ios-utrulling Teknisk veiledning

Transkript

1 ios-utrulling Teknisk veiledning ios 7.1 Mai 2014

2 Innhold Side 3 Side 4 Side 4 Side 6 Side 6 Side 7 Side 13 Side 13 Side 14 Side 15 Side 16 Side 16 Side 18 Side 20 Side 20 Side 21 Side 23 Side 23 Side 24 Side 24 Side 27 Side 29 Side 31 Side 33 Side 34 Side 35 Side 38 Side 40 Innledning Kapittel 1: Integrering Microsoft Exchange Standardbaserte tjenester Wi-Fi Virtuelle private nettverk Per App VPN Single Sign On Digitale sertifikater Bonjour Kapittel 2: Sikkerhet Sikkerhet på enheten Kryptering og databeskyttelse Nettverkssikkerhet Appsikkerhet Internettjenester Kapittel 3: Konfigurering og administrering Klargjøring og aktivering av enhet Konfigurasjonsprofiler Administrering av mobile enheter (MDM) Enhetsovervåking Kapittel 4: Appdistribuering Interne apper Rulle ut apper Caching Server Tillegg A: Wi-Fi-infrastruktur Tillegg B: Restriksjoner Tillegg C: Installere interne apper trådløst 2

3 Innledning Dette er en veiledning for IT-administratorer som skal implementere støtte for ios-enheter på nettverkene sine. Veiledningen beskriver hvordan man ruller ut og driver support for iphone, ipad og ipod touch i en større organisasjon, for eksempel i en bedrift eller en utdanningsinstitusjon. Videre forklarer den hvordan ios-enheter gir en høy grad av sikkerhet, hvordan enheter integreres med eksisterende infrastruktur og hvordan de kraftige utrullingsverktøyene fungerer. En forståelse av hvordan nøkkelteknologiene i ios fungerer gjør det enklere å implementere en utrullingsstrategi som gir brukerne dine den beste opplevelsen. De neste kapitlene inneholder teknisk veiledning du vil ha nytte av når organisasjonen skal rulle ut ios-enheter: Integrering. ios-enheter har innebygd støtte for en rekke nettverksinfrastrukturer. Her kan du lese om teknologier som støttes av ios og gode rutiner for integrering med Microsoft Exchange, Wi-Fi, VPN og andre standardtjenester. Sikkerhet. ios er utformet for sikker tilgang til bedriftstjenester og beskyttelse av viktig informasjon. ios bruker sterk kryptering ved dataoverføring, velprøvde autentiseringsmetoder for tilgang til bedriftens tjenester og maskinvarekryptering for alle arkiverte data. Her kan du lese mer om sikkerhetsfunksjonene i ios. Konfigurering og administrering. ios støtter avanserte verktøy og teknologier som gjør det enkelt å klargjøre ios-enheter, konfigurere dem slik man har behov for, og administrere dem i stor skala. Dette kapittelet beskriver de ulike verktøyene for utrulling av ios-enheter, deriblant MDM (Mobile Device Management). Appdistribuering. Det finnes flere måter å rulle ut apper og innhold i bedriften på. ios-utviklerprogrammet for bedrifter (ios Developer Enterprise Program) gjør det mulig for organisasjonen å rulle ut apper for interne brukere. Kapittelet gir deg en inngående forståelse av disse programmene og hvordan du ruller ut apper som er utviklet for intern bruk. Følgende tillegg inneholder ytterligere tekniske detaljer og krav: Wi-Fi-infrastruktur. Informasjon om Wi-Fi-standarder som ios støtter, og hva du bør tenke på når du planlegger et stort Wi-Fi-nettverk. Restriksjoner. Informasjon om restriksjonene du kan bruke for å konfigurere ios-enheter i samsvar med bedriftens krav til blant annet sikkerhet og kode. Installere interne apper trådløst. Informasjon om og krav til distribuering av interne apper via bedriftens egen nettbaserte portal. Andre ressurser Du finner relevant og nyttig informasjon på følgende nettsteder:

4 Kapittel 1: Integrering ios-enheter har innebygd støtte for en rekke nettverksinfrastrukturer. De støtter følgende: Populære tredjepartssystemer som Microsoft Exchange Integrering med standardbasert e-poster, kataloger, kalendere og andre systemer Standard Wi-Fi-protokoller for dataoverføring og kryptering Virtuelle private nettverk (VPN), inkludert Per App VPN Single Sign On for enkel autentisering til apper og tjenester i et nettverk Digitale sertifikater for å autentisere brukere og sikre kommunikasjon Ettersom denne støtten er innebygd i ios, trenger IT-avdelingen kun å konfigurere noen få innstillinger for å integrere ios-enheter i den eksisterende infrastrukturen. Les videre for å lære mer om teknologi som ios støtter, og gode rutiner for integrering. Microsoft Exchange ios kan kommunisere direkte med Microsoft Exchange Server via Microsoft Exchange ActiveSync (EAS), slik at pushfunksjonen for e-post, kalendere, kontakter, notater og oppgaver aktiveres. Exchange ActiveSync gir også brukerne tilgang til den globale adresselisten (GAL) og gir administratorer mulighet til å håndheve koderegler og fjernslette innholdet på enheter. ios støtter både grunnleggende og sertifikatbasert autentisering for Exchange ActiveSync. Hvis bedriften har aktivert Exchange ActiveSync, har du allerede de nødvendige tjenestene for å støtte ios det er ikke behov for ytterligere konfigurering. Krav Enheter med ios 7 eller nyere støtter følgende versjoner av Microsoft Exchange: Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (med EAS 2.5) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (med EAS 14.1) Exchange Server 2013 (med EAS 14.1) Office 365 (med EAS 14.1) Microsoft Direct Push Exchange Server leverer automatisk e-post, oppgaver, kontakter og kalenderhendelser til ios-enheter når en mobil- eller Wi-Fi dataforbindelse er tilgjengelig. ipod touch og enkelte ipad-modeller har ikke mobildataforbindelse og mottar kun pushvarsler når de er tilkoblet et Wi-Fi-nettverk. 4

