Implementando iPhone e iPad Descripción de seguridad

Implementando iPhone e iPad Descripción de seguridad

Implementando iPhone e iPad
Descripción de seguridad
iOS, el sistema operativo del iPhone y el iPad, está basado en capas de seguridad.
A través de él, el iPhone y el iPad pueden acceder de forma segura a los servicios
corporativos y proteger datos importantes. iOS ofrece encriptación sólida para los datos
en transmisión, métodos comprobados de autenticación para acceso a los servicios
corporativos, y encriptación de hardware para todos los datos en reposo. iOS también
brinda protección segura a través del uso de políticas de contraseña que pueden ser
distribuidas y ejecutadas a través del aire. Además, si el dispositivo cae en las manos
equivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado
remoto para eliminar la información privada.
Al considerar la seguridad de iOS para uso empresarial, es útil conocer lo siguiente:
• Seguridad del dispositivo: métodos que previenen el uso no autorizado del dispositivo
• Seguridad de datos: protección de los datos en reposo, incluso si el dispositivo está roto o perdido
• Seguridad de la red: protocolos de red y encriptación de datos en transmisión
• Seguridad de apps: base segura para plataformas en iOS
Estas capacidades trabajan en conjunto para brindar una plataforma segura de
informática móvil.
Seguridad del dispositivo
• Contraseñas fuertes
• Expiración de la contraseña
• Historial de reutilización de la contraseña
• Máximo de intentos fallidos
• Ejecución inalámbrica de contraseñas
• Interrupción progresiva de la contraseña
Seguridad del dispositivo
El establecimiento de políticas sólidas para acceder al iPhone y al iPad es fundamental
para proteger la información corporativa. Las contraseñas de dispositivos son la primera
línea de defensa contra el acceso no autorizado, y pueden ser configuradas y aplicadas de
forma inalámbrica. Los dispositivos iOS usan la contraseña establecida por cada usuario
para generar una clave de encriptación fuerte que protege aún más el correo y los datos
sensibles de las aplicaciones en el dispositivo. Además, iOS brinda métodos seguros para
configurar el dispositivo en un entorno empresarial con ajustes, políticas y restricciones
específicas. Estos métodos ofrecen opciones flexibles para el establecimiento de un nivel
estándar de protección para usuarios autorizados.
Políticas de contraseñas
Una contraseña en el dispositivo evita que los usuarios no autorizados accedan a los datos
u obtengan acceso a ese dispositivo. iOS te permite seleccionar entre un amplio conjunto
de requisitos de contraseñas para atender tus necesidades de seguridad, como períodos de
tiempo de espera, fuerza de la contraseña y frecuencia de modificación de la contraseña.
Son compatibles las siguientes políticas de contraseñas:
• Solicitud de contraseña
• Permiso de valor simple
• Solicitud de valor alfanumérico
• Extensión mínima de contraseña
• Número mínimo de caracteres complejos
• Período máximo de contraseña
• Bloqueo automático
• Historial de contraseñas
• Período de gracia para bloqueo del dispositivo
• Número máximo de intentos fallidos
2
Ejecución de políticas
Las políticas descritas pueden aplicarse al iPhone y al iPad de diversas maneras. Las
políticas pueden ser distribuidas como parte de un perfil de configuración a instalar.
Un perfil puede ser definido para que sólo sea posible borrarlo con una contraseña de
administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por
completo todos los contenidos del dispositivo. Además, los ajustes de contraseñas pueden
ser configurados de forma remota usando soluciones de administración de dispositivos
móviles que pueden aplicar las políticas directamente al dispositivo. Esto permite que las
políticas sean aplicadas y actualizadas sin interacción por parte del usuario.
Alternativamente, si el dispositivo está configurado para acceder a una cuenta de
Microsoft Exchange, las políticas de Exchange ActiveSync son aplicadas de forma
inalámbrica en el dispositivo. Ten en cuenta que el conjunto disponible de políticas
puede variar dependiendo de la versión de Exchange (2003, 2007 ó 2010). Consulta la
guía de Exchange ActiveSync y dispositivos iOS para ver un detalle de las políticas para
tu configuración específica.
