iphone per le aziende Panoramica sulla sicurezza iphone può accedere in modo sicuro ai servizi aziendali e proteggere i dati presenti sul dispositivo. Fornisce una crittografia sicura per i dati in trasmissione, metodi di autenticazione collaudati per accedere ai servizi aziendali e, per quanto riguarda iphone 3GS, la crittografia dell'hardware per tutti i dati archiviati sul dispositivo. iphone fornisce anche una protezione sicura attraverso l'uso di criteri relativi al codice di accesso che possono essere imposti e forniti over-the-air. Inoltre, se il dispositivo finisce nelle mani sbagliate, gli utenti e gli amministratori IT possono inizializzare operazioni di cancellazione remota per garantire che le informazioni private vengano cancellate. Quando si prende in considerazione la sicurezza dell'iphone per uso aziendale, è utile comprendere i seguenti argomenti: Protezione del dispositivo Codici sicuri Scadenza codici Cronologia del riutilizzo dei codici Numero massimo di tentativi falliti Imposizione di codici over-the-air Protezione progressiva del dispositivo Protezione dei dati Cancellazione remota Cancellazione locale Profili di configurazione criptati Backup criptati su itunes Crittografia hardware (iphone 3GS) Sicurezza della rete Protocolli VPN Cisco IPSec, L2TP, PPTP SSL/TLS con certificati X.509 WPA/WPA2 Enterprise con 802.1X Autenticazione basata su certificati RSASecurID, CRYPTOCard Sicurezza della piattaforma Protezione runtime Firma obbligatoria del codice Servizi Portachiavi API Common Crypto metodi che impediscono l'utilizzo non autorizzato del dispositivo; protezione di dati a riposo, compresi i casi in cui un dispositivo viene perso o rubato; protocolli di rete e crittografia di dati in trasmissione; fondamenta sicure della piattaforma del sistema operativo di iphone. Queste capacità collaborano fra di loro per fornire una piattaforma sicura per computer portatili. Controllo e protezione del dispositivo Stabilire criteri sicuri per accedere all'iphone è fondamentale per la protezione delle informazioni aziendali. L'imposizione di un codice d'accesso è la prima difesa contro gli accessi non autorizzati e può essere configurata e imposta over-the-air. Inoltre, iphone fornisce metodi sicuri per configurare il dispositivo in un ambiente aziendale in cui sono necessari impostazioni, criteri e limitazioni specifici. Questi metodi forniscono opzioni flessibili per stabilire un livello di protezione standard per gli utenti autorizzati. Criteri relativi al codice di accesso Il codice di accesso di un dispositivo impedisce che utenti non autorizzati accedano a dati archiviati sull'iphone o che accedano in altro modo al dispositivo. Il sistema operativo di iphone ti consente di scegliere un'ampia gamma di requisiti per il codice d'accesso che soddisfino le tue esigenze di sicurezza, compresi i limiti di tempo, la sicurezza del codice e la frequenza con la quale è necessario modificarlo. Sono supportati i seguenti criteri relativi al codice di accesso di Microsoft Exchange ActiveSync: imporre la password sul dispositivo; lunghezza minima password; numero massimo di tentativi falliti per la password; richiesta di numeri e lettere; tempo di inattività in minuti.
