Apple 기기 배포용 VPN 개요
iOS, iPadOS, macOS, tvOS, watchOS 및 visionOS에서는 구축된 업계 표준 가상사설망(VPN) 프로토콜을 통한 개인 기업 네트워크에 대한 보안 접근을 사용할 수 있습니다.
지원 프로토콜
iOS, iPadOS, macOS, tvOS, watchOS 및 visionOS는 다음과 같은 프로토콜 및 인증 방식을 지원합니다.
IKEv2: IPv4 및 IPv6 모두와 다음을 지원합니다.
인증 방식: 공유 비밀, 인증서, EAP-TLS 및 EAP-MSCHAPv2
Suite B 암호화: ECDSA 인증, GCM으로 ESP 암호화 및 Diffie-Hellman 그룹에 대한 ECP 그룹
추가 기능: MOBIKE, IKE 단편화, 서버 리디렉트, 분할 터널링
iOS, iPadOS, macOS 및 visionOS도 다음과 같은 프로토콜 및 인증 방식을 지원합니다.
IPsec을 통한 L2TP: MS-CHAP v2 암호를 통한 사용자 인증, 이중 토큰, 인증서, 공유 비밀 또는 인증서를 통한 시스템 인증
macOS는 또한 IPsec을 통한 L2TP로 공유 비밀 또는 인증서를 통해 Kerberos 시스템 인증을 사용할 수 있습니다.
IPsec: 암호를 통한 사용자 인증, 이중 토큰, 공유 비밀 및 인증서를 통한 시스템 인증
조직에서 이러한 프로토콜을 지원하는 경우 추가적인 네트워크 구성이나 타사 앱 없이도 Apple 기기를 VPN에 연결할 수 있습니다.
IPv6, 프록시 서버 및 분할 터널링과 같은 기술도 지원합니다. 분할 터널링은 조직 네트워크에 연결할 때 유연한 VPN 환경을 제공합니다.
또한 네트워크 확장 프레임워크는 타사 개발자들이 iOS, iPadOS, macOS, tvOS 및 visionOS용 사용자 설정 VPN 솔루션을 생성할 수 있게 허용합니다. 다양한 VPN 제공업체가 Apple 기기에서 자사의 솔루션을 사용할 수 있게 SSL VPN을 구성하는 앱을 개발합니다. 특정 솔루션을 사용하도록 기기를 구성하려면 제공업체에서 제공하는 앱을 설치하고 원하는 경우 필요한 설정이 저장된 구성 프로필을 통해 구성할 수 있습니다.
주문형 VPN
iOS, iPadOS 및 macOS 및 tvOS에서 주문형 VPN을 사용하면 Apple 기기가 필요에 따라 자동으로 연결을 구축하게 됩니다. 주문형 VPN은 인증서 기반 인증과 같이 사용자 상호 작용이 필요하지 않은 인증 방식을 요구합니다. 주문형 VPN은 구성 프로필의 VPN 페이로드에 있는 OnDemandRules 키를 사용하여 구성됩니다. 규칙은 두 가지 단계로 적용됩니다.
네트워크 감지 단계: 기기의 주요 네트워크 연결이 변경되는 경우에 적용될 VPN 요구 사항을 정의합니다.
연결 평가 단계: 도메인 이름에 대한 연결 요청의 VPN 요구 사항을 필요할 때마다 정의합니다.
규칙을 사용하면 다음과 같은 작업을 수행할 수 있습니다.
Apple 기기가 내부 네트워크에 연결되어 있으며 VPN이 필요하지 않은 상황을 인식합니다.
알 수 없는 Wi-Fi 네트워크를 사용 중인 경우를 인식하고 VPN을 요구합니다.
특정 도메인 이름에 대한 DNS 요청이 실패한 경우 VPN을 시작합니다.
앱별 VPN
iOS, iPadOS, macOS, watchOS 및 visionOS 1.1에서는 앱별로 VPN 연결을 구축하여 VPN을 통해 전달할 데이터를 선택할 수 있어 더욱 세분화된 네트워크 통제를 할 수 있습니다. 앱 단계에서 트래픽을 분리하는 기능을 통해 조직 데이터에서 개인 데이터를 구분할 수 있게 되므로 내부용 앱을 위한 안전한 네트워크를 구축하는 동시에 개인 기기 활동의 개인정보도 보호할 수 있습니다.