Configuración segura de dispositivos
Políticas y restricciones configurables
compatibles:
Funcionalidad de dispositivos
• Instalación de apps
• Uso de la cámara
• Uso de FaceTime
• Captura de pantalla
• Sincronización automática durante la itinerancia
• Uso del marcado por voz
• Compras dentro de apps
• Solicitud de la contraseña de la tienda para
todas las compras
• Juegos multijugadores
• Agregado de amigos a Game Center
Aplicaciones
• Uso de YouTube
• Uso de iTunes Store
• Uso de Safari
• Configuración de las preferencias de seguridad
de Safari
iCloud
• Copias de seguridad
• Sincronización de documentos y sincronización
de valores clave
• Uso de Fotos en streaming
Seguridad y privacidad
• Envío de datos de diagnóstico a Apple
• Aceptación de certificados no confiables por
parte del usuario
• Ejecución de copias de seguridad encriptadas
Calificaciones de contenido
• Habilitación de música y podcasts explícitos
• Definición de regiones de calificaciones
• Definición de calificaciones de contenidos
permitidos
Los perfiles de configuración son archivos XML que contienen políticas de seguridad y
restricciones, información de configuración de la VPN, ajustes de Wi-Fi, cuentas de correo
y calendario, y credenciales de autenticación para que el iPhone y el iPad funcionen
con los sistemas de tu empresa. La capacidad de establecer políticas de contraseñas,
junto con los ajustes del dispositivo en un perfil de configuración, asegura que los
dispositivos dentro de tu empresa estén configurados correctamente y de acuerdo con
las normas de seguridad establecidas por tu organización. Además, ya que los perfiles
de configuración pueden ser encriptados y bloqueados, los ajustes no pueden ser
removidos, alterados o compartidos con otros.
Los perfiles de configuración pueden ser firmados y encriptados. La firma de un perfil
de configuración asegura que los ajustes no pueden ser alterados. La encriptación de un
perfil de configuración protege los contenidos del perfil y sólo lo instala en el dispositivo
para el cual fue creado. Los perfiles de configuración son encriptados usando CMS
(Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128.
La primera vez que distribuyes un perfil de configuración encriptado, lo instalas a través
de sincronización por USB usando la herramienta de utilidad de configuración o de forma
inalámbrica a través de Over-the-Air Enrollment. Además de estos métodos, la distribución
posterior de perfiles de configuración encriptados puede ser realizada como adjuntos de
correo electrónico, alojados en un sitio web accesible para los usuarios, o empujados al
dispositivo a través de soluciones de administración de dispositivos móviles.
Restricciones para dispositivos
Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios
pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la
red, como Safari, YouTube o el iTunes Store, pero las restricciones también pueden
controlar funcionalidades como la instalación de aplicaciones o el uso de la cámara.
Las restricciones para dispositivos te permiten configurar el dispositivo según tus
necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente
con las prácticas de tu negocio. Las restricciones pueden ser configuradas manualmente
en cada dispositivo, aplicadas con un perfil de configuración o establecidas de
forma remota con soluciones de administración de dispositivos móviles. Además, las
restricciones para la cámara y la navegación web pueden aplicarse de forma inalámbrica
a través de Microsoft Exchange Server 2007 y 2010.
Además de establecer restricciones y políticas en el dispositivo, la aplicación iTunes
puede ser configurada y controlada por el área de TI. Esto incluye deshabilitar el acceso
al contenido explícito, definir qué usuarios de servicios de red pueden acceder dentro de
iTunes, y si hay nuevas actualizaciones de software para instalar. Para más información,
consulta Implementar iTunes en dispositivos iOS.
3
Seguridad de los datos
Seguridad de los datos
• Encriptación de hardware
• Protección de datos
• Borrado remoto
• Borrado local
• Perfiles de configuración encriptados
• Copias de seguridad de iTunes encriptadas
Proteger los datos almacenados en el iPhone y el iPad es importante para cualquier
entorno con un alto nivel de información confidencial corporativa o del cliente. Además
de encriptar datos en la transmisión, el iPhone y el iPad permiten la encriptación de
hardware para los datos almacenados en el dispositivo, y la encriptación adicional de
datos de correos y aplicaciones con una mejor protección de datos.
Si un dispositivo se pierde o es robado es importante desactivar y borrar el dispositivo.
También, es una buena idea tener una política que borre el dispositivo después de un
número definido de intentos fallidos de ingreso de la contraseña, un impedimento
clave contra los intentos de obtener acceso no autorizado al dispositivo.
