Sunday, November 6, 2011

Tổng quan triển khai bảo mật cho iPhone và iPad

iOS, hệ điều hành dành cho iPhone và iPad, được xây dựng dựa trên nền tảng bảo mật. Điều này sẽ giúp iPhone và iPad có thể truy cập an toàn dịch vụ của các doanh nghiệp cũng như có khả năng bảo vệ dữ liệu quan trọng. iOS cung cấp khả năng mã hóa mạnh mẽ khi truyền dữ liệu, có các phương pháp xác nhận khi truy cập dịch vụ cũng như mã hóa phần cứng cho tất cả các dữ liệu còn lại được an toàn. Hệ điều hành này còn cung cấp khả năng bảo vệ an toàn bằng việc sử dụng các policy passcode có thể sử dụng bất kì lúc nào. Bên cạnh đó, nếu thiết bị chẳng may rơi vào tay kẻ xấu, người dùng hoặc nhân viên IT hoàn toàn có thể tạo lệnh xóa từ xa tất cả các thông tin cá nhân có trên máy.

Tổng quan triển khai bảo mật cho iPhone và iPad
Khi cân nhắc tới việc sử dụng hệ điều hành iOS trong môi trường doanh nghiệp, bạn nên biết những điều sau:
- Bảo mật thiết bị: Cung cấp các phương pháp giúp ngăn chặn sử dụng thiết bị trái phép
- Bảo mật dữ liệu: Liên tục bảo vệ dữ liệu, ngay cả khi mất thiết bị hoặc bị trộm
- Bảo mật mạng: Giao thức mạng và mã hóa dữ liệu khi truyền
- Bảo mật ứng dụng: Nền tảng bảo mật cho iOS
Những tính năng trên làm việc cùng nhau nhằm cung cấp một nền tảng bảo mật dành cho di động.

Bảo mật thiết bị

Thiết lập các policy mạnh mẽ để truy cập iPhone và iPad là việc rất quan trọng để bảo vệ thông tin trên máy. Mật khẩu cho thiết bị sẽ là “hàng phòng ngự” đầu tiên chống lại truy cập trái phép và có thể cấu hình và thiết lập rất nhanh chóng. Thiết bị chạy hệ điều hành iOS sử dụng mật khẩu độc đáo (được tạo bởi người dùng) để có thể tạo key mã hóa mạnh mẽ giúp bảo vệ email và các dữ liệu quan trọng khác có trên thiết bị. Thêm vào đó, iOS còn cung cấp các phương pháp bảo mật để cấu hình thiết bị dành cho môi trường doanh nghiệp sử dụng. Những phương pháp này cung cấp rất nhiều lựa chọn linh hoạt để thiết lập một tầng bảo mật chuẩn, giúp bảo vệ người dùng hợp lệ.

Policy Passcode

Mật khẩu bảo vệ thiết bị có thể ngăn chặn người dùng không hợp lệ, khiến họ không thể truy cập dữ liệu hoặc chiếm quyền truy cập vào thiết bị. IOS cho phép người dùng có thể chọn từ một tập hợp các passcode nhằm đáp ứng nhu cầu bảo mật, bao gồm khoảng thời gian chờ, độ mạnh của mật khẩu cũng như thời gian cần thay đổi mật khẩu.
Các loại passcode sau được iOS hỗ trợ:
- Yêu cầu passcode trên thiết bị
- Cho phép giá trị đơn giản
- Yêu cầu giá trị bao gồm chữ và số
- Độ dài ngắn nhất cho passcode
- Số lượng tối thiểu các ký tự đặc biệt
- Tuổi thọ ngắn nhất đối với passcode
- Thời gian trước khi tự động khóa
- Bản ghi passcode
- Khoảng thời gian gia hạn khi khóa thiết bị
- Tối đa số lần đăng nhập thất bại