5 Automatisk gjenkjenning med Microsoft Exchange ios støtter Autodiscover-tjenesten til Microsoft Exchange Server 2007 og Microsoft Exchange Server Når du konfigurerer en enhet manuelt, bruker Autodiscover e-postadressen din og passordet ditt til å finne riktig Exchange Server-informasjon. Du finner mer informasjon om å aktivere Autodiscover-tjenesten på nettsiden for Autodiscover-tjenesten. Microsoft Exchanges globale adresseliste (GAL) ios-enheter henter kontaktinformasjon fra bedriftens Exchange Server-bedrifts- katalog. Du får tilgang til katalogen når du søker i Kontakter, og den brukes automatisk til å fullføre e-postadresser mens du skriver dem inn. ios 6 eller nyere støtter GAL-bilder (krever Exchange Server 2010 SP 1 eller nyere). Exchange ActiveSync-funksjoner som ikke støttes Følgende funksjoner i Exchange støttes ikke: Åpne e-postkoblinger til dokumenter som er arkivert på SharePoint-tjenere Sende automatiske fraværsmeldinger Identifisere ios-versjoner via Exchange Når en ios-enhet kobler til en Exchange Server, gir den informasjon om iosversjonen. Versjonsnummeret sendes i User Agent-feltet i forespørselsdelen og har formen Apple-iPhone2C1/ Tallet etter skilletegnet (/) er iosbyggnummeret, som er unikt for hver ios-utgave. Hvis du vil se versjonsnummeret på en enhet, går du til Innstillinger > Generelt > Om. Versjonen og versjonsnummeret ser omtrent slik ut: 4.1 (8B117A). Nummeret i parentes er versjonsnummeret som angir hvilken utgave av versjonen enheten kjører. Når versjonsnummeret sendes til Exchange Server, konverteres det fra formatet NANNNA (der N er et numerisk og A er et alfabetisk tegn) til Exchange-formatet NNN.NNN. Numeriske verdier beholdes, mens bokstaver konverteres til den plasseringen de har i alfabetet. «F» konverteres for eksempel til «06» fordi det er den sjette bokstaven i alfabetet. Tallene fylles om nødvendig ut med null for å passe inn i Exchange-formatet. I dette eksempelet konverteres versjonsnummeret 7E18 til Det første tallet, 7, forblir «7». Bokstaven E er den femte bokstaven i alfabetet og konverteres til «05». Det settes inn et punktum (.) i den konverterte versjonen, slik formatet krever. Det neste tallet, 18, tilføyes en null og konverteres til «018». Hvis versjonsnummeret slutter på en bokstav, som 5H11A, konverteres tallet som beskrevet ovenfor, og den numeriske verdien til det siste tegnet legges til atskilt av tre nuller. 5H11A blir altså Fjernsletting Du kan fjernslette innhold på en ios-enhet med funksjoner i Exchange. Sletting fjerner alle data og all konfigurasjonsinformasjon fra enheten på en sikker måte, og fabrikkinnstillingene gjenopprettes. Sletting fjerner krypteringsnøkkelen til dataene (kryptert med 256-bits AES-kryptering), og det blir straks umulig å gjenopprette dataene. Med Microsoft Exchange Server 2007 eller nyere kan du utføre en fjernsletting med Exchange Management Console, Outlook Web Access eller Exchange ActiveSync Mobile Administration Web-verktøyet. Med Microsoft Exchange Server 2003 kan du utføre en fjernsletting med Exchange ActiveSync Mobile Administration Web-verktøyet. 5

6 Alternativt kan brukere slette sin egen enhet ved å gå til Innstillinger > Generelt > Nullstill og velge «Slett alt innhold og alle innstillinger». Enheter kan også konfigureres slik at de slettes automatisk hvis feil kode oppgis et bestemt antall ganger. Standardbaserte tjenester ios støtter IMAP-e-postprotokollen, LDAP-katalogtjenester, CalDAV-kalender- funksjoner og CardDAV-kontaktprotokoller og kan integreres med de aller fleste standardbaserte miljøer. Hvis nettverksmiljøet er konfigurert med krav om bruker- autentisering og SSL, har ios en sikker løsning for tilgang til standardbaserte e-poster, kalendere, oppgaver og kontakter i bedriften. Med SSL støtter ios 128-bits kryptering og X.509 rotsertifikater utstedt av de fleste store sertifiseringsmyndigheter. I et typisk utrullingsscenario oppretter ios-enheter direkte tilgang til IMAP- og SMTP-tjenere for e-post for å sende og motta e-post trådløst, og de kan også synkronisere notater trådløst via IMAP-baserte tjenere. ios-enheter kan koble til bedriftens LDAPv3-bedriftskataloger, slik at brukerne får tilgang til bedriftens kontakter i Mail-, Kontakter- og Meldinger-appene. Synkronisering med CalDAVtjeneren gjør at brukerne trådløst kan lage og godta kalenderinvitasjoner, motta kalenderoppdateringer og synkronisere oppgaver med Påminnelser-appen. Med CardDAV-støtte kan dessuten brukerne synkronisere kontakter med CardDAVtjeneren i vcard-format. Alle nettverkstjenere kan plasseres i et DMZ-nettverk, bak en bedriftsbrannmur, eller begge deler. Wi-Fi Det er sikkert å koble ios-enheter til Wi-Fi-nettverk bedrifts- eller gjestenettverk. Brukerne har rask og enkel tilgang til tilgjengelige trådløse nettverk både på kontoret og når de er ute på farten. Koble til Wi-Fi Brukerne kan angi at ios-enheter skal koble til tilgjengelige Wi-Fi-nettverk automatisk. Wi-Fi-nettverk som krever påloggingsinformasjon eller lignende, kan kobles til uten å åpne en egen nettleserøkt, enten fra Wi-Fi-innstillingene eller fra apper som Mail. Med energieffektiv, kontinuerlig Wi-Fi-tilkobling kan dessuten apper bruke Wi-Fi-nettverk til pushvarsling. WPA2 Enterprise ios støtter standard trådløse nettverksprotokoller, deriblant WPA2 Enterprise, slik at trådløse bedriftsnettverk kan benyttes sikkert av ios-enheter. WPA2 Enterprise benytter 128-bits AES-kryptering, en anerkjent blokkbasert krypteringsmetode som gir brukeren den høyeste sikkerhetsgraden med tanke på datasikkerhet. Med støtte for 802.1X, kan ios integreres i en rekke RADIUS-autentiseringsmiljøer X-teknologi for trådløs autentisering som støttes av ios, er EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 og LEAP. 6