Encriptación
El iPhone y el iPad ofrecen encriptación basada en el hardware. La encriptación
de hardware usa codificación AES de 256 bits para proteger todos los datos en el
dispositivo. La encriptación está siempre activa y no puede ser deshabilitada por los
usuarios.
Además, es posible encriptar los datos de las copias de seguridad de iTunes en la
computadora de un usuario. Esto puede ser activado por el usuario o ejecutado
mediante los ajustes de las restricciones del dispositivo en los perfiles de configuración.
iOS es compatible con S/MIME en el correo, lo que permite al iPhone y al iPad ver y
enviar mensajes de correo electrónico encriptados. Las restricciones también pueden
ser usadas para evitar que los mensajes de correo sean movidos entre cuentas o los
mensajes recibidos en una cuenta sean reenviados desde otra.
Protección de datos
Intervalo progresivo de contraseña
El iPhone y el iPad pueden ser configurados
para iniciar automáticamente un borrado
después de varios intentos fallidos de ingreso
de la contraseña. Si un usuario ingresa varias
veces la contraseña incorrecta, iOS se inhabilitará por intervalos cada vez más largos. Luego
de muchos intentos fallidos, se borrarán todos
los datos y ajustes del dispositivo.
Gracias a las capacidades de encriptación de hardware del iPhone y el iPad, los
mensajes y adjuntos de correo electrónico almacenados en el dispositivo pueden ser
protegidos con las funcionalidades de protección de datos de iOS. La protección de
datos usa la contraseña de dispositivo de cada usuario, junto con la encriptación de
hardware en el iPhone y el iPad, para generar una sólida clave de encriptación. Esta
clave evita el acceso a los datos cuando el dispositivo está bloqueado, garantizando
que la información crítica esté protegida incluso si el dispositivo se ve comprometido.
Para activar la funcionalidad de protección de datos, sólo tienes que establecer
una contraseña en el dispositivo. La efectividad de la protección de datos depende
de una contraseña fuerte, por lo que es importante exigir e implementar una
contraseña mayor a cuatro dígitos a la hora de establecer sus políticas de contraseña
corporativas. Los usuarios pueden verificar que la protección de datos esté habilitada
en tu dispositivo mirando la pantalla de ajustes de la contraseña. Las soluciones de
administración de dispositivos móviles también pueden consultar el dispositivo para
obtener esta información. Estas API de protección de datos también están disponibles
para desarrolladores, y pueden ser usadas para proteger los datos de aplicaciones
internas o comerciales en la empresa.
Borrado remoto
iOS permite el borrado remoto. Si un dispositivo se pierde o es robado, el
administrador o dueño del dispositivo puede iniciar un comando de borrado remoto
que elimina todos los datos y desactiva el dispositivo. Si el dispositivo está configurado
con una cuenta de Exchange, el administrador puede iniciar un comando de borrado
remoto con la consola de administración de Exchange (Exchange Server 2007) o la
herramienta web de administración móvil de Exchange ActiveSync (Exchange Server
2003 ó 2007). Los usuarios de Exchange Server 2007 también pueden iniciar comandos
de borrado remoto directamente a través de Outlook Web Access. Los comandos de
borrado remoto también pueden ser iniciados por las soluciones de administración de
dispositivos móviles, incluso si los servicios corporativos de Exchange no están en uso.
4
Borrado local
Los dispositivos también pueden ser configurados para iniciar automáticamente un
borrado local después de varios intentos fallidos de ingreso de la contraseña. Esto protege
contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una
contraseña, los usuarios pueden habilitar el borrado local directamente desde los ajustes.
Por defecto, iOS borrará automáticamente el dispositivo luego de 10 intentos fallidos.
Al igual que con otras políticas de contraseña, el número máximo de intentos fallidos
es establecido a través de un perfil de configuración, un servidor de administración
de dispositivos móviles o, de forma inalámbrica, con políticas de Microsoft Exchange
ActiveSync.
iCloud
iCloud almacena música, fotos, apps, calendarios, documentos y mucho más, y los actualiza
automáticamente en todos los dispositivos del usuario. iCloud también hace copias de
seguridad de la información, como ajustes del dispositivo, datos de apps, y mensajes
de texto y MMS, todos los días a través de Wi-Fi. iCloud protege tu contenido, ya que lo
encripta cuando se envía por Internet, lo almacena en un formato cifrado y usa tokens de
seguridad para la autenticación. Además, las funcionalidades de iCloud, como Fotos en
streaming, sincronización de documentos y copias de seguridad, pueden ser deshabilitadas
mediante un perfil de configuración. Para más información sobre la seguridad y privacidad
de iCloud, visita http://support.apple.com/kb/HT4865?viewlocale=es_ES.
