa funzione può essere attivata dall’utente oppure applicata tramite le
impostazioni di restrizione dei profili di configurazione.
iOS supporta lo standard S/MIME nelle e-mail, consentendo agli iPhone e iPad di
visualizzare e inviare messaggi di posta criptati. Le restrizioni possono anche essere
utilizzate per impedire lo spostamento delle e-mail da un account all’altro, o che un
messaggio venga inoltrato da un account diverso da quello di ricezione.
Protezione dei dati
Partendo dalle capacità di crittografia hardware di iPhone e iPad, è possibile
proteggere ulteriormente le e-mail e gli allegati archiviati sul dispositivo usando le
funzioni di protezione dati integrate in iOS. La protezione dei dati sfrutta il codice
univoco del dispositivo di ogni singolo utente unitamente alla crittografia hardware di
iPhone e iPad per generare una chiave di codifica forte che impedisce l’accesso ai dati
quando il dispositivo è bloccato. In questo modo, le informazioni più importanti sono
al sicuro anche quando il dispositivo è compromesso.
Per attivare la protezione dei dati è sufficiente definire un codice di accesso. Poiché
l’efficacia di questa funzione dipende dall’efficacia del codice di accesso, è importante
che i criteri aziendali richiedano e impongano l’utilizzo di codici formati da più
di quattro caratteri. Gli utenti possono verificare se la protezione dei dati è attiva
osservando la schermata delle impostazioni del codice di accesso. Inoltre, le soluzioni
MDM possono interrogare il dispositivo per ottenere questa informazione.
Le API per la protezione dei dati sono anche a disposizione degli sviluppatori, che
possono utilizzarle per proteggere i dati delle applicazioni in-house o commerciali.
Protezione progressiva del dispositivo
iPhone e iPad possono essere configurati
in modo da attivare automaticamente la
cancellazione dei dati dopo un certo numero
di tentativi falliti di inserire il codice d’accesso.
Se un utente immette ripetutamente il codice
d’accesso errato, iOS viene disabilitato per
intervalli sempre più lunghi. In seguito a troppi
tentativi non riusciti, tutti i dati e tutte le
impostazioni presenti sul dispositivo saranno
cancellati.
Cancellazione a distanza
iOS supporta la cancellazione remota. Se un dispositivo viene perso o rubato,
l’amministratore o il proprietario può inviare un comando di cancellazione a distanza
che rimuova tutti i dati e disattivi il dispositivo. Se il dispositivo è configurato con un
account Exchange, l’amministratore può avviare la cancellazione remota da Exchange
Management Console (Exchange Server 2007) oppure Exchange ActiveSync Mobile
Administration Web Tool (Exchange Server 2003 o 2007). Gli utenti di Exchange Server
2007 possono anche avviare la cancellazione remota direttamente da Outlook Web
Access. In più, le soluzioni MDM possono inviare comandi di cancellazione a distanza
anche nel caso in cui non vengano utilizzati i servizi aziendali Exchange.
17
Cancellazione locale
I dispositivi possono anche essere configurati in modo da avviare automaticamente
una cancellazione in locale dopo un certo numero di tentativi falliti di inserire il codice
d’accesso. È un deterrente fondamentale contro i tentativi di accedere al dispositivo
con la forza. Una volta stabilito il codice di accesso, gli utenti possono attivare la
cancellazione locale direttamente dalle impostazioni. Per impostazione predefinita, iOS
cancella automaticamente i dati dopo 10 tentativi di inserimento falliti. Come per gli
altri criteri relativi al codice di accesso, il numero massimo di tentativi falliti può essere
imposto con un profilo di configurazione, tramite un server MDM oppure over-the-air
tramite i criteri di Microsoft Exchange ActiveSync.
iCloud
iCloud archivia musica, foto, app, calendari, documenti e molto di più, e grazie alla
tecnologia push li invia in wireless a tutti i dispositivi dell’utente. Può anche fare
backup quotidiani in Wi-Fi di varie informazioni, tra cui impostazioni del dispositivo,
dati delle app, messaggi di testo e MMS. iCloud protegge i contenuti criptandoli
durante la trasmissione via internet, archiviandoli in formato criptato, e utilizzando
token sicuri per l’autenticazione. Inoltre le funzioni di iCloud, come Streaming foto,
la sincronizzazione dei documenti e il backup, possono essere disattivate tramite un
profilo di configurazione. Per saperne di più sulla sicurezza e sulla privacy di iCloud, vai
su http://support.apple.com/kb/HT4865?viewlocale=it_IT.