7 Roaming ios støtter k og r for roaming i store Wi-Fi-bedriftsnettverk k hjelper ios-enheter med overgangen mellom Wi-Fi-tilgangspunkter ved å bruke rapportene fra tilgangspunktene, mens r strømlinjeformer 802.1Xautentiseringen når en enhet går fra ett tilgangspunkt til et annet. For rask klargjøring og utrulling kan trådløse nettverk, sikkerhet, proxy og autentisering konfigureres med konfigurasjonsprofiler eller MDM. Virtuelle private nettverk Sikker tilgang til private bedriftsnettverk er tilgjengelig ios ved hjelp av etablerte, standard VPN-protokoller (Virtual Private Network). ios leveres med støtte for Cisco IPSec, L2TP over IPSec og PPTP. Hvis bedriften støtter en av disse protokollene, kreves det ingen ytterligere nettverkskonfigurering eller tredjepartsapper for å koble ios-enheter til bedriftens VPN. ios støtter også SSL VPN fra populære VPN-leverandører. Du går bare til App Store og laster ned en VPN-klientapp som er utviklet av et av selskapene, og så er du i gang. Som andre VPN-protokoller som støttes i ios, kan SSL VPN konfigureres manuelt på enheten eller via konfigurasjonsprofiler eller MDM. ios støtter standardteknologi som IPv6, proxytjenere og split-tunneling for en rik VPN-opplevelse ved tilkobling til bedriftsnettverk. Dessuten fungerer ios med en rekke autentiseringsmetoder, som passord, tofaktorskjennetegn og digitale sertifikater. ios har VPN etter behov for strømlinjeformet tilkobling i miljøer med sertifikatbasert autentisering. Det startes en VPN-økt når det er nødvendig for å koble til bestemte domener. Med ios 7 kan enkeltapper konfigureres til å bruke en VPN-tilkobling som er uavhengig av andre apper på enheten. Slik overføres bedriftsdata alltid over en VPN-tilkobling, mens andre data, som ansattes personlige apper fra App Store, ikke gjør det. Du finner mer informasjon under «Per App VPN» senere i dette kapittelet. Protokoller og autentiseringsmetoder som støttes SSL VPN. Støtter brukerautentisering med passord, tofaktorskjennetegn og sertifikater. Cisco IPSec. Støtter brukerautentisering med passord, tofaktorskjennetegn og maskinautentisering med delt hemmelighet og sertifikater. L2TP over IPSec. Støtter brukerautentisering med MS-CHAP v2-passord, tofaktorskjennetegn og maskinautentisering med delt hemmelighet. PPTP. Støtter brukerautentisering med MS-CHAP v2-passord og tofaktorskjennetegn. SSL VPN-klienter Flere SSL VPN-leverandører har utviklet apper for konfigurering av ios-enheter ved bruk av deres løsninger. Når du skal konfigurere en enhet for en bestemt løsning, installerer du den aktuelle appen og lager eventuelt en konfigurasjonsprofil med nødvendige innstillinger. SSL VPN-løsninger: Juniper Junos Pulse SSL VPN. ios støtter Juniper Networks SA Series SSL VPN Gateway med versjon 6.4 eller nyere med Juniper Networks IVE versjon 7.0 eller nyere. Installer Junos Pulse-appen fra App Store for konfigurering. Du finner mer informasjon i Juniper Networks-programdokumentet. 7

8 F5 SSL VPN. ios støtter F5 BIG-IP Edge Gateway, Access Policy Manager og FirePass SSL VPN-løsninger. Installer F5 BIG-IP Edge Client-appen fra App Store for konfigurering. Du finner flere opplysninger i den tekniske informasjonen om F5: Secure iphone Access to Corporate Web Applications. Aruba Networks SSL VPN. ios støtter Aruba Networks Mobility Controller. Installer Aruba Networks VIA-appen fra App Store for konfigurering. Du finner kontaktinformasjon på nettsiden til Aruba Networks. SonicWALL SSL VPN. ios støtter SonicWALL Aventail E-Class Secure Remote Access-enheter som kjører eller nyere, SonicWALL SRA-enheter som kjører 5.5 eller nyere, og SonicWALL Next-Generation Firewall-enheter inkludert TZ, NSA, E-Class NSA som kjører SonicOS eller nyere. Installer SonicWALL Mobile Connect-appen fra App Store for konfigurering. Du finner kontaktinformasjon på nettsiden til SonicWALL. Check Point Mobile SSL VPN. ios støtter Check Point Security Gateway med en fullstendig lag 3 VPN-tunnel. Installer Check Point Mobile-appen fra App Store for konfigurering. OpenVPN SSL VPN. ios støtter OpenVPN Access Server, Private Tunnel og OpenVPN Community. Installer OpenVPN Connect-appen fra App Store for konfigurering. Palo Alto Networks GlobalProtect SSL VPN. ios støtter GlobalProtect-portalen fra Palo Alto Networks. Installer GlobalProtect for ios-appen fra App Store for konfigurering. Cisco AnyConnect SSL VPN. ios støtter Cisco Adaptive Security Appliance (ASA) som kjører versjon 8.0(3).1 eller nyere. Installer Cisco AnyConnect-appen fra App Store for konfigurering. Retningslinjer for klargjøring av VPN Retningslinjer for klargjøring av Cisco IPSec Følg disse retningslinjene når du skal konfigurere Cisco VPN-tjeneren for bruk med ios-enheter. ios støtter Cisco ASA 5500 Security Appliances og PIX Firewalls konfigurert med 7.2.x-programvare eller nyere. Den nyeste programvareversjonen (8.0.x eller nyere) anbefales. ios støtter også Cisco IOS VPN-rutere med IOS-versjon 12.4(15)T eller nyere. VPN 3000 Series Concentrators støtter ikke ios VPN-funksjoner. Klargjøring av proxy Du kan også angi en VPN-proxy for all konfigurering. Vil du konfigurere én enkelt proxy for alle tilkoblinger, bruker du manuelle innstillinger og oppgir adresse, port og eventuelt autentisering. Vil du bruke en fil for automatisk proxykonfigurering med PAC eller WPAD, bruker du automatiske innstillinger. For PACS oppgir du URLen til PACS-filen. For WPAD sender ios spørringer til DHCP og DNS for å få riktige innstillinger. 8

9 Autentiseringsmetoder ios støtter følgende autentiseringsmetoder: IPSec-autentisering med forhåndsdelt nøkkel og brukerautentisering via xauth. Klient- og tjenersertifikater for IPSec-autentisering, med valgfri brukerautentisering via xauth. Hybridautentisering, der tjeneren har et sertifikat og klienten en forhåndsdelt nøkkel for IPSec-autentisering. Det kreves brukerautentisering via xauth. Brukerautentisering skjer via xauth og omfatter følgende autentiseringsmetoder: Brukernavn og passord RSA SecurID CryptoCard Autentiseringsgrupper Cisco Unity-protokollen bruker autentiseringsgrupper til å gruppere brukere basert på et felles sett med autentiseringsparametere og andre parametere. Du bør opprette en autentiseringsgruppe for ios-brukere. Ved forhåndsdelt nøkkel og hybridautentisering må gruppenavnet konfigureres på enheten med gruppens delte hemmelighet (forhåndsdelt nøkkel) som gruppepassord. Delt hemmelighet brukes ikke ved sertifikatautentisering. Gruppen til en bruker avgjøres basert på feltene i sertifikatet. Cisco-tjenerinnstillingene kan brukes til å kartlegge felt i et sertifikat for brukergrupper. RSA-Sig bør ha høyeste prioritet på ISAKMP-prioritetslisten. Sertifikater Husk følgende når du klargjør og installerer sertifikater: Tjenersertifikatet må inneholde tjenerens DNS-navn og/eller IP-adresse i SubjectAltName-feltet Enheten bruker denne informasjonen til å kontrollere at sertifikatet tilhører tjeneren. Vil du ha mer fleksibilitet, kan du skrive inn SubjectAltName med jokertegn for samsvar per segment, som vpn.*.mycompany.com. Hvis det ikke er angitt noe SubjectAltName, kan du skrive inn DNS-navnet i det felles navnefeltet. CA-sertifikatet som signerte tjenerens sertifikat, må installeres på enheten. Hvis det ikke er et rotsertifikat, installerer du resten av sertifikatkjeden, slik at sertifikatet blir godkjent. Hvis du bruker klientsertifikater, sørger du for at det godkjente CA-sertifikatet som signerte klientens sertifikat, installeres på VPNtjeneren. Når du bruker sertifikatbasert autentisering, må du sørge for at tjeneren kan identifisere brukerens gruppe basert på feltene i klientsertifikatet. Sertifikater og sertifikatmyndigheter må være gyldige (for eksempel ikke utløpt). Sertifikatkjeden kan ikke sendes av tjeneren, og du bør deaktivere den. 9

