Apple 為企業安全提供 Managed Device Attestation 認證保護機制

今年 WWDC 2022 開發者大會新發表 Managed Device Attestation 認證保護機制。現今時代，不一定只在特定的伺服器上或定義的防火牆後面工作，還有可能透過不同的 VPN 連線進行團隊合作。然而，在多項遠端裝置（端點）定義的工作場域中，安全威脅比以往更大。

Apple 平台不斷增強安全增強功能，包括 Declarative Device Management、Rapid Security Response 及 Private Access Tokens，現在又新增 Managed Device Attestation。這些解決方案均說明了 Apple 為提供堅不可摧的安全性所費的苦心。

Apple 瞭解到安全防護不能侷限於傳統的外圍保護，如 VPN 或防火牆，必須在網絡邊界實施防護，且得越來越自主化。畢竟，防護不能完全倚賴裝置和伺服器之間的資料流，這樣的通訊方式容易遭受破壞。Managed Device Attestation 建立第二道信任邊界，在此邊界外圍運用裝置管理解決方案以防止攻擊。

Managed Device Attestation 建立防禦點以協助防護裝置及驗證身份。假設身為使用者的您已經證明自己的身份，而且位於管理系統放行的位置，但要如何證明使用者正在使用的裝置已註冊？這就是 Managed Device Attestation 的用途。它只需信任您的裝置處理器上的安全隔離區（Secure Enclave），並信任 Apple 認證裝置的狀態。

安全隔離區（Secure Enclave）向 Apple 的認證伺服器提供保證以證明硬體合法，Apple 將此訊息分享給服務，由於服務信任 Apple，因此該裝置被視為合法。這個做法可防止使用不合格的裝置，或攻擊者藉由偽裝成合法裝置來欺騙服務，或具有使用者身份但由無法識別的裝置嘗試存取網路的情況。

這項技術的運作形式如下：

‧ Managed Device Attestation 使用 Apple 產品內建「安全隔離區」（Secure Enclave）以及共同確認託管裝置身份的加密證明。

‧ 當這些裝置嘗試連接 MDM、VPN、Wi-Fi 或其他服務時，必須確認這是來自合法裝置的合法請求。

‧ 認證組件採用憑證形式，保證特定裝置的合法性。它採用多種技術，包括由安全隔離區產生並保障的 TLS 私密金鑰。

‧ 它採用 Apple 伺服器及自動化憑證管理環境（ACME）的現有草案標準。

簡單來說，若裝置要獲得授權且請求許可時，裝置會將使用者或裝置身份資料等關鍵信息發送至伺服器，確認身份無誤。當然，這些訊息均受到嚴密保護，並透過 Apple 伺服器處理伺服器會查看收到的資訊，與自己的記錄相比較，以驗證資訊的真實性並准許存取。藉由 MDM 伺服器與公司採用的自動證書管理環境 (ACME) 協議，此認證可用於 MDM 以外的服務。隨著新作業系統問世，iOS 16、iPad OS 16 和 tvOS 16 均內建 Managed Device Attestation 保護功能。