Sicurezza della rete
• Protocolli Cisco IPSec, L2TP, VPN PPTP
integrati
• VPN SSL con applicazioni dall’App Store
• SSL/TLS con certificati X.509
• WPA/WPA2 Enterprise con 802.1X
• Autenticazione basata su certificati
• RSA SecurID, CRYPTOCard
Protocolli VPN
• Cisco IPSec
• L2TP/IPSec
• PPTP
• VPN SSL
Metodi di autenticazione
• Password (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• Certificati digitali X.509
• Segreto condiviso
Protocolli di autenticazione 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Formati dei certificati supportati
iOS supporta i certificati X.509 con chiavi RSA.
Vengono riconosciute le estensioni .cer, .crt e
.der.
Sicurezza della rete
Gli utenti di dispositivi mobili devono poter accedere a reti di informazioni aziendali
da qualsiasi parte del mondo, tuttavia è importante anche assicurarsi che gli utenti
siano autorizzati e che i loro dati siano protetti nel corso della trasmissione. iOS
fornisce tecnologie collaudate per raggiungere questi obiettivi di sicurezza sia per le
connessioni a reti Wi-Fi sia per le connessioni a reti cellulari.
Oltre alla tua infrastruttura esistente, ogni sessione FaceTime e conversazione
iMessage viene criptata dall’inizio alla fine. iOS crea un ID univoco per ciascun utente,
garantendo che le comunicazioni siano criptate, instradate e connesse adeguatamente.
VPN
Molti ambienti aziendali dispongono di alcune forme di Network privati virtuali (VPN,
Virtual Private Network). Questi servizi di reti sicure sono già utilizzati e di solito
richiedono impostazioni e configurazioni minime per funzionare con iPhone e iPad.
iOS si integra fin da subito con un’ampia gamma di tecnologie VPN grazie al supporto
per Cisco IPSec, L2TP e PPTP, inoltre funziona con VPN SSL tramite applicazioni di
Juniper, Cisco e F5 Networks. Il supporto per questi protocolli assicura il massimo
livello di crittografia basata su IP per la trasmissione dei dati sensibili.
Oltre a consentire l’accesso sicuro ad ambienti VPN, iOS offre metodi collaudati per
l’autenticazione dell’utente. L’autenticazione tramite certificati digitali x.509 standard
fornisce agli utenti un accesso ottimizzato alle risorse aziendali e un’alternativa
fattibile all’uso di token hardware. Inoltre, l’autenticazione con certificati consente
ad iOS di sfruttare la funzione “VPN su richiesta”, rendendo trasparente il processo di
autenticazione VPN e fornendo contemporaneamente credenziali sicure per accedere
ai servizi di rete. Per ambienti aziendali in cui un token a due fattori è un requisito
fondamentale, iOS si integra con RSA SecureID e CRYPTOCard.
iOS supporta la configurazione di reti proxy e split tunneling dell’indirizzo IP così che
il traffico verso domini di rete pubblici o privati sia inoltrato secondo i criteri specifici
della tua azienda.
18
SSL/TLS
iOS supporta SSL v3 e Transport Layer Security (TLS v1.0, 1.1 e 1.2), lo standard di
sicurezza di ultima generazione per internet. Safari, Calendario, Mail e altre applicazioni
internet avviano automaticamente questi meccanismi per instaurare un canale di
comunicazione criptato tra iOS e i servizi aziendali.
WPA/WPA2
iOS supporta WPA2 Enterprise per fornire un accesso autenticato alla rete wireless
della tua azienda. WPA2 Enterprise utilizza la crittografia AES a 128 bit, assicurando
al massimo agli utenti che i loro dati rimarranno protetti quando inviano e ricevono
comunicazioni su una rete Wi-Fi. Grazie al supporto di 802.1X, iPhone e iPad possono
essere integrati in un’ampia gamma di ambienti di autenticazione RADIUS.