10 IPSec-innstillinger Bruk følgende IPSec-innstillinger: Modus. Tunnelmodus IKE Exchange-moduser. Aggressive-modus for forhåndsdelt nøkkel og hybridautentisering eller Main-modus for sertifikatautentisering. Krypteringsalgoritmer. 3DES, AES-128, AES-256. Autentiseringsalgoritmer. HMAC-MD5, HMAC-SHA1. Diffie-Hellman-grupper. Gruppe 2 er påkrevd for forhåndsdelt nøkkel og hybridautentisering. Bruk gruppe 2 med 3DES og AES-128 for sertifikat- autentisering. Bruk gruppe 2 eller 5 med AES-256. PFS (Perfect Forward Secrecy). Hvis PFS brukes, må Diffie-Hellman-gruppen være den samme for IKE fase 2-gruppen som for IKE fase 1. Moduskonfigurering. Må aktiveres. Dead Peer Detection. Anbefales. Standard NAT Traversal. Støttes og kan aktiveres (IPSec over TCP støttes ikke). Lastbalansering. Støttes og kan aktiveres. Nøkkelveksling for fase 1. Støttes ikke per i dag. Det anbefales at tiden for nøkkelveksling på tjeneren settes til én time. ASA-adressemaske. Sørg for at alle adressemasker til enheter enten ikke er angitt eller er satt til For eksempel: asa(config-webvpn)# ip local pool vpn_users mask Hvis du bruker den anbefalte adressemasken, kan enkelte av rutingene i VPNkonfigureringen bli ignorert. For å unngå det må du sørge for at rutingtabellen inneholder alle nødvendige rutinger og kontrollere at subnettadressene er tilgjengelige før utrulling. Andre funksjoner som støttes Programversjon. Versjonen til klientprogramvaren sendes til tjeneren, slik at tjeneren kan godta eller avvise tilkoblinger basert på enhetens programvareversjon. Banner. Banneret (hvis det er konfigurert på tjeneren) vises på enheten, og brukeren må godta det eller koble fra. Delt tunnel. Delt tunnel støttes. Delt DNS. Delt DNS støttes. Standard domene. Standard domene støttes. 10

11 VPN On Demand Med VPN On Demand kan ios automatisk etablere en sikker tilkobling uten brukertilgang. VPN-tilkoblingen opprettes etter behov på grunnlag av regler som er definert i en konfigurasjonsprofil. I ios 7 konfigureres VPN On Demand med OnDemandRules-nøkkelen i en VPN-konfigurasjon i en konfigurasjonsprofil. Regler brukes i to faser: Fasen for nettverksgjenkjenning. Angir VPN-krav som brukes når enhetens primære nettverkstilkobling endres. Fasen for vurdering av tilkoblingen. Definerer VPN-kravene til forespørsler om tilkobling til domenenavn etter behov. Regler kan for eksempler brukes til å: registrere når en ios-enhet er tilkoblet et internt nettverk og VPN ikke er nødvendig registrere når det brukes et ukjent Wi-Fi-nettverk og VPN kreves for all nettverksaktivitet kreve VPN når en DNS-forespørsel etter et bestemt domenenavn mislykkes Fasen for nettverksgjenkjenning Regler for VPN On Demand vurderes når grensesnittet til enhetens primære nettverk endres, som for eksempel når en ios-enhet bytter til et annet Wi-Finettverk eller fra et Wi-Fi-nettverk til et mobilnettverk. Hvis det primære grensesnittet er et virtuelt grensesnitt, for eksempel et VPN-grensesnitt, ignoreres VPN On Demand-regler. Alle regler i hvert sett (ordliste) må oppfylles for at handlingen skal utføres. Hvis noen av reglene ikke oppfylles, vurderes neste ordliste helt til hele OnDemandRules-rekken er gjennomgått. Den siste ordlisten bør definere en standardkonfigurasjon uten noen regler, men kun en handling. Det fanger opp alle tilkoblinger som ikke har oppfylt de foregående reglene. Fasen for vurdering av tilkoblingen VPN kan aktiveres etter behov ved forespørsler om tilkobling til bestemte domener, i stedet for kun tilkobling eller frakobling til VPN basert på nettverksgrensesnittet. Regler etter behov Angi én eller flere av følgende regler: InterfaceTypeMatch. Valgfri. En strengverdi for Wi-Fi- eller mobilnettverk. Regelen oppfylles når maskinvaren til det primære grensesnittet er av angitt type. SSIDMatch. Valgfri. En rekke med SSID-er som skal kontrolleres mot gjeldende nettverk. Hvis nettverket ikke er et Wi-Fi-nettverk, eller hvis SSID-en ikke vises i listen, oppfylles ikke regelen. Utelat nøkkelen og rekken for å ignorere SSID. DNSDomainMatch. Valgfri. En rekke med søkedomener som strenger. Egenskapen oppfylles hvis det konfigurerte DNS-søkedomenet i gjeldende primærnettverk er inkludert i listen. Jokertegnprefiks (*) støttes, slik at *.example.com svarer til anything.example.com. 11