Tuân thủ Policy

Các policy liệt kê bên trên có thể thiết lập trên thiết bị iPhone và iPad theo nhiều cách khác nhau. Chúng được cung cấp như một phần của Configuration Profile để người dùng cài đặt. Một profile có thể thiết lập để việc xóa profile chỉ có thể thực hiện khi có mật khẩu admin, hoặc người dùng có thể thiết lập profile để nó mãi gắn bó với thiết bị của mình và chỉ có thể gỡ bỏ khi xóa toàn bộ thiết bị. Thêm vào đó, bạn cũng có thể cấu hình từ xa cài đặt passcode bằng cách sử dụng giải pháp Mobile Device Management (quản lý thiết bị di động - MDM) để “áp đặt” các policy trực tiếp cho thiết bị. Điều này giúp thiết lập và cập nhật policy mà không cần tác động từ người dùng. Ngoài ra, nếu thiết bị được cấu hình để truy cập tài khoản Microsoft Exchange, policy Microsoft Exchange ActiveSync sẽ được thiết lập nhanh chóng. Hãy nhớ rằng tập hợp policy có nhiều hay không còn phụ thuộc vào phiên bản của Exchange (2003, 2007 hay 2010). Hãy tham khảo Exchange ActiveSync và các thiết bị iOS để biết được cấu hình cụ thể cho thiết bị của mình.

Cấu hình bảo mật cho thiết bị

Profile cấu hình là file XML, có chứa thông tin cấu hình VPN, hạn chế, policy bảo mật cho thiết bị, cài đặt Wifi, email, tài khoản lịch và thông tin xác nhận cho phép iPhone và iPad có thể làm việc trong môi trường doanh nghiệp. Khả năng thiết lập policy passcode cùng với cài đặt trong Configuration Profile đảm bảo rằng thiết bị được dùng trong môi trường doanh nghiệp được cấu hình chính xác và đáp ứng được những chuẩn bảo mật mà công ty đặt ra. Thêm vào đó, do Configuration Profile có thể mã hóa và khóa, các cài đặt không thể gỡ bỏ, thay thế hoặc chia sẻ cho người khác được.
Configuration Profile có thể quản lý bằng việc ký và mã hóa. Ký một Configuration Profile giúp đảm bảo các cài đặt đã dùng sẽ không bị thay thế. Mã hóa Configuration Profile sẽ bảo vệ nội dung bên trong profile và chỉ cho phép cài đặt trên thiết bị đã tạo ra nó. Configuration Profile được mã hóa bằng thuật toán mã hóa CMS (Cryptographic Message Syntax, RFC 3852), hỗ trợ 3DES và AES 128. Lần đầu tiên sử dụng một bản Configuration Profile mã hóa, người dùng có thể cài đặt nó qua USB hoặc qua Over-the-Air Enrollment.

Hạn chế trên thiết bị

Hạn chế trên thiết bị sẽ quyết định tính năng nào người dùng có thể truy cập trên thiết bị. Về cơ bản, chúng liên quan tới ứng dụng “có quan hệ” với mạng, ví như Safari, YouTube hay iTunes Music Store. Tuy nhiên, hạn chế cũng có khả năng quản lý chức năng của điện thoại, ví như cài đặt ứng dụng hoặc sử dụng camera. Chúng không chỉ giúp bạn cấu hình thiết bị cho phù hợp với yêu cầu của mình mà còn cho phép người dùng tối ưu hóa thiết bị theo nhiều cách khác nhau. Người dùng có thể tự cấu hình các hạn chế trên từng thiết bị, ép sử dụng Configuration Profile hoặc thiết lập từ xa với giải pháp MDM. Thêm vào đó, cũng giống với policy passcode, hạn chế trình duyệt web hoặc camera có thể thực thi nhanh chóng qua Microsoft Exchange Server 2007 và 2010.
Ngoài cài đặt các policy và hạn chế trên thiết bị, nhân viên IT còn có thể cấu hình và quản lý ứng dụng iTunes. Những cấu hình này bao gồm khả năng disable truy cập tới nội dung, xác định dịch vụ mạng nào người dùng có thể truy cập vào iTunes cũng như xác định liệu các phần mềm có bản cập nhật mới hay chưa.

Bảo mật dữ liệu

Bảo vệ dữ liệu có trên thiết bị iPhone và iPad là việc quan trọng ở bất kì môi trường nào. Ngoài việc mã hóa dữ liệu khi truyền, iPhone và iPad có khả năng mã hóa phần cứng đối với tất cả dữ liệu nó đang chứa cùng khả năng mã hóa email và dữ liệu ứng dụng và bảo vệ dữ liệu.
Nếu thiết bị bị trộm hoặc bị mất, việc xóa và làm nó ngưng hoạt động rất quan trọng. Người dùng cũng nên đặt một policy giúp xóa thiết bị sau một số lần đăng nhập không thành công – một yếu tố cốt lõi nhằm chống lại các truy cập trái phép.