Sicurezza delle app
Sicurezza delle app
• Protezione runtime
• Firma del codice obbligatoria
• Servizi Portachiavi
• API CommonCrypto
• Protezione dei dati delle applicazioni
iOS è una piattaforma fondata sulla sicurezza. La protezione runtime delle applicazioni
segue l’approccio “Sandbox” e richiede obbligatoriamente a ogni applicazione la firma
per garantire che non sia stata alterata. iOS è anche dotato di un framework sicuro per
archiviare in un portachiavi criptato le credenziali di accesso alle applicazioni e alla
rete. Inoltre offre agli sviluppatori un’architettura Common Crypto per criptare i dati
delle applicazioni.
Protezione runtime
Le applicazioni sul dispositivo sono “sandboxed”, ossia non possono accedere ai dati
archiviati da altre applicazioni. Inoltre i file, le risorse e i kernel del sistema sono protetti
dallo spazio in cui sono attive le applicazioni dell’utente. Se un’applicazione richiede
l’accesso ai dati di un’altra app, può farlo solo tramite le API e i servizi forniti da iOS.
Viene impedita anche la generazione di codice.
Firma del codice obbligatoria
Tutte le applicazioni iOS devono essere firmate. Tutte le applicazioni fornite con
il dispositivo sono firmate da Apple. Le app di altri produttori sono firmate dallo
sviluppatore tramite un certificato emesso da Apple. Ciò garantisce che le app non
siano state manomesse o alterate. In più, vengono effettuati controlli runtime per
garantire che un’applicazione non sia divenuta inattendibile dall’ultima volta in cui è
stata usata.
L’uso di applicazioni personalizzate o in-house può essere regolato con un profilo
di fornitura. Per eseguire l’applicazione, gli utenti devono disporre di un profilo di
fornitura. I profili possono essere installati o revocati over-the-air per mezzo di soluzioni
MDM. Gli amministratori possono anche limitare l’uso di un’applicazione a specifici
dispositivi.
Framework di autenticazione sicura
iOS fornisce un portachiavi sicuro e criptato per l’archiviazione di identità digitali, nomi
utenti e password. I dati nel portachiavi sono suddivisi in modo che le credenziali
memorizzate da applicazioni di altri produttori non siano accessibili dalle app con
un’identità diversa. Questo fornisce un meccanismo per proteggere le credenziali di
autenticazione memorizzate sul iPhone e iPad per una gamma di applicazioni e servizi
aziendali.
Architettura Common Crypto
Gli sviluppatori hanno accesso ad API di crittografia che possono usare per
proteggere ulteriormente i dati della loro applicazione. I dati possono essere criptati
simmetricamente tramite metodi collaudati come AES, RC4 o 3DES. Inoltre, iPhone
e iPad forniscono un’accelerazione hardware per la crittografia AES e SHA1, che
massimizza le prestazioni dell’applicazione.
19
Protezione dei dati delle applicazioni
Le applicazioni possono sfruttare anche la crittografia hardware integrata dell’iPhone
e dell’iPad per proteggere ulteriormente i dati sensibili. Gli sviluppatori possono
specificare determinati file per la protezione dei dati, dando istruzione al sistema di
criptarne i contenuti per renderli inaccessibili all’applicazione e a qualsiasi potenziale
intruso quando il dispositivo è bloccato.
App gestite
Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni
in-house dell’azienda. Definire un’app come gestita consente al server di specificare
se l’app in questione e i relativi dati possono essere rimossi dal dispositivo tramite il
server MDM. Inoltre, il server può impedire che i dati dell’app gestita vengano inclusi
nei backup di iTunes e iCloud. Ciò permette ai responsabili IT di gestire le app che
potrebbero contenere informazioni sensibili con un maggiore livello di controllo
rispetto a quanto accade con le applicazioni scaricate direttamente dall’utente.
Per installare un’app gestita, il server MDM invia un comando di installazione al
dispositivo. Prima di poter essere installate, le app gestite richiedono l’accettazione da
parte dell’utente. Per maggiori informazioni sulle app gestite, leggi la Panoramica sulla
gestione dei dispositivi mobili (MDM) su www.apple.com/business/mdm (in inglese).