12 DNSServerAddressMatch. Valgfri. En rekke med DNS-tjeneradresser som strenger. Egenskapen oppfylles hvis alle DNS-tjeneradressene som er konfigurert for det primære grensesnittet, finnes i rekken. Jokertegn (*) støttes, slik at * svarer til alle DNS-tjenere med prefiks. URLStringProbe. Valgfri. En tjener som kontrollerer tilgjengelighet. Omdirigering støttes ikke. URL-en bør gå til en godkjent HTTPS-tjener. Enheten sender en GET-forespørsel for å kontrollere om tjeneren er tilgjengelig. Handling Nøkkelen definerer VPN-atferd for når alle angitte regler oppfylles. Nøkkelen er påkrevd. Verdier for handlingsnøkkelen er: Koble til. Åpner VPN-tilkoblingen ubetinget ved neste forsøk på tilkobling. Koble fra. Avbryter VPN-tilkoblingen og aktiverer ingen nye tilkoblinger etter behov. Ignorer. Lar eksisterende VPN-tilkoblinger være åpne, men aktiverer ingen nye tilkoblinger etter behov. Tillat. For ios-enheter med ios 6 eller eldre. Se «Informasjon om bakover- kompatibilitet» senere i dette kapittelet. EvaluateConnection. Vurderer ActionParameters for hvert forsøk på å koble til. Når regelen brukes, er ActionParameters, som er beskrevet nedenfor, påkrevd for å angi vurderingsreglene. ActionParameters En rekke med ordlister med nøklene beskrevet nedenfor, som vurderes i den rekkefølgen de er angitt. Påkrevd når handlingen er EvaluateConnection. Domains. Påkrevd. En rekke med strenger som definerer domenene som vurderingen gjelder for. Jokertegnprefikser støttes, som *.example.com. DomainAction. Påkrevd. Definerer VPN-atferd for domenene angitt under Domains. Verdier for DomainAction-nøkkelen er: ConnectIfNeeded. Viser VPN hvis DNS-løsningen for domenene mislykkes, som når DNS-tjeneren angir at den ikke kan løse domenenavnet, eller hvis DNS-svaret omdirigeres, eller hvis tilkoblingen mislykkes eller tar for lang tid. NeverConnect. Aktiverer ikke VPN for domenene. Når DomainAction er ConnectIfNeeded, kan du også angi følgende nøkler i ordlisten for vurdering av tilkobling: RequiredDNSServers. Valgfri. En rekke av IP-adresser til DNS-tjenere som skal brukes for å løse domenene. Disse tjenerne trenger ikke å inngå i enhetens gjeldende nettverkskonfigurasjon. Hvis DNS-tjenerne ikke er tilgjengelige, aktiveres VPN. Konfigurer en intern DNS-tjener eller en godkjent ekstern DNStjener. RequiredURLStringProbe. Valgfri. En HTTP- eller HTTPS-URL (sistnevnte foretrukket) URL for kontroll, ved hjelp av en GET-forespørsel. Hvis DNS-løsningen for tjeneren lykkes, må også kontrollen lykkes. Hvis kontrollen mislykkes, aktiveres VPN. 12

13 Informasjon om bakoverkompatibilitet Før ios 7 ble regler som aktiverte domener, konfigurert via domenerekker kalt OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry og OnDemandMatchDomainNever. OnRetry og Never støttes fortsatt i ios 7, selv om handlingen EvaluateConnection prioriteres. Hvis du vil lage en profil som fungerer i både ios 7 og eldre versjoner, bruker du de nye EvaluateConnection-nøklene i tillegg til OnDemandMatchDomain-rekkene. Eldre ios-versjoner som ikke gjenkjenner EvaluateConnection, vil bruke de gamle rekkene, mens ios 7 og nyere versjoner vil bruke EvaluateConnection. Eldre konfigurasjonsprofiler som angir Tillat-handlingen, fungerer i ios 7, med unntak av OnDemandMatchDomainsAlways-domener. Per App VPN I ios 7 kan VPN-tilkoblinger opprettes per app. Det gir mer detaljert kontroll over hvilke data som overføres over VPN, og hvilke som ikke gjør det. Med VPN per enhet overføres alle data over det private nettverket uavhengig av opprinnelse. Når stadig flere personlige enheter brukes i bedriften, gir Per App VPN sikker nettverkstilkobling for interne apper samtidig som personvernet ivaretas med hensyn til aktiviteten på den personlige enheten. Med Per App VPN kan hver app som administreres av MDM kommunisere med det private nettverket via en sikker tunnel, mens andre, ikke-administrerte apper på enheten ikke kan bruke det private nettverket. I tillegg kan administrerte apper konfigureres med ulike VPN-tilkoblinger for å sikre data ytterligere. En app med salgstilbud kan for eksempel bruke et helt annet datasenter enn en app med utestående fordringer, mens brukerens personlige nettrafikk skjer over det offentlige nettet. Muligheten til å skille mellom trafikk på appnivå gjør det mulig å holde personlige data atskilt fra bedriftens data. Per App VPN krever at appen administreres via MDM og bruker standard nettverks- API-er for ios. Per App VPN konfigureres med en MDM-konfigurasjon som angir hvilke apper og Safari-domener som kan bruke innstillingene. Du finner mer informasjon om MDM i kapittel 3: Konfigurering og administrering. Single Sign On (SSO) I ios 7 kan apper bruke bedriftens eksisterende infrastruktur for Single Sign On via Kerberos. Single Sign On kan forbedre brukeropplevelsen ettersom brukeren kun trenger å oppgi passordet én gang. Det øker også sikkerheten ved den daglige bruken av apper ettersom passordene aldri overføres trådløst. Kerberos-autentiseringssystemet som brukes i ios 7 er en bransjestandard og den mest brukte teknologien for Single Sign On i verden. Hvis du har Active Directory, edirectory eller OpenDirectory, har du sannsynligvis allerede et Kerberos-system som ios 7 kan anvende. ios-enheter må kunne koble til Kerberos-tjenesten via en nettverksforbindelse for å autentisere brukere. 13

14 Apper som støttes ios har fleksibel støtte for Kerberos-enkeltpålogging (SSO) for alle apper som bruker NSURLConnection- eller NSURLSession-klassen til å administrere nettverkstilkoblinger og autentisering. Apple gir alle utviklere rammeverk på dette høye nivået, slik at nettverkstilkoblingene integreres sømløst med appene. Apple tilbyr også Safari som eksempel, slik at du kommer i gang med å bruke SSO-aktiverte nettsider som støttes. Konfigurere SSO Single Sign On konfigureres med konfigurasjonsprofiler, som enten kan installeres manuelt eller administreres med MDM. SSO-kontoen kan konfigureres fleksibelt. SSO kan være åpen for alle apper eller begrenses av enten app-id, tjeneste-url eller begge. Det brukes et enkelt mønster for å se om URL-ene stemmer, og URL-er må begynne på enten eller Hele URL-en kontrolleres, så de må stemme helt nøyaktig. For eksempel, en URLPrefixMatches-verdi på vil ikke stemme overens med Du kan angi eller for å begrense bruken av SSO til enten sikre eller regulære HTTP-tjenester. URLPrefixMatches-verdien vil for eksempel gjøre at SSO-kontoen utelukkende brukes til sikre HTTPS-tjenester. Hvis et URL-mønster ikke slutter på skråstrek (/), legges det til en skråstrek (/). AppIdentifierMatches-rekken må inneholde strenger som svarer til appens pakke- ID-er. Strengene kan være helt presise (for eksempel com.mycompany.myapp) eller de kan angi et prefiks i pakke-id-en ved at det brukes et jokertegn (*). Jokertegnet må stå etter et punktum (.) og kun på slutten av strengen (for eksempel com.mycompany.*). Når det brukes et jokertegn, er alle apper med en pakke-id som begynner med prefikset, garantert tilgang til kontoen. Digitale sertifikater Digitale sertifikater er en identifiseringstype som gjør det mulig å strømlinjeforme autentisering, dataintegritet og kryptering. Et digitalt sertifikat består av en fellesnøkkel, informasjon om brukeren og sertifiseringsmyndigheten som utstedte sertifikatet. ios støtter digitale sertifikater, noe som gir bedrifter sikker, strømlinjeformet tilgang til bedriftstjenester. Sertifikater kan brukes på en rekke måter. Data som signeres med et digitalt sertifikat, kan ikke endres. Sertifikater kan brukes til å garantere identiteten til forfatteren eller personen som har signert. De kan også brukes til å kryptere konfigurasjonsprofiler og nettverkskommunikasjon for å beskytte konfidensiell eller privat informasjon enda bedre. Safari-nettleseren kan kontrollere om et digitalt X.509-sertifikat er gyldig og opprette en sikker økt med opptil 256-bits AES-kryptering. Det sørger for at nettstedets identitet er godkjent og at kommunikasjonen med nettstedet er beskyttet, slik at personlig eller konfidensiell informasjon ikke kan fanges opp. 14

