Utilizzare funzionalità di sicurezza di rete integrate per dispositivi Apple
I dispositivi Apple sono dotati di tecnologie di sicurezza di rete integrate che autorizzano gli utenti e contribuiscono a proteggere i dati durante la trasmissione. Il supporto per la sicurezza di rete dei dispositivi Apple include:
Protocolli IPsec, IKEv2, L2TP integrati
VPN personalizzata tramite le app di App Store (iOS, iPadOS, visionOS)
VPN personalizzata tramite client VPN di terze parti (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) e DTLS
SSL/TLS con certificati X.509
WPA/WPA2/WPA3 Enterprise con 802.1X
Autenticazione basata su certificati
Autenticazione Kerberos o mediante segreto condiviso
RSA SecurID, CRYPTOCard (macOS)
Relay di rete in iOS, iPadOS, macOS e tvOS
In iOS 17, iPadOS 17, macOS 14 e tvOS 17 o versioni successive, è possibile utilizzare un relay integrato per proteggere il traffico tramite una connessione codificata HTTP/3 o HTTP/2 come alternativa alla VPN. Un relay di rete è un tipo speciale di proxy, ottimizzato per le prestazioni, che utilizza i più recenti protocolli di trasporto e sicurezza. Può essere utilizzato per proteggere il traffico TCP e UDP di un’app in particolare, di un intero dispositivo e durante l’accesso a risorse interne. È possibile utilizzare più relay di rete in parallelo, compreso “Relay privato di iCloud”, senza che sia necessaria un’applicazione. Per ulteriori informazioni, consulta Utilizzare i relay di rete.
VPN e IPsec
Molti ambienti aziendali dispongono di alcune forme di reti private virtuali (VPN, Virtual Private Network). Questi servizi VPN sicuri di solito richiedono impostazioni e configurazioni minime per funzionare con dispositivi Apple, che si integrano con molte tecnologie VPN tra le più comuni.
iOS, iPadOS, macOS, tvOS, watchOS e visionOS supportano i protocolli IPsec e i metodi di autenticazione elencati di seguito. Per ulteriori informazioni, consulta Panoramica VPN.
TLS
Il protocollo di crittografia SSL 3 e la suite di crittografia simmetrica RC4 sono stati abbandonati in iOS 10 e macOS 10.12. Di default, le suite di crittografia RC4 non sono abilitate per i client e i server TLS implementati con le API di Trasporto sicuro. Per tale ragione, non sono in grado di eseguire la connessione quando è disponibile solamente la suite di crittografia RC4. Per aumentare la sicurezza, i servizi e le app che richiedono la crittografia RC4 devono essere aggiornate per abilitare le suite di crittografia.
Miglioramenti aggiuntivi alle funzioni di sicurezza:
È richiesta la firma delle connessioni SMB (macOS)
In macOS 10.12 o versione successiva supporta l’algoritmo AES come metodo di crittografia per le sessioni kerberizzate NFS (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 supporta AES 128 e SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Calendario, Mail e altre app internet avviano automaticamente queste funzionalità per instaurare un canale di comunicazione crittografato tra iOS, iPadOS, macOS, visionOS e i servizi aziendali.
Puoi anche impostare la versione TLS minima e massima per payload di rete 802.1X con EAP-TLS, EAP-TTLS, PEAP e EAP-FAST. Ad esempio, puoi impostare:
Entrambi a una stessa versione TLS specifica.
La versione minima TLS a un valore più basso e la versione massima TLS a un valore più alto, che verrà poi negoziato con il server RADIUS.
A un valore nullo, che permette al 802.1X richiedente di negoziare la versione TLS con il server RADIUS.
iOS, iPadOS, macOS e visionOS richiedono che il certificato leaf del server venga firmato usando un algoritmo firma della famiglia SHA-2 e che usi una chiave RSA di almeno 2048 bit o una chiave ECC di almeno 256 bit.
iOS 11, iPadOS 13.1, macOS 10.13 e visionOS 1.1 o versioni successive supportano anche TLS 1.2 nell’autenticazione 802.1X. I server di autenticazione che supportano TLS 1.2 potrebbero richiedere i seguenti aggiornamenti per la compatibilità:
Cisco: ISE 2.3.0
FreeRADIUS: aggiornamento alla versione 2.2.10 e 3.0.16.
Aruba ClearPass: aggiornamento alla versione 6.6.x.
ArubaOS: aggiornamento alla versione 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Per ulteriori informazioni su 802.1X, consulta Connettere dispositivi Apple a reti 802.1X.
WPA2/WPA3
Tutte le piattaforme Apple supportano protocolli di autenticazione e crittografia Wi-Fi standard nel settore, in modo da fornire un accesso autenticato e garantire la riservatezza quando si esegue la connessione alle seguenti reti wireless sicure:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise (sicurezza a 192 bit)
Per visualizzare un elenco dei protocolli di autenticazione wireless 802.1X, consulta Configurazioni 802.1X per Mac.
Nascondere e bloccare le app
In iOS 18 e iPadOS 18 o versioni successive, gli utenti possono impostare Face ID, Touch ID o un codice per aprire un’app o per nasconderla dalla schermata Home. MDM è in grado di gestire la disponibilità di queste opzioni come descritto di seguito:
Controllando la capacità dell’utente di nascondere e bloccare ciascuna app gestita.
Disabilitando il blocco e il nascondimento di tutte le app sui dispositivi supervisionati.
Per i dispositivi registrati tramite la registrazione utente, le app nascoste vengono mostrate su MDM solo se sono gestite. Per i dispositivi registrati tramite la registrazione dispositivo, le app nascoste vengono mostrate su MDM come parte di tutte le app installate.
Accesso alla rete locale per macOS
In macOS 15 o versioni successive, un’app di terze parti o un agente di avvio che intende interagire con i dispositivi collegati alla rete locale di un utente deve chiedere il permesso la prima volta che tenta di navigare nella rete locale.
Analogamente a quanto avviene in iOS e iPadOS, gli utenti possono ora andare in Impostazioni di Sistema > Privacy > Rete locale, per consentire o rifiutare l’accesso
Crittografia di FaceTime e iMessage
iOS, iPadPS, macOS e visionOS creano un ID univoco per ciascun utente FaceTime e iMessage, garantendo che le comunicazioni siano crittografate, instradate e connesse adeguatamente.