Dispositivi rivoluzionari, sicurezza a tutto tondo
iPhone e iPad forniscono una protezione criptata dei dati in transito, a riposo o
conservati in iCloud o iTunes. Che un utente stia accedendo alla posta elettronica
aziendale, stia visitando un sito web privato o si stia autenticando alla rete dell’azienda,
iOS assicura che solo gli utenti autorizzati possano accedere alle informazioni aziendali
riservate. E grazie al supporto per funzioni di rete di livello enterprise e metodi
comprensivi per impedire la perdita di dati, puoi distribuire i dispositivi iOS in tutta
tranquillità sapendo che stai implementando soluzioni collaudate per la sicurezza dei
dispositivi e dei dati.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes e Safari sono marchi di Apple Inc.,
registrati negli USA e in altri Paesi. iCloud e iTunes Store sono marchi di servizio di Apple Inc., registrati negli USA e in altri Paesi.
App Store è un marchio di servizio di Apple Inc. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari.
Le specifiche dei prodotti possono subire modifiche senza preavviso. Ottobre 2011 L422500B
Implementare iPhone e iPad
Gestione dei dispositivi mobili
(MDM)
iOS supporta la gestione MDM (Mobile Device Management) consentendo alle
aziende di gestire implementazioni su larga scala di iPhone e iPad all’interno della
propria organizzazione. Le funzioni MDM si basano sulle tecnologie della piattaforma
iOS, come i profili di configurazione e la registrazione over-the-air, inoltre è possibile
integrare il servizio di notifiche push Apple in soluzioni server in-house o di terze
parti. Ciò consente ai reparti IT di introdurre gli iPhone e iPad negli ambienti aziendali
in totale sicurezza, di configurare e aggiornare le impostazioni dei dispositivi, di
monitorare il rispetto dei criteri aziendali e di cancellare o bloccare i dispositivi gestiti,
il tutto in wireless.
Gestire iPhone e iPad
La gestione dei dispositivi iOS avviene tramite la connessione a un server MDM
che può essere realizzato internamente dal reparto IT dell’azienda o acquistato
da un fornitore di terze parti. Il dispositivo si collega al server per verificare se ci
sono operazioni in sospeso e reagisce mettendo in atto le azioni più opportune. Le
operazioni possono riguardare l’aggiornamento dei criteri, la risposta a una richiesta di
informazioni sul dispositivo o su una rete oppure l’eliminazione di impostazioni o dati.
La maggior parte delle funzioni di gestione viene completata dietro le quinte e non
richiede alcun intervento da parte dell’utente. Per esempio, se un reparto IT aggiorna
la propria infrastruttura VPN, il server MDM può configurare gli iPhone e iPad con le
nuove informazioni degli account over the air. Al prossimo utilizzo della VPN, il nuovo
setup sarà già attivo e il dipendente non avrà bisogno di chiamare l’assistenza o di
modificare le impostazioni manualmente.
Firewall
Servizio di notifica
push Apple
Server MDM di terze parti
21
MDM e il servizio notifiche push di Apple
Quando un server MDM vuole comunicare con un iPhone o iPad, una notifica
silenziosa con la richiesta di mettersi in contatto con il server viene inviata al
dispositivo tramite il servizio notifiche push Apple. Il processo di notifica non implica
né l’invio né la ricezione di alcun tipo di informazione proprietaria. La notifica push
si limita esclusivamente a riattivare il dispositivo in modo che possa mettersi in
contatto con il server MDM. Tutte le informazioni di configurazione, le impostazioni
e le interrogazioni vengono inviate direttamente dal server al dispositivo iOS su
una connessione SSL/TLS criptata. iOS gestisce tutte le richieste e le azioni MDM
in background così da limitare l’impatto su aspetti come la durata della batteria, le
prestazioni e l’affidabilità.
iOS e SCEP
iOS supporta Simple Certificate Enrollment
Protocol (SCEP). SCEP è una bozza internet
in IETF ed è progettato per semplificare la
distribuzione di certificati su larga scala.
Ciò consente la registrazione over-the-air
su iPhone e iPad di certificati d’identità che
possono essere usati per autenticare l’accesso
ai servizi aziendali.
Perché il server notifiche push riconosca i comandi del server MDM occorre prima
installare un certificato, che può essere richiesto e scaricato da Apple Push Certificates
Portal. Dopo che il certificato delle notifiche push Apple sarà stato caricato nel server
MDM, sarà possibile iniziare a registrare i dispositivi. Per maggiori informazioni sulla
richiesta del certificato per il server MDM, vai su www.apple.com/business/mdm.
Impostazione della rete per il servizio notifiche push Apple
Quando i server MDM e i dispositivi iOS sono dietro un firewall, può essere necessario
configurare la rete in modo da consentire il corretto funzionamento del servizio MDM.