15 Sertifikater og identitetsformater som støttes: ios har støtte for X.509-sertifikater med RSA-nøkler. Filtypene.cer,.crt,.der,.p12 og.pfx gjenkjennes. Bruke sertifikater i ios Rotsertifikater ios leveres med flere forhåndsinstallerte rotsertifikater. Du finner mer informasjon i listen i denne artikkelen på Apples supportnettsted. ios kan oppdatere sertifikater trådløst dersom forhåndsinnstilte rotsertifikater blir skadet. Funksjonen kan deaktiveres med en restriksjon som forhindrer trådløse oppdateringer. Hvis du bruker et rotsertifikat som ikke er forhåndsinstallert, som et selvsignert rotsertifikat bedriften har laget, kan du distribuere det på en av måtene som er angitt nedenfor. Distribuere og installere sertifikater Det er enkelt å distribuere sertifikater til ios-enheter. Når et sertifikat mottas, kan brukerne ganske enkelt trykke for å gå gjennom innholdet, og deretter trykke for å legge til sertifikatet på enheten. Når et identitetssertifikat er installert, blir brukerne bedt om å oppgi et langt passord som beskytter det. Hvis autentisiteten til et sertifikat ikke kan bekreftes, blir det vist som ikke-godkjent, og brukeren kan velge om hun eller han vil legge det til allikevel. Installere sertifikater via konfigurasjonsprofiler Hvis konfigurasjonsprofiler brukes til å distribuere innstillinger for bedriftstjenester som Exchange, VPN eller Wi-Fi, kan sertifikater legges til i profilen for mer strøm- linjeformet utrulling. Det innbefatter muligheten til å distribuere sertifikater via MDM. Installere sertifikater via Mail eller Safari Hvis et sertifikat sendes i en e-post, vil det vises som et vedlegg. Safari kan også brukes til å laste ned sertifikater fra en nettside. Du kan ha et sertifikat på et sikkert nettsted og gi brukerne URL-en der de kan laste ned sertifikatet til enhetene. Fjerne og kalle tilbake sertifikater Hvis du vil fjerne et installert sertifikat manuelt, velger du Innstillinger > Generelt > Profiler, og deretter velger du sertifikatet du vil fjerne. Hvis en bruker fjerner et sertifikat som er påkrevd for å få tilgang til en konto eller et nettverk, vil ikke enheten lenger kunne koble til de aktuelle tjenestene. En MDM-tjener kan vise alle sertifikater på en enhet og fjerne alle sertifikater den har installert. I tillegg støttes protokollene OCSP (Online Certificate Status Protocol) og CRL (Certificate Revocation List) for kontroll av sertifikatstatus. Når et OCSP- eller CRLaktivert sertifikat brukes, kontrollerer ios jevnlig at det ikke er tilbakekalt. Bonjour Bonjour er Apples standardbaserte nettverksprotokoll uten konfigurering. Den gjør at enheter finner tjenester på et nettverk. ios-enheter bruker Bonjour til å oppdage AirPrint-kompatible skrivere og AirPlay-kompatible enheter, for eksempel Apple TV. Enkelte «peer-to-peer»-apper krever også Bonjour. Nettverksinfrastrukturen og Bonjour må være riktig konfigurert for å fungere sammen. ios 7.1-enheter vil også se etter AirPlay-kilder via Bluetooth. Når en kompatibel Apple TV oppdages, vil AirPlay-data overføres via Wi-Fi-nettverket. Apple TV 6.1 eller nyere kreves for å aktivere Bluetooth-oppdagelse, og ios-enheten og Apple TVenheten må være koblet til samme subnett for å spille av eller speile innhold. Du finner mer informasjon om Bonjour på denne Apple-nettsiden. 15

16 Kapittel 2: Sikkerhet ios er utviklet med flere sikkerhetslag. Det er derfor trygt å bruke ios-enheter til å få tilgang til nettverkstjenester og beskytte viktige data. ios har sterk kryptering for data som overføres, velprøvde autentiseringsmetoder for tilgang til bedriftens tjenester og maskinvarekryptering for alle arkiverte data. ios har også sikker beskyttelse gjennom bruken av passordregler som kan leveres og håndheves trådløst. Dersom enheten skulle havne i gale hender, kan brukere og IT-admini- stratorer utføre en fjernsletting for å fjerne privat informasjon. Med tanke på ios' sikkerhet til bedriftsbruk, er det praktisk å sette seg inn i følgende: Enhetskontroller. Metoder som forhindrer uautorisert bruk av enheten. Kryptering og databeskyttelse. Beskyttelse av arkiverte data, selv hvis en enhet blir borte eller stjålet. Nettverkssikkerhet. Nettverksprotokoller og kryptering av data som overføres. Appsikkerhet.Apper kan kjøre sikkert uten at det går på bekostning av plattformintegriteten. Internettjenester. Apples nettverkbaserte infrastruktur for meldinger, synkronisering og sikkerhetskopier. Disse funksjonene fungerer sammen og gir en sikker mobilplattform. Det er støtte for følgende sikkerhetskoderegler: Krev kode på enheten Krev alfanumerisk verdi Minimum kodelengde Minimum antall komplekse tegn Maksimum varighet for kode Tid før automatisk låsing Kodehistorikk Utvidet tid før enheten låses Maksimum antall mislykkede forsøk Sikkerhet på enheten Det må etableres strenge regler for tilgang til ios-enheter for å beskytte bedrifts- informasjon. Første ledd i forsvaret mot uautorisert tilgang er å beskytte enhetene med sikkerhetskoder. Kodene kan konfigureres og aktiveres trådløst. ios-enheter bruker den unike koden hver bruker har angitt, for å generere en sterk krypterings- nøkkel som gir ekstra beskyttelse til e-post og sensitiv appdata på enheten. I tillegg bruker ios sikre metoder til å konfigurere enheten i et IT-miljø, der bestemte innstillinger, regler og restriksjoner må være på plass. Metodene gir fleksible alternativer for å etablere et standardnivå av beskyttelse for autoriserte brukere. Sikkerhetskoderegler Koden til en enhet hindrer uautoriserte brukere i å få tilgang til enheten og dataene. ios har en rekke koderegler for ulike sikkerhetsbehov, blant annet tidsavbrudd, passordstyrke og hvor ofte passordet må endres. 16