Mã hóa

iPhone và iPad cung cấp mã hóa dựa trên phần cứng. Mã hóa phần cứng sử dụng thuật toán mã hóa 256-bit AES để bảo vệ tất cả dữ liệu có trên thiết bị. Tính năng này luôn được kích hoạt và người dùng không thể tắt nó.
Thêm vào đó, dữ liệu trên iTunes đã sao lưu trên máy tính của người dùng cũng sẽ được mã hóa. Người dùng có thể tự mình kích hoạt tính năng này hoặc thiết lập bằng cách sử dụng cài đặt hạn chế trong Configuration Profiles.
iOS hỗ trợ S/MIME trong mail, giúp iPhone và iPad có thể mở và gửi email message đã mã hóa. Người dùng cũng có thể áp dụng các hạn chế để ngăn chặn chuyển tiếp email hoặc người nhận di chuyển email giữa nhiều tài khoản.

Bảo vệ dữ liệu

Được xây dựng dựa trên khả năng mã hóa phần cứng của iPad và iPhone, email message và bản đính kèm đã lưu trên thiết bị sẽ được bảo mật hơn nhờ tính năng bảo vẹ dữ liệu có trong iOS. Bảo vệ dữ liệu cũng có ảnh hưởng tới passcode của thiết bị khi làm việc với mã hóa phần cứng trên iPhone và iPad giúp tạo key mã hóa mạnh mẽ. Key này sẽ ngăn chặn dữ liệu khỏi việc bị truy cập khi khóa thiết bị, đảm bảo thông tin quan trọng luôn được an toàn trong mọi trường hợp.
Để kích hoạt tính năng bảo vệ dữ liệu, chỉ cần tạo một passcode trên thiết bị. Hiệu quả của mã hóa dữ liệu phụ thuộc vào một passcode mạnh. Vậy nên, nhân viên IT cần phải yêu cầu và bắt buộc người dùng tạo passcode mạnh mẽ thay vì thiết lập policy passcode chung. Người dùng có thể xác nhận xem tính năng bảo vệ dữ liệu đã được kích hoạt hay chưa bằng cách xem màn hình cài đặt passcode. Giải pháp Mobile Device Management cũng có khả năng truy vấn thiết bị về thông tin này.

Xóa từ xa

iOS hỗ trợ xóa từ xa. Nếu bị mất điện thoại hoặc máy tính bảng, nhân viên admin hoặc chủ sở hữu thiết bị có thể thực hiện một lệnh xóa từ xa để loại bỏ tất cả dữ liệu cũng như vô hiệu hóa thiết bị. Nếu iPhone/iPad được cấu hình tài khoản Exchange, nhân viên admin có thể tạo lệnh xóa từ xa bằng cách sử dụng Exchange Management Console (Exchange Server 2007) hoặc Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003/2007). Người dùng Exchange Server 2007 còn có khả năng tạo lệnh xóa từ xa trực tiếp từ Outlook Web Access. Lệnh xóa từ xa còn có thể thực hiện được bằng cách sử dụng giải pháp MDM ngay cả khi không sử dụng dịch vụ Exchange.

Xóa cục bộ

Các thiết bị còn có thể cấu hình để tự động tạo lệnh xóa cục bộ sau một vài lần nhập passcode không thành công. Điều này sẽ giúp bảo vệ thiết bị nếu hacker sử dụng tấn công brute force để chiếm quyền truy cập vào thiết bị. Khi passcode được thiết lập, người dùng có khả năng kích hoạt xóa cục bộ trực tiếp ngay trong cài đặt. Theo mặc định, iOS sẽ tự động xóa thiết bị sau 10 lần thất bại. Với các policy passcode khác, số lần thất bại tối đa có thể thiết lập qua Configuration Profile, đặt bằng server MDM hoặc thực hiện qua policy Microsoft Exchange ActiveSync.

iCloud

iCloud lưu trữ nhạc, ảnh, lịch làm việc, dữ liệu và các thông tin khác, tự động chuyển chúng sang tất cả các thiết bị của người dùng. iCloud còn có thể sao lưu thông tin, bao gồm cài đặt của thiết bị, dữ liệu ứng dụng, message SMS/MMS qua mạng Wi-Fi. iCloud bảo vệ nội dung trên điện thoại bằng cách mã hóa nó khi gửi qua mạng Internet, lưu trữ nó theo định dạng mã hóa và sử dụng token bảo mật để xác nhận. Thêm vào đó, các tính năng của iCloud, bao gồm Photo Stream, Document SyncBackup, có thể disable qua Configuration Profile.

