Panoramica sulla VPN per la distribuzione dei dispositivi Apple
I protocolli VPN, stabiliti come standard nel settore, consentono l’accesso sicuro alle reti aziendali da iOS, iPadOS, macOS, tvOS, watchOS e visionOS.
Protocolli supportati
iOS, iPadOS, macOS, tvOS, watchOS e visionOS supportano i seguenti protocolli e metodi di autenticazione:
IKEv2: Supporto per IPv4 e IPv6 e per:
Metodi di autenticazione: segreti condivisi, certificati, EAP-TLS e EAP-MSCHAPv2
Crittografia Suite B: certificati ECDSA, crittografia ESP con gruppi GCM ed ECP per il gruppo Diffie-Hellman
Funzionalità aggiuntive: MOBIKE, frammentazione IKE, reindirizzamento server, split tunneling
iOS, iPadOS, macOS e visionOS supportano anche i seguenti protocolli e metodi di autenticazione:
L2TP su IPsec: autenticazione utente tramite password MS-CHAP v2, token a due fattori, certificato, autenticazione automatica mediante segreto condiviso o certificato
macOS può anche utilizzare l’autenticazione automatica Kerberos tramite un segreto condiviso o un certificato con i protocolli L2TP su IPsec.
IPsec: autenticazione utente tramite password, token a due fattori e autenticazione automatica mediante segreto condiviso e certificati
Se la tua organizzazione supporta questi protocolli, per collegare i dispositivi Apple alla VPN non servono altre configurazioni di rete o app aggiuntive di terze parti.
Il supporto include anche tecnologie come IPv6, server proxy e tunneling diviso. Il tunneling diviso fornisce un’esperienza VPN flessibile quando ci si connette alle reti di un’organizzazione.
Inoltre, il framework Network Extension consente agli sviluppatori di terze parti di creare soluzioni VPN personalizzate per iOS, iPadOS, macOS, tvOS e visionOS. Diversi fornitori di VPN hanno creato app che aiutano a configurare i dispositivi Apple per utilizzarli con le rispettive soluzioni. Per configurare un dispositivo per una soluzione specifica, installa l’app fornita dal provider e, se lo desideri, fornisci un profilo di configurazione con le impostazioni necessarie.
VPN su richiesta
In iOS, iPadOS, macOS e tvOS, “VPN su richiesta” consente ai dispositivi Apple di stabilire automaticamente una connessione in base alle necessità. Richiede un metodo di autenticazione che non richieda l’intervento dell’utente (ad esempio l’autenticazione basata su certificati). “VPN su richiesta” si configura usando la chiave OnDemandRules in un payload VPN di un profilo di configurazione. Le regole vengono applicate in due fasi.
Fase di rilevamento della rete: definisce i requisiti VPN applicati quando cambia la connessione di rete primaria del dispositivo.
Fase di valutazione della connessione: definisce i requisiti VPN per le richieste di connessione a nomi dominio, quando necessarie.
Le regole possono essere utilizzate per eseguire azioni come:
Riconoscere se un dispositivo Apple è connesso a una rete interna e non serve una VPN.
Riconoscere se si utilizza una rete Wi-Fi sconosciuta e se serve una VPN.
Avviare la VPN quando una richiesta DNS per un nome dominio specifico non va a buon fine.
VPN per app
Con iOS, iPadOS, macOS, watchOS e visionOS 1.1, le connessioni VPN possono essere stabilite in base alle singole app, offrendo un controllo più granulare sul tipo di dati che passano attraverso la connessione VPN. La possibilità di separare il traffico a livello di app permette di tenere divisi i dati personali da quelli dell’organizzazione, che ha come risultato una rete sicura per le app ad uso interno, mentre si preserva al contempo la privacy dell’attività del dispositivo personale.
