Usar funcionalidades de segurança de rede integradas para dispositivos Apple
Os dispositivos Apple possuem tecnologias de segurança da rede incorporadas que autorizam os utilizadores e ajudam a proteger os seus dados durante a transmissão. O suporte de segurança da rede de dispositivos Apple inclui:
IPsec, IKEv2, L2TP incorporados;
VPN personalizada através de aplicações da App Store (iOS, iPadOS, visionOS)
SSL personalizada através de clientes VPN de terceiros (macOS);
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) e DTLS;
SSL/TLS com certificados X.509;
WPA/WPA2/WPA3 Enterprise com 802.1X;
autenticação com base em certificados;
autenticação de segredo partilhado e Kerberos;
RSA SecurID, CRYPTOCard (macOS).
Reencaminhamentos de rede para iOS, iPadOS, macOS e tvOS
Pode ser usada uma retransmissão integrada no iOS 17, iPadOS 17, macOS 14, tvOS 17 ou posteriores para garantir tráfego seguro com uma ligação HTTP/3 ou HTTP/2 cifrada como uma VPN alternativa. Uma retransmissão de rede é um tipo especial de proxy que está otimizada para desempenho e usa os protocolos mais recentes de transporte e segurança. Pode ser usado para segurança do tráfego TCP e UDP de uma aplicação específica, um dispositivo completo e ao aceder aos recursos internos. Podem ser usadas várias retransmissões de rede, incluindo o Reencaminhamento privado iCloud, sem que seja necessária qualquer aplicação. Encontrará mais informação em Usar retransmissões de rede.
VPN e IPsec
Muitos ambientes empresariais possuem algum tipo de rede privada virtual (VPN). Normalmente estes serviços VPN exigem uma configuração mínima para trabalhar com os dispositivos Apple, que se integram com muitas das tecnologias VPN comummente utilizadas.
O iOS, iPadOS, macOS, tvOS, watchOS e visionOS suportam os seguintes protocolos e métodos de autenticação IPsec: Encontrará mais informações em Visão geral do APFS.
TLS
O protocolo criptográfico SSL 3 e a suite de cifras simétrica RC4 foram descontinuados no iOS 10 e no macOS 10.12. Por predefinição, os clientes TLS ou servidores implementados com Secure Transport APIs não têm suites de cifras RC4 ativadas. Por esse motivo, não lhes é possível estabelecer ligação quando o RC4 é a única suite de cifras disponível. Para maior segurança, os serviços ou aplicações que exigem a RC4 devem ser atualizados para ativar as suites de cifras.
Outras melhorias de segurança incluem:
a assinatura obrigatória de ligações SMB (macOS);
o macOS 10.12 ou posterior suporta AES como um método de cifragem para NFS por Kerberos (macOS);
Transport Layer Security (TLS 1.2, TLS 1.3);
TLS 1.2 suporta AES 128 e SHA-2;
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS).
As aplicações Safari, Calendário, Mail e outras aplicações da internet utilizam estes protocolos para ativar um canal de comunicação cifrado entre o iOS, iPadOS, macOS e visionOS e os serviços empresariais.
Também pode definir a versão mínima e máxima de TLS para a sua carga útil de rede 802.1X com EAP-TLS, EAP-TTLS, PEAP e EAP-FAST. Por exemplo, pode definir:
ambos para a mesma versão TLS específica;
a versão TLS mínima para um valor inferior e a versão TLS máxima para um valor superior, os quais seriam negociados com o servidor RADIUS;
um valor de nada, o que permitira ao solicitante 802.1X negociar a versão TLS com o servidor RADIUS.
O iOS, o iPadOS, o macOS e o visionOS requerem que o certificado de último nível do servidor seja assinado através da família SHA-2 de algoritmos de assinatura e que usem uma chave RSA de, pelo menos, 2048 bits ou uma chave ECC de, pelo menos, 256 bits.
iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 ou posterior, adicionam suporte para autenticação TLS 1.2 em 802.1X. Os servidores de autenticação que suportam o protocolo TLS 1.2 pode exigir as seguintes atualizações para fins de compatibilidade:
Cisco: ISE 2.3.0.
FreeRADIUS: atualizar para a versão 2.2.10 e 3.0.16.
Aruba ClearPass: atualizar para a versão 6.6.x.
ArubaOS: atualizar para a versão 6.5.3.4.
Microsoft: Windows Server 2012 - Servidor de Políticas de Rede.
Microsoft: Windows Server 2016 - Servidor de Políticas de Rede.
Encontrará mais informação acerca de 802.1X em Ligar dispositivos Apple a redes 802.1X.
WPA2/WPA3
Todas as plataformas Apple suportam protocolos de autenticação e cifragem Wi-Fi padrão no setor para fornecer acesso autenticado e confidencialidade nas ligações às seguintes redes sem fios seguras:
WPA2 pessoal.
WPA2 empresarial.
WPA2/WPA3 transitória.
WPA3 pessoal.
WPA3 empresarial.
WPA3 empresarial com segurança de 192 bits.
Para ver uma lista dos protocolos de autenticação sem fios 802.1X, consulte Configurações 802.1X para Mac.
Ocultar e proteger aplicações
No iOS 18 e no iPadOS 18 ou posteriores, os utilizadores podem exigir o Face ID, Touch ID ou um código para abrir uma aplicação e para a ocultar do ecrã principal. A solução MDM pode gerir a disponibilidade destas opções das seguintes formas:
Controlar a capacidade do utilizador de ocultar e proteger aplicações geridas de acordo com a aplicação.
Desativar a ocultação e proteção de todas as aplicações em dispositivos supervisionados.
No caso de dispositivos registados com o registo do utilizador, as aplicações ocultas são comunicadas à solução MDM apenas se forem geridas. No caso de dispositivos registados com o registo do dispositivo, as aplicações ocultas são comunicadas à solução MDM como parte de todas as aplicações instaladas.
Acesso de rede local para o macOS
No macOS 15 ou posterior, aplicações de terceiros ou agentes iniciais que quiserem interagir com dispositivos na rede local de um utilizador devem pedir permissão da primeira vez que tentarem navegar na rede local.
De forma semelhante ao iOS e iPadOS, os utilizadores podem aceder a Definições do Sistema > Privacidade > Rede local para permitir ou negar este acesso.
Cifragem do FaceTime e iMessage
O iOS, o iPadOS, o macOS e o visionOS criam um ID único para cada utilizador das aplicações FaceTime e iMessage, ajudando a assegurar que as comunicações são devidamente cifradas, encaminhadas e ligadas.