Bảo mật mạng

Người dùng di động cần truy cập vào mạng doanh nghiệp ở bất kì nơi nào trên thế giới. Do đó, việc xác nhận người dùng hợp lệ và dữ liệu được bảo vệ khi truyền là rất quan trọng. iOS cung cấp các công nghệ tiên tiến để đáp ứng những nhu cầu như vậy cho cả mạng Wi-Fi.
Ngoài cơ sở hạ tầng hiện tại, mỗi phiên FaceTime và iMessage đều được mã hóa. iOS tạo một ID riêng cho mỗi người dùng, đảm bảo rằng các giao tiếp, liên lạc luôn được mã hóa, truyền và kết nối chính xác.

VPN

Rất nhiều doanh nghiệp sử dụng mạng riêng ảo (VPN). Những dịch vụ bảo vệ mạng này đã được triển khai và yêu cầu cài đặt, cấu hình tối thiểu để có thể làm việc với iPhone và iPad.
Bên cạnh đó, iOS tích hợp với rất nhiều công nghệ VPN phổ biến hiện nay qua việc hỗ trợ Cisco IPSec, L2TP và PPTP. Nó còn hỗ trợ SSL VPN qua các ứng dụng như Juniper, Cisco, và F5 Networks. Việc hỗ trợ những giao thức này sẽ giúp đảm bảo mã hóa dựa trên IP luôn ở mức cao nhất khi truyền thông tin quan trọng.
Ngoài việc hỗ trợ truy cập bảo mật vào môi trường VPN hiện tại, iOS còn cung cấp các phương pháp để xác nhận người dùng. Thêm vào đó, chứng chỉ xác nhận cho phép iOS tận dụng lợi thế của VPN On Demand, giúp quá trình xác nhận VPN trở nên dễ dàng hơn trong khi vẫn có được truy cập an toàn vào các dịch vụ mạng. Đối với môi trường doanh nghiệp có yêu cầu xác nhận token có 2 yếu tố, iOS tích hợp với RSA SecurID và CRYPTOCard.

SSL/TLS

iOS hỗ trợ SSL v3 cũng như Transport Layer Security (TLS v1.0, 1.1 và 1.2), chuẩn bảo mật mới cho Internet. Safari, Calendar, Mail và các ứng dụng Internet khác sẽ tự động khởi động những cơ chế này để kích hoạt kênh giao tiếp mã hóa giữa iOS và các dịch vụ của doanh nghiệp.

WPA/WPA2

iOS hỗ trợ WPA2 Enterprise để cung cấp truy cập vào mạng doanh nghiệp (truy cập đã được xác nhận). WPA2 Enterprise sử dụng mã hóa 128-bit AES, cung cấp cho người dùng mức độ bảo mật cao nhất và đảm bảo rằng dữ liệu được bảo vệ khi được gửi và nhận qua mạng Wi-fi. Ngoài ra, với hỗ trợ 802.1X, iPhone và iPad có thể tích hợp với rất nhiều môi trường xác nhận RADIUS khác nhau.

Bảo mật ứng dụng

iOS được thiết kế với cốt lõi trung tâm là bảo mật. Nó bao gồm phương pháp “sandboxed” để bảo vệ ứng dụng đang chạy và yêu cầu chữ ký ứng dụng nhằm đảm bảo rằng chúng không bị giả mạo. iOS còn có một khung bảo mật giúp lưu trữ bảo mật các ứng dụng và dịch vụ mạng trong một key mã hóa. Đối với các lập trình viên, nó cung cấp tính năng mã hóa phổ biến có thể sử dụng để mã hóa kho dữ liệu ứng dụng.

Bảo vệ trong thời gian thực

Các ứng dụng trong thiết bị sẽ được cách ly để chúng không thể truy cập dữ liệu được lưu bởi ứng dụng khác. Thêm vào đó, file hệ thống, nguồn và kernel sẽ được bảo vệ khỏi không gian ứng dụng của người dùng. Nếu một ứng dụng nào đó cần truy cập dữ liệu của ứng dụng khác, nó chỉ có thể thực hiện bằng cách sử dụng API và các dịch vụ được cung cấp bởi iOS. Tạo code cũng không được hỗ trợ.