Seguridad de red
• Cisco IPSec, L2TP, PPTP VPN integrados
• VPN SSL vía apps del App Store
• SSL/TLS con certificados X.509
• WPA/WPA2 Enterprise con autenticación
802.1x basada en certificados
• RSA SecurID, CRYPTOCard
Protocolos de VPN
• Cisco IPSec
• L2TP/IPSec
• PPTP
• VPN SSL
Métodos de autenticación
• Contraseña (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• Certificados digitales x.509
• Secreto compartido
Protocolos de autenticación 802.1x
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Formatos de certificados compatibles
iOS es compatible con los certificados X.509
con claves RSA. Se reconocen las extensiones
de archivos .cer, .crt y .der.
Seguridad de red
Los usuarios móviles deben poder acceder a las redes de información corporativa desde
cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios
estén autorizados y que sus datos estén protegidos durante la transmisión. iOS ofrece
tecnologías comprobadas para lograr estos objetivos de seguridad, tanto para conexiones
Wi-Fi como de redes celulares.
Además de la infraestructura existente, cada sesión de FaceTime y la conversación
de iMessage es encriptada de punta a punta. iOS crea un ID único para cada usuario,
asegurando que las comunicaciones estén encriptadas, dirigidas y conectadas
correctamente.
VPN
Muchos entornos empresariales tienen algún tipo de red privada virtual (VPN) establecida.
Estos servicios de redes seguras ya están implementados y, por lo general, requieren una
configuración mínima para funcionar con el iPhone y el iPad.
Apenas lo sacas de la caja, iOS se integra con una amplia gama de tecnologías VPN usadas
habitualmente a través del soporte de Cisco IPSec, L2TP y PPTP. iOS es compatible con
SSL VPN a través de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos
protocolos garantiza el más alto nivel de encriptación basada en IP para la transmisión
de información sensible. Además de permitir el acceso seguro a los entornos de VPN,
iOS ofrece métodos comprobados para la autenticación del usuario. Con la autenticación
a través de certificados digitales x.509 estándar, los usuarios pueden acceder mejor a
los recursos de la compañía y es una alternativa viable al uso de tokens basados en el
hardware. Además, con la autenticación de certificados, iOS puede usar VPN On Demand,
para que el proceso de autenticación de VPN sea transparente, mientras brinda fuertes
credenciales de acceso a los servicios de red. Para entornos empresariales que requieren
un token de dos factores, iOS se integra con RSA SecurID y CRYPTOCard.
iOS es compatible con la configuración proxy de red, así como con la división de tunneling
IP, para que el tráfico a los dominios de redes públicas o privadas sea transmitido de
acuerdo con las políticas específicas de tu compañía.
5
SSL/TLS
iOS es compatible con SSL v3, así como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el
estándar de seguridad de última generación para Internet. Safari, Calendario, Mail y otras
aplicaciones de Internet inician automáticamente estos mecanismos para habilitar un
canal de comunicación encriptado entre iOS y los servicios corporativos.
WPA/WPA2
iOS es compatible con WPA2 Enterprise para brindar acceso autenticado a la red
inalámbrica de tu empresa. WPA2 Enterprise emplea encriptación AES de 128 bits, para
que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos
permanecerán protegidos a la hora de enviar y recibir comunicaciones a través de una
conexión de red Wi-Fi. Además, con el soporte para 802.1x, el iPhone y el iPad pueden ser
integrados en una amplia gama de entornos de autenticación RADIUS.
Seguridad de las apps
Seguridad de las apps
• Protección del tiempo de ejecución
• Firma obligatoria del código
• Servicios de llavero
• API de CommonCrypto
• Protección de datos de aplicaciones
iOS es diseñado con la seguridad en su núcleo. Incluye un método “aislado” para la protección
del tiempo de ejecución de las aplicaciones y requiere la firma de la aplicación para garantizar
que las aplicaciones no pueden ser alteradas. iOS también tiene una estructura segura que
facilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un
llavero encriptado. Para los desarrolladores, ofrece una arquitectura común de encriptación
que puede ser usada para encriptar los datos de aplicaciones almacenados.