2 Con Microsoft Exchange Server 2007, sono supportati anche questi ulteriori criteri relativi al codice di accesso: concessione o divieto di password semplice; scadenza password; cronologia password; intervallo di aggiornamento criterio; numero minimo di caratteri complessi in una password. Imposizione dei criteri I criteri sopra descritti possono essere impostati sull'iphone in due modi. Se il dispositivo è configurato per accedere a un account di Microsoft Exchange, i criteri di Exchange ActiveSync vengono trasmessi al dispositivo over-the-air. Questo consente di imporre e aggiornare i criteri senza alcuna operazione da parte dell'utente. I criteri possono anche essere distribuiti come parte di un profilo di configurazione dev essere installato dall utente. Un profilo può essere definito in modo che la sua eliminazione sia possibile solo con una password amministrativa oppure in modo che sia legato al dispositivo e non possa essere rimosso senza cancellare completamente tutti i contenuti del dispositivo. Configurazione sicura del dispositivo I profili di configurazione sono file XML che contengono criteri e limiti di sicurezza, informazioni sulla configurazione VPN, impostazioni Wi-Fi, account e-mail e calendari, e credenziali di autenticazione che consentono all'iphone di lavorare con i sistemi della tua azienda. La possibilità di fissare in un profilo di configurazione sia i criteri del codice d'accesso sia le impostazioni del telefono garantisce che i dispositivi dell'azienda siano configurati correttamente e secondo gli standard di sicurezza stabiliti. Poiché i profili di configurazione possono essere sia criptati sia bloccati, le impostazioni non possono essere eliminate, modificate o condivise con altri. I profili di configurazione possono essere sia firmati sia criptati. Firmare un profilo di configurazione garantisce che le impostazioni da esso imposte non possano essere modificate in nessun modo. La crittografia di un profilo di configurazione protegge i contenuti del profilo e consente l'installazione solo sul dispositivo per il quale sono stati creati. I profili di configurazione vengono criptati con CMS (Cryptographic Message Syntax, RFC 3852), che supporta 3DES e AES 128. Per distribuire per la prima volta i profili di configurazione criptati, dovrai installarli tramite sincronizzazione USB usando l'utilità Configurazione iphone oppure tramite Iscrizione e distribuzione over-the-air. Oltre a questi metodi, la distribuzione successiva di profili di configurazione criptati può essere fornita tramite allegato e-mail o ospitata su un sito web accessibile ai tuoi utenti. Limitazioni disponibili Accesso al materiale esplicito in itunes Store Utilizzo di Safari Utilizzo di YouTube Accesso ad itunes Store Utilizzo di App Store e di itunes per l'installazione di applicazioni Utilizzo della fotocamera (può anche essere regolato da un criterio di Exchange) Restrizioni del dispositivo Le restrizioni del dispositivo determinano a quali funzioni dell'iphone gli utenti possono accedere sul dispositivo. Riguardano in particolare applicazioni abilitate dalla rete, come Safari, YouTube o itunes Store, ma le restrizioni possono anche controllare elementi come l'installazione di applicazioni o l'utilizzo della videocamera. Le restrizioni del dispositivo ti permettono di configurarlo in modo da soddisfare le tue necessità e di consentire agli utenti di utilizzarlo in modo coerente con le tue pratiche aziendali. Le restrizioni vengono imposte tramite un profilo di configurazione, oppure possono essere configurate manualmente su ciascun dispositivo. Inoltre, le restrizioni della videocamera possono essere imposte over-the-air tramite Microsoft Exchange Server 2007. Oltre a configurare restrizioni e criteri sul dispositivo, l'applicazione desktop itunes può essere configurata e regolata dal reparto IT. Ciò comprende la disabilitazione dell'accesso a contenuti espliciti, definendo i servizi di rete a cui i clienti possono accedere all'interno di itunes e se sono disponibili nuovi aggiornamenti del software da installare.