Per inviare notifiche da un server MDM a un servizio notifiche push Apple, la porta TCP
2195 deve essere aperta. Inoltre occorre aprire anche la porta TCP 2196 per consentire
di raggiungere il servizio di feedback. Per i dispositivi che si collegano al servizio push
via Wi-Fi, è necessario aprire la porta TCP 5223.
L’intervallo IP per il servizio push può variare, ma si suppone che il server MDM si
colleghi utilizzando il nome host anziché l’indirizzo IP. Il servizio push usa uno schema
di bilanciamento del carico che produce un diverso indirizzo IP per lo stesso nome
host. Il nome host è gateway.push.apple.com (e gateway.sandbox.push.apple.com per
l’ambiente di sviluppo notifiche push). In più l’intero blocco 17.0.0.0/8 è assegnato a
Apple, perciò è possibile impostare regole del firewall per specificare tale intervallo.
Per saperne di più consulta il tuo fornitore MDM o leggi il documento Developer
Technical Note TN2265 (in inglese) nella iOS Developer Library su http://developer.
apple.com/library/ios/#technotes/tn2265/_index.html.
Registrazione
Una volta configurati il server MDM e la rete, il primo passo verso la gestione di un
iPhone o iPad consiste nel registrarlo con un server MDM. Creando una relazione tra il
dispositivo e il server è possibile gestire il dispositivo su richiesta, senza interagire con
l’utente.
Questo passaggio può avvenire collegando l’iPhone o iPad a un computer via USB, ma
la maggior parte delle soluzioni distribuiscono il profilo di registrazione in wireless.
Alcuni fornitori MDM utilizzano un’app per lanciare il processo, altri chiedono agli
utenti di accedere a un portale web. Ciascun metodo ha i suoi vantaggi, ed entrambi
sono usati per avviare la registrazione over-the-air tramite Safari.
22
Panoramica sul processo di registrazione
Il processo di registrazione over-the-air è costituito da tre fasi riunite in un flusso
automatizzato che rappresenta la soluzione più versatile per registrare i dispositivi in
modo sicuro in un ambiente aziendale. Le fasi sono le seguenti.
1. Autenticazione dell’utente
L’autenticazione dell’utente garantisce che le richieste di registrazione in entrata
provengano da utenti autorizzati e che le informazioni del dispositivo siano acquisite
prima della registrazione del certificato. Gli amministratori possono chiedere
all’utente di iniziare il processo di registrazione attraverso un portale web, un’e-mail,
un SMS e perfino un’app.
2. Registrazione con certificato
Dopo che l’utente è stato autenticato, iOS genera una richiesta di registrazione del
certificato tramite il protocollo SCEP (Simple Certificate Enrollment Protocol). Questa
richiesta di registrazione comunica direttamente con l’autorità di certificazione (CA,
Certificate Authority) dell’azienda e consente all’iPhone o iPad di ricevere in risposta
il certificato d’identità dalla CA.
3. Configurazione del dispositivo
Dopo aver installato un certificato d’identità, il dispositivo sarà in grado di ricevere
over-the-air un profilo di configurazione criptato. Questo profilo può essere installato
solo sul dispositivo a cui è destinato e contiene impostazioni per la connessione al
server MDM.
Al termine del processo di registrazione, l’utente visualizza la schermata
di installazione che riporta i diritti di accesso del server MDM per quel
dispositivo. Accettando l’installazione del profilo, il dispositivo dell’utente viene
automaticamente registrato, senza bisogno di fare altro.
Una volta registrato come dispositivo gestito, l’iPhone o iPad potrà essere
configurato dinamicamente, interrogato o cancellato in remoto dal server MDM.
Configurazione
Per configurare account, criteri e restrizioni, il server MDM invierà al dispositivo i
necessari profili di configurazione, che verranno installati automaticamente. I profili
di configurazione sono file XML contenenti dati di configurazione e impostazioni
che consentono al dispositivo di interagire con i sistemi aziendali, per esempio
informazioni sull’account, criteri dei codici di accesso, restrizioni e altri parametri.
Abbinata alla procedura di registrazione descritta in precedenza, la configurazione
dei dispositivi fornisce al reparto IT la garanzia che solo utenti fidati possano
accedere ai servizi aziendali e che i loro dispositivi siano correttamente configurati
secondo criteri stabiliti.