La funzione “VPN per app” consente a ogni app gestita tramite una soluzione MDM di comunicare con la rete privata attraverso un tunnel sicuro, escludendo tutte le altre app non gestite presenti sui dispositivi Apple. Le App gestite possono essere configurate con connessioni VPN diverse per un’ulteriore protezione dei dati. Ad esempio, un’app per preventivi di vendita potrebbe utilizzare un data center completamente diverso da un’app per effettuare acquisti.
Dopo aver creato una “VPN per app” per ogni configurazione VPN, dovrai associare tale connessione alle app, utilizzando la funzione per proteggere il traffico di rete di tali app. Per farlo, utilizza il payload di mappatura “VPN per app” (macOS) o specifica la configurazione VPN nel comando di installazione dell’app (iOS, iPadOS, macOS, visionOS 1.1).
L’opzione “VPN per app” può essere configurata per funzionare con il client VPN IKEv2 integrato in iOS, iPadOS, watchOS e visionOS 1.1. Per informazioni sul supporto per “VPN per app” in soluzioni VPN personalizzate, contatta i tuoi fornitori di VPN.
Nota: per usare la funzionalità “VPN per app” su iOS, iPadOS, watchOS 10 e visionOS 1.1, l’app deve essere gestita tramite MDM.
VPN sempre attivo
“VPN sempre attivo” disponibile per IKEv2 fornisce alla tua organizzazione un controllo totale sul traffico di iOS e iPadOS attraverso il tunneling di tutto il traffico IP verso l’organizzazione. La tua organizzazione adesso può monitorare e filtrare il traffico verso e dai dispositivi, proteggere i dati nella rete e limitare l’accesso dei dispositivi a internet.
Per abilitare “VPN sempre attivo” è necessaria la supervisione del dispositivo. Dopo avere installato il profilo “VPN sempre attivo” su un dispositivo, l’opzione “VPN sempre attivo” si attiva automaticamente senza nessuna interazione da parte dell’utente e rimane attiva (incluso durante i riavvii incrociati) fino a quando il profilo “VPN sempre attivo” non viene disinstallato.
Con “VPN sempre attivo” abilitato sul dispositivo, l’attivazione e l’interruzione del tunnel VPN sono legate allo stato dell’interfaccia IP. Quando l’interfaccia acquisisce la raggiungibilità della rete IP, tenta di stabilire un tunnel. Quando lo stato dell’interfaccia IP risulta non attivo, il tunneling viene interrotto.
“VPN sempre attivo” supporta anche tunnel specifici per le singole interfacce. Per i dispositivi con connessione cellulare, è presente un tunnel per ogni interfaccia IP attiva (un tunnel per l’interfaccia cellulare e un tunnel per l’interfaccia Wi-Fi). Finché i tunnel VPN sono attivi, tutto il traffico IP passerà attraverso di essi. Il traffico include tutto il traffico IP instradato e tutto il traffico IP proveniente da app proprietarie come FaceTime e Messaggi. Se i tunnel non sono attivi, tutto il traffico IP viene bloccato.
Tutto il traffico proveniente da un dispositivo raggiunge un server VPN. È possibile applicare filtri e processi di monitoraggio opzionali prima di inoltrare il traffico verso la propria destinazione all’interno della rete dell’organizzazione o verso internet. Analogamente, il traffico verso il dispositivo è instradato verso il server VPN dell’organizzazione, dove possono essere applicati filtri e processi di monitoraggio prima dell’inoltro verso il dispositivo.
Nota: l’abbinamento di Apple Watch non è supportato con “VPN sempre attivo”.
Proxy trasparente
I proxy trasparenti sono un tipo speciale di VPN su macOS e possono essere usati in vari modi per monitorare e trasformare il traffico di rete. Le situazioni d’uso più comuni sono soluzioni per il filtro dei contenuti e broker per l’accesso a servizi sul cloud. Data l’ampia gamma di utilizzi, è buona norma definire l’ordine in cui tali proxy visualizzano e gestiscono il traffico. Ad esempio, è consigliabile attivare un proxy che filtra il traffico di rete prima di un proxy che applica la crittografia al traffico. Per farlo, occorre definire l’ordine nel payload VPN.