3 Protezione dei dati La protezione dei dati archiviati sull'iphone è importante per qualsiasi ambiente che disponga di un numero elevato di informazioni riservate e relative all'azienda o ai clienti. Oltre a criptare dati in trasmissione, iphone 3GS fornisce la crittografia hardware per i dati archiviati nel dispositivo. Se un dispositivo viene perso o rubato, è importante disattivarlo e cancellare tutti i suoi dati. Un'altra buona idea è impostare un criterio che cancelli i dati dal dispositivo dopo un determinato numero di tentativi falliti di inserimento del codice, deterrente fondamentale contro i tentativi di accesso non autorizzato al dispositivo. Protezione progressiva del dispositivo iphone può essere configurato in modo da attivare automaticamente la cancellazione dei dati dopo un certo numero di tentativi falliti di inserire il codice d'accesso. Se un utente immette ripetutamente il codice d'accesso errato, l'iphone viene disabilitato per intervalli sempre più lunghi. In seguito a troppi tentativi non riusciti, tutti i dati e tutte le impostazioni presenti sul dispositivo saranno cancellati. Crittografia iphone 3GS dispone di crittografia basata sull'hardware. La crittografia hardware di iphone 3GS utilizza una codifica AES a 256 bit per proteggere tutti i dati presenti nel dispositivo. La crittografia è sempre attiva e non può essere disattivata dagli utenti. Inoltre, i dati copiati in itunes sul computer di un utente possono essere criptati. Quando un profilo di configurazione criptato è archiviato sul dispositivo dell'utente, questa funzionalità viene imposta automaticamente. Per proteggere ulteriormente i dati, gli sviluppatori hanno accesso ad API che consentono loro di criptare i dati all'interno degli archivi di dati della loro applicazione. Cancellazione remota iphone supporta la cancellazione remota. Se un dispositivo viene perso o rubato, l'amministratore o il proprietario del dispositivo possono emettere un ordine di cancellazione remota che rimuova tutti i dati e disattivi il dispositivo. Se il dispositivo è configurato con un account Exchange, l'amministratore può inizializzare operazioni di cancellazione remota usando Exchange Management Console (Exchange Server 2007) oppure Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 o 2007). Gli utenti di Exchange Server 2007 possono anche inizializzare operazioni di cancellazione remota usando direttamente Outlook Web Access. Cancellazione locale I dispositivi possono anche essere configurati in modo da attivare automaticamente una cancellazione in locale dopo un certo numero di tentativi falliti di inserire il codice d'accesso. È un deterrente fondamentale contro i tentativi di accedere al dispositivo con la forza. Per impostazione predefinita, l'iphone cancellerà automaticamente i dati sul dispositivo dopo 10 tentativi di inserimento di codice falliti. Come per gli altri criteri relativi al codice di accesso, il numero massimo di tentativi falliti può essere stabilito tramite profilo di configurazione oppure può essere imposto over-the-air tramite i criteri di Microsoft Exchange ActiveSync. Comunicazione sicura su reti Gli utenti di dispositivi mobili devono poter accedere a reti di informazioni aziendali da qualsiasi parte del mondo, tuttavia è importante anche assicurarsi che gli utenti dispongano di autorizzazione e che i loro dati siano protetti nel corso della trasmissione. iphone fornisce tecnologie collaudate per portare a termine questi obiettivi di sicurezza sia per le connessioni a reti Wi-Fi sia per le connessioni a reti cellulari. VPN Molti ambienti aziendali dispongono di alcune forme di Network privati virtuali (VPN, Virtual Private Network). Questi servizi di reti sicure sono già utilizzati e di solito richiedono impostazioni e configurazioni minime per funzionare con l'iphone. iphone si integra con un'ampia gamma di tecnologie VPN comunemente usate attraverso il supporto di Cisco IPSec, L2TP e PPTP. Il supporto di questi protocolli garantisce il livello più elevato di crittografia basata su IP per la trasmissione di informazioni sensibili. iphone supporta la configurazione di reti proxy e split tunneling dell'indirizzo IP così che il traffico verso domini di rete pubblici o privati sia inoltrato secondo i vostri specifici criteri aziendali.
4 Oltre a consentire l'accesso sicuro ad ambienti VPN, iphone offre metodi collaudati per l'autenticazione dell'utente. L'autenticazione tramite certificati digitali x.509 standard fornisce agli utenti un accesso ottimizzato alle risorse aziendali e un'alternativa fattibile all'uso di token hardware. Inoltre, l'autenticazione di certificati consente all'iphone di sfruttare VPN On Demand, rendendo trasparente il processo di autenticazione VPN e fornendo contemporaneamente credenziali sicure per accedere ai servizi di rete. Per ambienti aziendali in cui un token a due fattori è un requisito fondamentale, iphone si integra con RSA SecureID e CRYPTOCard. SSL/TLS iphone supporta SSL v3 così come Transport Layer Security (TLS v1), lo standard di sicurezza di ultima generazione per Internet. Safari, Calendario, Mail e altre applicazioni Internet avviano automaticamente questi meccanismi per consentire un canale di comunicazione criptata fra iphone e i servizi aziendali. Protocolli VPN Cisco IPSec L2TP/IPSec PPTP Metodi di autenticazione Password (MSCHAPv2) RSA SecureID CRYPTOCard Certificati digitali x.509 Segreto condiviso Protocolli di