17 Håndheving av regler Regler kan distribueres som en del av en konfigurasjonsprofil som brukere installerer. En profil kan defineres slik at den kun kan slettes med et administratorpassord, eller du kan definere profilen slik at den låses til enheten og ikke kan fjernes uten at alt innholdet på enheten slettes. Dessuten kan kodeinnstillinger konfigureres eksternt med MDM-løsninger som kan overføre regler direkte til enheten via pushteknologi. Slik kan regler implementeres og oppdateres uten at brukeren må gjøre noe. Hvis enheten er konfigurert for tilgang til en Microsoft Exchange-konto, sendes Exchange ActiveSync-reglene til enheten trådløst. Hvilke regler som er tilgjengelige, vil variere avhengig av hvilken versjon av Exchange ActiveSync og Exchange Server som brukes. Hvis det både er angitt Exchange- og MDM-regler, vil den strengeste regelen gjelde. Sikker enhetskonfigurering Konfigurasjonsprofiler er XML-filer som inneholder sikkerhetsregler og -restriksjoner, informasjon om VPN-konfigurasjon, Wi-Fi-innstillinger, e-post- og kalenderkontoer samt autentiserings- og påloggingsinformasjon som gir ios-enheter tilgang til bedriftens IT-system. Muligheten til å etablere koderegler i tillegg til innstillingene i en konfigurasjonsprofil gjør at enheter i bedriften konfigureres korrekt og i samsvar med de sikkerhetsstandardene som IT-avdelingen har fastsatt. Ettersom konfigurasjonsprofilene kan krypteres og låses, kan ikke innstillingene fjernes, endres eller deles med andre. Konfigurasjonsprofiler kan både signeres og krypteres. Når en konfigurasjonsprofil signeres, trer innstillingene i kraft og kan ikke endres. Kryptering av en konfigurasjons- profil beskytter profilens innhold og tillater installering kun på enheten den ble opprettet for. Konfigurasjonsprofiler krypteres med CMS (Cryptographic Message Syntax, RFC 3852) og støtter 3DES og AES 128. Første gang du distribuerer en kryptert konfigurasjonsprofil, kan du enten installere den via USB med Apple Configurator, trådløst med Over-the-Air Profile Delivery og konfigurasjonsprotokollen eller med MDM. Konfigurasjonsprofiler som krypteres senere, kan overføres via e-postvedlegg, legges på en nettside som brukerne har tilgang til, eller overføres til enhetene med MDM-løsninger. Du finner mer informasjon på nettsiden Over-the-Air Profile Delivery and Configuration protocol i ios-utviklerbiblioteket. Enhetsrestriksjoner Enhetsrestriksjoner avgjør hvilke funksjoner brukerne har tilgang til på enheten. Dette er gjerne nettverksaktiverte apper som Safari, YouTube eller itunes Store, men restriksjoner kan også kontrollere funksjonalitet på enheten, som installering av apper eller bruk av kameraet. Du bruker restriksjoner til å konfigurere enheten slik at den oppfyller bedriftens krav og brukes i samsvar med bedriftens regler. Restriksjoner kan konfigureres manuelt på hver enhet, implementeres via en konfigurasjonsprofil eller overføres eksternt med en MDM-løsning. Akkurat som koderegler kan restriksjoner for kameraet eller nettbruken implementeres trådløst via Microsoft Exchange Server 2007 og Restriksjoner kan også brukes til å hindre at e-postmeldinger flyttes mellom kontoer, eller at meldinger som mottas til én konto videresendes til en annen. I Tillegg B finner du informasjon om hvilke restriksjoner som støttes. 17

18 Kryptering og databeskyttelse I alle miljøer med sensitiv informasjon er det viktig å beskytte data som er lagret på ios-enhetene. I tillegg til å kryptere data som overføres, har ios maskinvarekryptering for alle dataene som er lagret på enheten, og kryptering av e-post- og appdata med forbedret databeskyttelse. Kryptering ios-enheter bruker maskinvarebasert kryptering. Maskinvarekryptering bruker 256-bits AES til å beskytte alle data på enheten. Kryptering er alltid aktivert og kan ikke deaktiveres. All data som sikkerhetskopieres til itunes på brukerens datamaskin, kan krypteres. Funksjonen kan aktiveres av brukeren, eller håndheves ved hjelp av innstillinger for enhetsrestriksjoner i konfigurasjonsprofiler. ios støtter også S/MIME i e-post, slik at brukerne kan vise og sende krypterte e-postmeldinger. Krypteringsmodulene i ios 7 og ios 6 samsvarer med amerikanske FIPS nivå 1 (Federal Information Processing Standard). Det sikrer integriteten til krypteringen i Apple-apper og tredjepartsapper som har rett til å bruke krypteringstjenestene i ios. Du finner mer informasjon på nettsiden ios-produktsikkerhet: Valideringer og veiledning og ios 7: Apple FIPS ios Cryptographic Modules v4.0. Databeskyttelse E-postmeldinger og -vedlegg på enheten kan sikres ytterligere med databeskyttelsesfunksjonene som er innebygd i ios. Databeskyttelse benytter hver brukers unike enhetspassord kombinert med maskinvarekrypteringen på iosenheter for å generere en sterk krypteringsnøkkel. Det hindrer tilgang til dataene når enheten er låst. Kritisk informasjon er sikker selv om enheten skulle bli stjålet. Du aktiverer databeskyttelsen ved å angi en kode på enheten. Hvor effektiv data- beskyttelsen er, avhenger av hvor sterk koden er. Når du lager kodereglene, er det viktig å kreve og håndheve bruk av koder som består av mer enn fire tegn. Brukerne kan bekrefte at databeskyttelse er aktivert på enheten ved å se på skjermen for kodeinnstillinger. MDM-løsninger kan også spørre enheter om slik informasjon. API-er med databeskyttelse er også tilgjengelig for utviklere og kan brukes til å sikre data i App Store-apper eller tilpassede bedriftsapper som er utviklet internt. Fra og med ios 7 blir data som arkiveres på apper, som standard plassert i sikkerhetsklassen «Beskyttet til første brukerautentisering». Det tilsvarer fullstendig diskkryptering på stasjonære datamaskiner og beskytter data mot angrep som involverer en omstart. Merk: Hvis en enhet er oppgradert fra ios 6, blir eksisterende datalagre ikke konvertert til den nye klassen. Appen må fjernes og installeres på nytt for å dekkes av den nye beskyttelsesklassen. Touch ID Touch ID er fingeravtrykksystemet som er innebygd i iphone 5s. Det gir svært sikker tilgang til enheten på en raskere og enklere måte. Den framtidsrettede teknologien kan lese av fingeravtrykk fra alle vinkler, og den lærer stadig mer om brukerens fingeravtrykk over tid. Sensoren fortsetter å utvide kartet over fingeravtrykk ettersom overlappende noder registreres for hver bruk. Touch ID gjør det enklere å bruke lange, komplekse koder, for brukeren trenger ikke å angi dem like ofte. Touch ID løser også den upraktiske siden ved bruk av kodelås. Funksjonen erstatter ikke kodelåsen, men gir sikker tilgang til enheten på en rask og god måte. 18