Protección del tiempo de ejecución
Las aplicaciones en el dispositivo están “aisladas”, para que no puedan acceder a datos
almacenados por otras aplicaciones. Además, los archivos del sistema, los recursos y el
núcleo están protegidos desde el espacio de la aplicación del usuario. Si una aplicación
necesita acceder a los datos de otra aplicación, sólo puede hacerlo a través de las API y los
servicios provistos por iOS. También se evita la generación de código.
Firma obligatoria del código
Todas las aplicaciones de iOS deben estar firmadas. Las aplicaciones provistas con el
dispositivo están firmadas por Apple. Las aplicaciones de terceros están firmadas por el
desarrollador mediante un certificado emitido por Apple. Esto garantiza que las aplicaciones
no han sido manipuladas o alteradas. Además, se realizan controles del tiempo de ejecución
para garantizar que una aplicación sigue siendo confiable desde la última vez que se utilizó.
El uso de aplicaciones personalizadas o internas puede ser controlado con un perfil de
aprovisionamiento. Los usuarios deben tener el perfil de aprovisionamiento instalado
para ejecutar la aplicación. Los perfiles de aprovisionamiento pueden ser instalados o
revocados de forma inalámbrica usando soluciones de administración de dispositivos
móviles. Los administradores también pueden restringir el uso de una aplicación a
dispositivos específicos.
Esquema seguro de autenticación
iOS ofrece llaveros seguros y encriptados para almacenar las identidades digitales,
los nombres de usuario y las contraseñas. Los datos del llavero son divididos para
evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde
aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger
las credenciales de autenticación en el iPhone y el iPad a través de una amplia gama de
aplicaciones y servicios dentro de la empresa.
Arquitectura Common Crypto
Los desarrolladores de aplicaciones tienen acceso a las API de encriptación, que pueden
usar para proteger aún más los datos de sus aplicaciones. Los datos pueden ser encriptados
métricamente empleando métodos comprobados, tales como AES, RC4 o 3DES. Además,
el iPhone y el iPad ofrecen aceleración de hardware para encriptación AES y hash SHA1,
maximizando el desempeño de las aplicaciones.
6
Protección de los datos de las aplicaciones
Las aplicaciones también pueden emplear la encriptación de hardware incluida en
el iPhone y el iPad para proteger aún más los datos sensibles de las aplicaciones.
Los desarrolladores pueden designar a archivos específicos para la protección
de datos, dando instrucciones al sistema para que el contenido del archivo sea
criptográficamente inaccesible para la aplicación y para cualquier intruso potencial
cuando se bloquea el dispositivo.
Apps administradas
Un servidor MDM puede administrar apps de terceros en el App Store, así como apps
internas de la empresa. La designación de una app como administrada permite que el
servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el
servidor MDM. Además, el servidor puede evitar que los datos de la app administrada
sean respaldados en iTunes e iCloud. Así, el área de TI puede administrar apps que
pueden contener información confidencial de la empresa con más control que con las
apps descargadas directamente por el usuario.
Para instalar una app administrada el servidor MDM envía un comando de
instalación al dispositivo. Las apps administradas requieren la aceptación del usuario
antes de ser instaladas.
Dispositivos revolucionarios y completamente seguros
El iPhone y el iPad ofrecen protección encriptada de los datos en tránsito, en reposo e
incluidos en las copias de seguridad de iCloud e iTunes. Si un usuario está accediendo
al correo electrónico corporativo, visitando un sitio web privado o autenticando su
ingreso a la red corporativa, iOS garantiza que únicamente los usuarios autorizados
puedan acceder a la información corporativa sensible. Además, con su soporte para
redes de nivel empresarial y métodos completos para prevenir la pérdida de datos,
puedes implementar los dispositivos iOS con la confianza de que estás implementando
la mejor protección de datos y seguridad para dispositivos móviles.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, iPad, iPhone, iTunes y Safari son marcas
comerciales de Apple Inc., registradas en los EE.UU. y en otros países. iCloud e iTunes Store son marcas de servicio de Apple Inc.,
registradas en los EE.UU. y en otros países. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compañías
mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a
cambios sin previo aviso. Octubre de 2011 L422500B