autenticazione 802.1X EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Formati dei certificati supportati iphone supporta certificati X.509 con chiavi RSA. Vengono riconosciute le estensioni di file.cer,.crt, e.der. WPA/WPA2 iphone supporta WPA2 Enterprise per fornire un accesso autenticato alla rete wireless della tua azienda. WPA2 Enterprise utilizza la crittografia AES a 128 bit, assicurando al massimo gli utenti che i loro dati rimarranno protetti quando inviano e ricevono comunicazioni su una rete Wi-Fi. Grazie al supporto di 802.1X, iphone può essere integrato in un'ampia gamma di ambienti di autenticazione RADIUS. Fondamenta sicure per la piattaforma Il sistema operativo di iphone è una piattaforma fondata sulla sicurezza. La protezione runtime delle applicazioni segue l'approccio "Sandbox" e richiede obbligatoriamente a ogni applicazione la firma per garantire che non sia stata alterata. Il sistema operativo di iphone è anche dotato di un framework sicuro per archiviare in un portachiavi criptato le credenziali di accesso alle applicazioni e alla rete. Inoltre offre agli sviluppatori un'architettura Common Crypto per criptare i dati delle applicazioni. Protezione runtime Le applicazioni sul dispositivo sono sandboxed, ossia non possono accedere ai dati archiviati da altre applicazioni. Inoltre, i file, le risorse e i kernel del sistema sono protetti dallo spazio in cui sono attive le applicazioni dell'utente. Se un'applicazione richiede l'accesso ai dati da un'altra applicazione, può farlo solo tramite gli API e i servizi forniti dal sistema operativo dell'iphone. iphone impedisce anche la generazione di codici. Firma del codice obbligatoria Tutte le applicazioni di iphone devono essere firmate. Le applicazioni fornite con il dispositivo sono firmate da Apple. Le applicazioni di terze parti sono firmate dallo sviluppatore tramite un certificato emesso da Apple. Ciò garantisce che le applicazioni non siano state manomesse o alterate. Inoltre, vengono effettuati controlli runtime per garantire che un'applicazione non sia divenuta inattendibile dall'ultima volta in cui è stata usata. L'uso di applicazioni personalizzate o in-house può essere regolato con un profilo di provisioning. Per eseguire l'applicazione, gli utenti devono disporre di un profilo di provisioning. Gli amministratori possono anche limitare l'uso di un'applicazione a specifici dispositivi. Framework di autenticazione sicura iphone fornisce un portachiavi sicuro e criptato per l'archiviazione di identità digitali, nomi utenti e password. I dati del portachiavi sono ripartiti in modo che i dati delle applicazioni di terze parti non siano accessibili da applicazioni con diversa identità. Così è possibile garantire un accesso sicuro all'iphone a una vasta gamma di applicazioni e servizi dell'azienda.
5 Architettura Common Crypto Gli sviluppatori hanno accesso ad API di crittografia che possono usare per proteggere ulteriormente i dati della loro applicazione. I dati possono essere criptati simmetricamente tramite metodi collaudati come AES, RC4 o 3DES. Inoltre, iphone fornisce un'accelerazione hardware per la crittografia AES e SHA1, che massimizza le prestazioni dell'applicazione. Telefono rivoluzionario e sicuro dappertutto iphone 3GS fornisce una protezione criptata dei dati in transito, a riposo o conservati su itunes. Che un utente stia accedendo alla posta elettronica aziendale, stia visitando un sito web privato o si stia autenticando alla rete aziendale, iphone assicura che solo gli utenti autorizzati possano accedere alle informazioni aziendali riservate. E, con il supporto della rete aziendale e dei metodi comprensivi per impedire la perdita di dati, iphone può essere distribuito con la fiducia che stai implementando la sicurezza di un dispositivo mobile collaudato e i metodi di protezione dei dati. Risorse aggiuntive Guida all implementazione nell azienda http://manuals.info.apple.com/it_it/manuale_per_la_distribuzione_nel_settore_ aziendale.pdf Risorse e scenari di distribuzione aziendale http://www.apple.com/it/iphone/enterprise/integration.html 2009 Apple Inc. Tutti i diritti riservati. Apple, il logo di Apple, ipod, itunes e Safari sono marchi registrati di Apple Inc., registrati negli U.S.A. e in altri Paesi. iphone è un marchio registrato di Apple Inc. itunes Store è un marchio di servizio di Apple Inc., registrato negli U.S.A. e in altri Paesi. Altri nomi di prodotti e aziende citate nel presente documento possono essere marchi registrati delle rispettive aziende. Le specifiche del prodotto sono soggette a modifiche senza preavviso. Il materiale viene fornito esclusivamente a scopo informativo; Apple non si assume alcuna responsabilità in relazione all'utilizzo dello stesso. Giugno 2009 L410440A