Poiché i profili di configurazione possono essere criptati e bloccati, le impostazioni
non possono essere eliminate, modificate o condivise con altri.
23
Impostazioni configurabili
Account
• Exchange ActiveSync
• E-mail IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendari sottoscritti
Criteri relativi al codice di accesso
• Richiedere l’utilizzo di un codice di accesso
• Accettare codici semplici
• Richiedere numeri e lettere
• Lunghezza minima codice
• Numero minimo di caratteri complessi
• Tempo massimo di validità del codice
• Intervallo prima del blocco automatico
• Cronologia codice
• Tempo previsto prima del blocco del
dispositivo
• Numero massimo di tentativi falliti
Funzioni del dispositivo
• Consentire l’installazione di app
• Consentire Siri
• Consentire l’uso della fotocamera
• Consentire l’uso di FaceTime
• Consentire l’acquisizione di schermate
• Consentire la sincronizzazione automatica
durante il roaming
• Consentire la composizione vocale
• Consentire gli acquisti In-App
• Richiedere la password dello store per
tutti gli acquisti
• Consentire giochi multiplayer
• Consentire l’aggiunta di amici in Game
Center
Applicazioni
• Consentire l’uso di YouTube
• Consentire l’uso di iTunes Store
• Consentire l’uso di Safari
• Impostare le preferenze di sicurezza di
Safari
Sicurezza e privacy
iCloud
• Consentire l’invio di dati diagnostici a Apple • Consentire i backup
• Consentire all’utente di accettare certificati • Consentire la sincronizzazione di
non verificati
documenti e key-value
• Imporre i backup criptati
• Consentire Streaming foto
Altre impostazioni
• Credenziali
• Web clip
• Impostazioni SCEP
• Impostazioni APN
Classificazione dei contenuti
• Consentire musica e podcast espliciti
• Impostare la regione della classificazione
• Impostare le classificazioni consentite
24
Interrogazione dei dispositivi
Oltre a configurare i dispositivi, un server MDM è in grado di richiedere loro una serie
di informazioni che possono essere usate per assicurarsi che i dispositivi rispettino
sempre i criteri richiesti.
Richieste ammesse
Informazioni sul dispositivo
• Identificatore univoco del dispositivo (UDID)
• Nome del dispositivo
• Versione iOS e build
• Nome e numero modello
• Numero di serie
• Capacità e spazio disponibile
• IMEI
• Firmware modem
• Livello batteria
Informazioni di rete
• ICCID
• Indirizzi MAC Bluetooth® e Wi-Fi
• Rete operatore corrente
• Rete operatore abbonato
• Versione impostazioni operatore
• Numero di telefono
• Roaming dati (attivo/disattivo)
Informazioni su conformità e sicurezza
• Profili di configurazione installati
• Certificati installati con date di scadenza
• Elenco delle restrizioni imposte
• Capacità di crittografia hardware
• Presenza codice d’accesso
Applicazioni
• Applicazioni installate (ID, nome, versione,
dimensioni dell’applicazione e dei dati)
• Profili di fornitura installati con data di
scadenza
Gestione
I server MDM possono compiere una varietà di operazioni sui dispositivi iOS. Per
esempio possono installare e rimuovere i profili di configurazione e di fornitura, gestire
le app, terminare la relazione MDM e cancellare in remoto un dispositivo.
Impostazioni gestite
Durante il processo iniziale di impostazione del dispositivo, il server MDM invia
all’iPhone o iPad dei profili di configurazione che vengono installati dietro le quinte.
Col tempo potrebbe rendersi necessario aggiornare o cambiare le impostazioni e i
criteri applicati in fase di registrazione. Per fare queste modifiche, il server MDM può
installare un nuovo profilo di configurazione e modificare o rimuovere in qualsiasi
momento i profili esistenti. Inoltre può essere necessario installare sui dispositivi iOS
configurazioni specifiche per un contesto, a seconda dell’ubicazione di un utente o del
suo ruolo nell’azienda. Se per esempio un utente finale si trova all’estero, il server MDM
può richiedere che la sincronizzazione delle e-mail avvenga manualmente invece che
in automatico, e può perfino disattivare in remoto i servizi voce o dati per impedire
all’utente di incorrere nei costi di roaming applicati da un operatore wireless.