Bắt buộc ký mã

Tất cả các ứng dụng iOS sẽ phải ký. Các ứng dụng được cung cấp cùng thiết bị sẽ được Apple ký. Các ứng dụng bên thứ 3 được ký bởi nhà cung cấp bằng cách sử dụng xác nhận do Apple phát hành. Điều này giúp đảm bảo rằng ứng dụng không bị thay thế hoặc bị làm giả. Không chỉ vậy, kiểm tra thời gian chạy được tạo nhằm đảm bảo rằng ứng dụng luôn đáng tin cậy.
Việc sử dụng ứng dụng tùy biến hoặc ứng dụng nội bộ được quản lý với một hồ sơ dự liệu - provisioning profile. Người dùng cần phải cài đặt provisioning profile để chạy ứng dụng. Provisioning profile có thể cài đặt hoặc hủy bỏ rất nhanh chóng bằng cách sử dụng giải pháp MDM. Nhân viên admin cũng có khả năng hạn chế việc sử dụng một ứng dụng nào đó đối với một loại thiết bị cụ thể.

Khung xác nhận bảo mật

iOS cung cấp chuỗi key mã hóa bảo mật (keychain) để lưu trữ các thông tin kỹ thuật số, tên người dùng và mật khẩu. Dữ liệu keychain được phân vùng để những thông tin của ứng dụng bên thứ 3 không thể bị truy cập bởi những ứng dụng khác. Điều này cung cấp cơ chế bảo vệ thông tin xác nhận trên iPhone và iPad của nhiều ứng dụng và dịch vụ khác nhau bên trong môi trường doanh nghiệp.

Phương pháp mã hóa phổ biến

Các nhà lập trình phần mềm đã truy cập vào mã hóa APIs để họ có thể sử dụng để bảo vệ dữ liệu của mình. Dữ liệu có thể mã hóa bằng cách sử dụng các phương pháp phổ biến đã được kiểm chứng như AES, RC4 hoặc 3DES. Thêm vào đó, iPhone và iPad còn cung cấp khả năng tăng tốc phần cứng, tối ưu hóa khả năng hoạt động cho ứng dụng.

Bảo vệ dữ liệu ứng dụng

Các ứng dụng cũng có thể tận dụng lợi thế của tính năng mã hóa được tích hợp sẵn trong phần cứng của iPhone và iPad để bảo vệ dữ liệu ứng dụng quan trọng. Các lập trình viên có thể lựa chọn một số file để bảo vệ dữ liệu, chỉ thị cho hệ thống mã hóa nội dung file. Sau đó, nội dung của file sẽ không thể truy cập được bởi cả ứng dụng lẫn những kẻ xâm phạm trái phép khi thiết bị bị khóa.

Ứng dụng đã được quản lý

Server MDM có thể quản lý ứng dụng bên thứ 3 thuộc App Store cũng như các ứng dụng doanh nghiệp. Chỉ định một ứng dụng đã được quản lý sẽ giúp server xác định liệu ứng dụng đó cùng dữ liệu của nó có thể gỡ bỏ khỏi thiết bị bằng server MDM hay không. Thêm vào đó, server này còn giúp ngăn chặn dữ liệu của ứng dụng đã được quản lý không được sao lưu lên iTunes và iCloud. Điều này cho phép nhân viên IT có thể quản lý các ứng dụng có chứa thông tin quan trọng của doanh nghiệp dễ dàng hơn so với ứng dụng người dùng trực tiếp down về.
Để có thể cài đặt ứng dụng đã được quản lý, server MDM gửi một lệnh cài đặt tới thiết bị. Ứng dụng này sẽ yêu cầu người dùng chấp nhận trước khi chúng được cài đặt.
Tổng quan triển khai bảo mật cho iPhone và iPad

Cách mạng thiết bị đi kèm bảo mật

iPhone và iPad cung cấp phương pháp mã hóa dữ liệu khi truyền, khi lưu trữ trên thiết bị và khi sao lưu lên iCloud hoặc iTunes. Cho dù người dùng truy cập email của công ty, truy cập trang web cá nhân hoặc xác nhận để đăng nhập vào mạng doanh nghiệp, iOS đảm bảo rằng chỉ những người hợp lệ mới có thể truy cập vào thông tin quan trọng của công ty. Bên cạnh đó, với hỗ trợ mạng doanh nghiệp cùng các phương pháp nhằm ngăn chặn mất dữ liệu, người dùng có thể sử dụng thiết bị chạy hệ điều hành iOS với tự tin nhất định rằng thiết bị của mình được an toàn và dữ liệu luôn được bảo vệ.



No comments:

Post a Comment

Popular Posts