앱별 VPN은 MDM(모바일 기기 관리) 솔루션에서 관리하는 각 앱이 보안 터널을 사용하여 개인 네트워크와 통신을 하도록 허용하는 동시에, 비관리형 앱이 개인 네트워크를 사용하지 못하도록 하는 기술입니다. 관리형 앱은 각자 다른 VPN 연결로 구성하여 데이터를 더욱 안전하게 보호할 수 있습니다. 예를 들어, 판매 견적 앱은 지불 계정 앱과는 완전히 다른 데이터 센터를 사용하도록 구성할 수 있습니다.
모든 VPN 연결에 앱별 VPN을 생성한 후에는 해당 VPN 연결을 앱별 VPN을 사용하여 해당 앱의 네트워크 트래픽을 보호하는 앱과 연관지어야 합니다. 이 작업은 앱별 VPN 매핑 페이로드(macOS)를 사용하거나 앱 설치 명령 내에서 VPN 구성을 지정(iOS, iPadOS, macOS, visionOS 1.1)하여 수행합니다.
앱별 VPN은 iOS, iPadOS, watchOS 및 visionOS 1.1의 내장 IKEv2 VPN 클라이언트를 통해 구성하여 작동시킬 수 있습니다. 사용자 설정 VPN 솔루션의 앱별 VPN 지원에 대한 정보를 보려면 VPN 공급업체에 문의하십시오.
참고: iOS, iPadOS, watchOS 10 및 visionOS 1.1에서 앱별 VPN을 사용하려면 MDM에서 앱을 관리해야 합니다.
상시 연결 VPN
IKEv2에 사용 가능한 상시 연결 VPN은 조직에서 모든 IP 트래픽을 조직으로 돌아오도록 터널링하여 iOS 및 iPadOS 트래픽을 완전히 통제할 수 있도록 합니다. 조직에서는 이를 통해 기기에서 오고 가는 트래픽을 모니터하고 필터링할 수 있어 네트워크 내의 데이터를 보호하고 기기의 인터넷 접근을 제한할 수 있습니다.
상시 연결 VPN을 활성화하려면 기기 감독이 필요합니다. 상시 연결 VPN 프로필을 기기에 설치하면 사용자 상호 작업 없이도 상시 연결 VPN이 자동으로 활성화되고 상시 연결 VPN 프로필을 제거하지 않는 이상 활성화 상태를 계속 유지합니다(재시동 간에도 활성화 상태를 유지함).
기기에 상시 연결 VPN이 활성화되어 있는 경우 VPN 터널 구축과 해체가 인터페이스 IP 성능과 연관됩니다. 인터페이스에서 IP 네트워크에 접근할 수 있게 되면 터널 구축을 시도합니다. 인터페이스 IP 성능이 저하되면 터널이 해체됩니다.
상시 연결 VPN은 또한 인터페이스별 터널도 지원합니다. 셀룰러 연결을 제공하는 기기의 경우 활성화된 각 IP 인터페이스당 하나의 터널이 있습니다(셀룰러 인터페이스용으로 한 개의 터널이 있고 Wi-Fi 인터페이스용으로 한 개의 터널이 있음). VPN 터널이 구축되어 있는 동안에는 모든 IP 트래픽이 터널링됩니다. 트래픽에는 모든 IP 라우팅 트래픽 및 모든 IP 스코핑 트래픽(FaceTime 및 메시지 앱과 같은 Apple 앱의 트래픽)이 포함됩니다. 터널이 구축되어 있지 않으면 모든 IP 트래픽이 끊어집니다.
기기에서 터널링된 모든 트래픽은 VPN 서버로 연결됩니다. 트래픽을 조직의 네트워크 내에 있는 대상 위치 또는 인터넷으로 전달하기 전에 추가적인 필터링 및 모니터링 옵션을 적용할 수도 있습니다. 기기가 받는 트래픽도 이와 유사하게 필터링과 모니터링 프로세스가 적용된 다음에 조직의 VPN 서버를 통해 기기로 전달되었을 수 있습니다.
참고: Apple Watch 페어링은 상시 연결 VPN에서 지원되지 않습니다.
투명 프록시
투명 프록시는 macOS의 특별한 VPN 유형이며 네트워크 트래픽을 모니터링하고 변환하는 다양한 방법으로 사용될 수 있습니다. 일반적으로는 콘텐츠 필터 솔루션 및 클라우드 서비스에 접근하기 위한 브로커로써 사용됩니다. 다양한 용도로 사용되기 때문에 이러한 프록시가 트래픽을 보고 처리하는 순서를 정의하는 것이 좋습니다. 예를 들어, 트래픽을 암호화하는 프록시를 호출하기 전에 네트워크 트래픽을 필터링하는 프록시를 호출하는 것이 좋습니다. 이 작업은 VPN 페이로드의 순서를 정의하여 수행할 수 있습니다.