App gestite
Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni
in-house dell’azienda. Il server può rimuovere su richiesta le app gestite e i relativi dati,
o specificare se le app devono essere eliminate contestualmente alla rimozione del
profilo MDM. Inoltre, il server MDM può impedire che i dati dell’app gestita vengano
inclusi nei backup di iTunes e iCloud.
25
Per installare un’app gestita, il server MDM invia un comando di installazione al
dispositivo. Prima di poter essere installate, le app gestite richiedono l’accettazione
da parte dell’utente. Quando il server MDM richiede l’installazione di un’app gestita
dall’App Store, questa sarà ottenuta con l’account iTunes utilizzato al momento della
sua installazione. Per le app a pagamento, il server MDM deve inviare un codice
di riscatto del Volume Purchasing Program (VPP). Per maggiori informazioni sul
programma VPP vai su www.apple.com/business/vpp/. Le app dell’App Store non
possono essere installate sul dispositivo se l’App Store è stato disattivato.
Rimuovere o cancellare i dispositivi
Se un dispositivo non risulta conforme, viene perso o smarrito, o se un dipendente
lascia l’azienda, il server MDM può agire in vari modi per proteggere le informazioni
aziendali.
Un amministratore IT può terminare la relazione MDM con un dispositivo
rimuovendo il profilo di configurazione che contiene le informazioni sul server.
Questo comporta la cancellazione di tutti gli account, delle impostazioni e delle app
installate dal server. In alternativa è possibile conservare il profilo di configurazione
e utilizzare il server MDM solo per eliminare i profili di configurazione, i profili
di fornitura e le app gestite che si vogliono cancellare. Con questo approccio, il
dispositivo resta gestito dal server MDM e in seguito non dovrà essere registrato
nuovamente.
Entrambi i metodi offrono al reparto IT la possibilità di assicurarsi che le informazioni
siano accessibili solo agli utenti e ai dispositivi conformi, e garantisce che i dati
aziendali vengano rimossi senza intaccare i dati personali dell’utente, come musica,
foto e app.
Per eliminare tutti i contenuti e i dati in modo permanente e riportare il dispositivo
alle impostazioni di fabbrica, il server MDM può avviare la cancellazione a distanza
dell’iPhone o iPad. Se l’utente sta ancora cercando il dispositivo smarrito, il reparto
IT può anche inviare un comando per bloccare lo schermo: per sbloccarlo sarà
necessario immettere il codice di accesso.
Se l’utente ha solo dimenticato il proprio codice di accesso, il server MDM può
rimuoverlo dal dispositivo e richiedere all’utente di crearne uno nuovo entro 60
minuti.
Comandi di gestione supportati
Impostazioni gestite
• Installare un profilo di configurazione
• Rimuovere un profilo di configurazione
• Roaming dati
• Roaming voce (disponibile solo con alcuni operatori)
App gestite
• Installare un’app gestita
• Rimuovere un’app gestita
• Elenco di tutte le app gestite
• Installare un profilo di fornitura
• Rimuovere un profilo di fornitura
Comandi di sicurezza
• Cancellazione a distanza
• Blocco a distanza
• Cancellazione del codice 26
Panoramica del processo
Il seguente esempio mostra l’implementazione di base di un server MDM.
1
Firewall
3
2
4
Servizio di notifica
push Apple
Server MDM di terze parti
5
1
Un profilo di configurazione contenente le informazioni del server MDM viene inviato al dispositivo. L’utente riceve le
informazioni relative a cosa verrà gestito e/o richiesto dal server.
2
L’utente installa il profilo per consentire la gestione del dispositivo.
3
La registrazione del dispositivo avviene quando il profilo è installato. Il server autentica il dispositivo e autorizza l’accesso.
4
Il server invia notifiche push chiedendo al dispositivo di verificare operazioni e richieste.
5
Il dispositivo si collega direttamente al server su HTTPS. Il server invia i comandi o le richieste di informazioni.
Per maggiori informazioni sulle funzioni MDM, vai su www.apple.com/business/mdm.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes e Safari sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iCloud e iTunes Store sono marchi di servizio
di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Il marchio e il logo Bluetooth sono di marchi registrati di Bluetooth SIG, Inc. e qualsiasi utilizzo da parte
di Apple è concesso in licenza. UNIX è marchio registrato di The Open Group. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei
prodotti possono subire modifiche senza preavviso. Ottobre 2011 L422501B