19 Når Touch ID er aktivert, låses iphone 5s umiddelbart når det trykkes på Dvale/ vekke-knappen. Brukere som kun bruker kode, angir ofte utvidet tid før enheten låses, slik at de slipper å angi koden hver gang de bruker enheten. Med Touch ID låses iphone 5s hver gang den går i dvale, og enheten krever et fingeravtrykk eller en kode for å vekkes. Touch ID fungerer sammen med Secure Enclave, en koprosessor som er bygd inn i Apple A7-brikken. Secure Enclave har et eget beskyttet og kryptert minne og kommuniserer sikkert med Touch ID-sensoren. Når iphone 5s låses, beskyttes nøklene til databeskyttelsesklassen Komplett av en nøkkel i det krypterte minnet i Secure Enclave. Nøkkelen oppbevares i maksimum 48 timer, og den slettes hvis iphone 5s startes på nytt eller et ukjent fingeravtrykk brukes fem ganger. Hvis et fingeravtrykk gjenkjennes, utleverer Secure Enclave nøkkelen for å pakke opp databeskyttelsesnøklene, og enheten låses opp. Fjernsletting ios støtter fjernsletting. Hvis en enhet mistes eller blir stjålet, kan administratoren eller eieren av enheten sende en fjernsletting-kommando som fjerner alle data og deaktiverer enheten. Hvis enheten er konfigurert med en Exchange-konto, kan administratoren utføre fjernsletting ved hjelp av Exchange Management Console (Exchange Server 2007) eller Exchange ActiveSync Mobile Administration Webverktøyet (Exchange Server 2003 eller 2007). Brukere av Exchange Server 2007 kan også utføre fjernsletting direkte via Outlook Web Access. Videre kan fjernsletting utføres med MDM-løsninger eller via Finn iphone-funksjonen i icloud, selv om Exchange-bedriftstjenester ikke benyttes. Lokal sletting Enheter kan også konfigureres til å utføre en lokal sletting etter at feil kode er oppgitt flere ganger. Det beskytter mot «brute-force»-angrep for å få tilgang til enheten. Når en kode er opprettet, kan brukerne aktivere lokal sletting direkte i innstillingene. Som standard vil ios slette innholdet på enheten automatisk etter ti mislykkede forsøk på å tippe koden. Som med andre koderegler kan grensen for antall mislykkede forsøk angis i en konfigurasjonsprofil, via en MDM-tjener eller trådløst via Microsoft Exchange ActiveSync-retningslinjer. Finn iphone og aktiveringslås. Hvis en enhet mistes eller blir stjålet, er det viktig å slette innholdet og deaktivere enheten. Når Finn iphone er aktivert i ios 7, kan ikke enheten aktiveres på nytt uten eierens Apple-ID-påloggingsinformasjon. Bedriftseide enheter bør enten overvåkes, eller bedriften bør pålegge brukerne å deaktivere Finn iphone, slik at funksjonen ikke forhindrer bedriften i å tildele enheten til andre ansatte. I ios 7.1 og nyere kan du bruke en kompatibel MDM-løsning til å aktivere aktiveringslås når en bruker slår på Finn iphone. MDM-løsningen din kan oppbevare en overstyringskode når Aktiveringslås aktiveres, og senere bruke denne koden til å fjerne Aktiveringslås automatisk når du må slette enheten og rulle den ut til en ny bruker. Se dokumentasjonen for MDM-løsningen din for mer detaljert informasjon. Du finner mer informasjon om Finn iphone og aktiveringslås her: icloud-support og Mobile Device Management og aktiveringslås for Finn iphone. 19

20 Nettverkssikkerhet Innebygd Cisco IPSec, L2TP, PPTP VPN SSL VPN via App Store-apper SSL/TLS med X.509-sertifikater WPA/WPA2 Enterprise med 802.1X Sertifikatbasert autentisering RSA SecurID, CRYPTOCard VPN-protokoller Cisco IPSec L2TP/IPSec PPTP SSL VPN Autentiseringsmetoder Passord (MSCHAPv2) RSA SecurID CryptoCard X.509 digitale sertifikater Delt hemmelighet 802.1X-autentiseringsprotokoller EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Sertifikatformater som støttes ios har støtte for X.509-sertifikater med RSA-nøkler. Filtypene.cer,.crt og.der gjenkjennes. Nettverkssikkerhet Mobilbrukere må ha tilgang til bedriftsinformasjon fra hele verden, men det er samtidig viktig å sikre at brukerne er godkjent, og at dataene er beskyttet under overføringen. ios benytter velprøvd teknologi for å oppfylle disse sikkerhets- kravene for både Wi-Fi- og mobildatanettverksforbindelser. I tillegg til den eksisterende infrastrukturen er hver eneste FaceTime-økt og imessage-samtale kryptert fra ende til annen. ios oppretter en unik ID for hver bruker, slik at kommunikasjonen krypteres, rutes og kobles riktig. VPN Mange bedriftsmiljøer har en form for virtuelle private nettverk (VPN). Disse sikre nettverkstjenestene er allerede tatt i bruk og krever vanligvis minimal konfigurering for å fungere med ios. ios er klart til å integreres med en rekke vanlige VPNteknologier. Du finner mer informasjon under «Virtuelle private nettverk» i kapittel 1. SSL/TLS ios støtter SSL v3 og Transport Layer Security (TLS v1.0, 1.1 og 1.2). Safari, Kalender, Mail og andre internettapper starter disse mekanismene automatisk for å opprette en kryptert kommunikasjonskanal mellom ios og bedriftstjenestene. WPA/WPA2 ios støtter WPA2 Enterprise for å gi autentisert tilgang til bedrifters trådløse nettverk. WPA2 Enterprise bruker 128-bit AES-kryptering, som gir brukerne den beste mulige forsikringen om at dataene deres fortsatt er beskyttet når de kommuniserer over et Wi-Fi-nettverk. Og med støtte for 802.1X kan iphone og ipad integreres i en rekke RADIUS-godkjenningsmiljøer. Appsikkerhet ios er utviklet med en sikkerhetsorientert kjerne. Det har en «sandbox»-løsning for appbeskyttelse ved kjøring og appsignering for å sikre at apper ikke kan tukles med. ios har også et rammeverk der påloggingsinformasjon til apper og nettverkstjenester plasseres på et kryptert lagringssted kalt nøkkelring. Utviklere kan benytte seg av en Common Crypto-arkitektur til å kryptere appdata. Beskyttelse ved kjøring Apper på enheten blir «sandboxed» for å begrense tilgangen til data i andre apper. I tillegg er systemfiler, ressurser og kernelen beskyttet fra brukerens appområde. Hvis en app trenger tilgang til data fra en annen app, må den gå via API-ene og tjenestene i ios. Kodegenerering er heller ikke mulig. Obligatorisk kodesignering Alle ios-apper må signeres. Appene som leveres med enheten, er signert av Apple. Tredjepartsapper er signert av utvikleren med et sertifikat utstedt av Apple. Derfor kan ikke apper tukles med eller endres. I tillegg tas det sanntidskontroller for å sikre at en app ikke har mistet godkjenningen siden sist den ble brukt. 20