Home Security Zero-trust op iOS biedt betere beveiliging en meer mogelijkheden dan VPN

Zero-trust op iOS biedt betere beveiliging en meer mogelijkheden dan VPN

405

Zeg wat je wil over technologie en security, maar saai is het nooit! De laatste tijd is er het nodige verschenen naar aanleiding van een security researcher die claimt dat ‘VPN op iOS niet goed werkt’. Dit blijkt een kwestie te zijn dat al in 2020 aan de orde was, toen een leverancier van VPN-software voor consumenten een bugrapport indiende en beweerde dat zij zagen dat hun VPN-software verbindingen maakte met domeinen van Apple. Hierbij werd de VPN-beveiliging volledig omzeild, terwijl ander, niet-Apple-dataverkeer wél via de VPN-tunnel liep.

Geen VPN-tunneling

Voor de duidelijkheid: Apple-dataverkeer wordt rechtstreeks naar internet geleid omdat het is vrijgesteld van VPN-tunneling. Apple-gerelateerde services, zoals pushmeldingen, worden hierdoor niet verstoord en ook wordt de gebruikerservaring zo niet op een negatieve manier beïnvloed.

Maar, dat was toen. Het verhaal over VPN-security wekte opnieuw de interesse toen security researcher Michael Horowitz een datalek ontdekte tijdens het testen van consumenten VPN-software van derden op zijn iPad met iPadOS 15.6.

Nieuwe verbinding

Legacy VPN-software op iOS werkt zo: wanneer de VPN is ingeschakeld, worden bestaande verbindingen met services die al open zijn, niet altijd onmiddellijk door de zojuist geopende VPN-tunnel omgeleid. Het kan soms enkele minuten tot enkele uren duren voordat een bestaande verbinding opnieuw verbinding maakt via de VPN-tunnel.

Het is niet eenvoudig om zeker te zijn welke apps onmiddellijk opnieuw verbinding maken en welke hiervoor enige tijd nodig hebben, want dit is nergens goed gedocumenteerd. Daar komt bij dat het heel goed mogelijk is dat dit volledig afhankelijk is van de beschikbare systeembronnen op een iOS-device op het moment dat VPN wordt ingeschakeld.

Gegevens verder beveiligen met legacy VPN

iOS VPN-verbindingen worden nu op een bepaalde manier afgehandeld. Daartoe heeft Apple een aantal functies – waarvan sommige al in iOS 14 zijn geïntroduceerd – behouden om enkele van de tekortkomingen van oudere VPN-services te minimaliseren en de gegevensbeveiliging te versterken.

Ontwikkelaars kunnen bijvoorbeeld een killswitch inbouwen met behulp van:

1 includeAllNetworks:

Deze key in de iOS developer documentatie van Apple geeft aan of het systeem al het netwerkverkeer via de tunnel stuurt. Door deze code in een app op te nemen, bieden VPN-ontwikkelaars gebruikers de zekerheid dat als deze waarde ‘True’ is (de functie is ingeschakeld) en er geen VPN-tunnel beschikbaar is, iOS-devices al het netwerkverkeer laten vallen.

Waar het op neerkomt, is dat hiermee alle data, ongeacht de netwerkverbinding (wifi of 4G), door een versleutelde VPN-tunnel worden geleid. Als zo’n tunnel om wat voor reden dan ook niet beschikbaar is, is er geen netwerkverkeer toegestaan ​​totdat de VPN-tunnel opnieuw verbinding heeft gemaakt.

Hoewel het aan de ontwikkelaar van de VPN-app is om al dan niet een ​​killswitch op te nemen, voegt Apple de technologie toe die nodig is om deze functie te bieden, terwijl sommige VPN-providers dit als extra bescherming voor de consument aanbieden.

Voor organisaties die iOS-devices beheren, kan legacy VPN automatisch worden geactiveerd door gebruik te maken van:

2 Het ‘Always On’ VPN-configuratieprofiel:

Volgens Apple is de ‘Always On VPN’ een instelling die via een configuratieprofiel kan worden ingesteld, als onderdeel van een MDM-oplossing (Mobile Device Management). Indien ingeschakeld, geeft dit een organisatie volledige controle over iOS- en iPadOS-dataverkeer, door al het IP-verkeer terug te tunnelen naar de organisatie. Data-encryptie is altijd ingeschakeld om verbindingen te beveiligen.

Om deze functie te kunnen activeren is device toezicht vereist, om het configuratieprofiel op devices te installeren. Ook alle vereiste VPN configuratie instellingen zijn opgenomen in dit profiel. Dit betekent dat Always On VPN na installatie automatisch wordt geactiveerd, zonder dat de gebruiker hier iets voor hoeft te doen. De VPN-verbinding blijft altijd actief, zelfs wanneer het device opnieuw wordt opgestart.

Bovendien biedt deze configuratie de mogelijkheid om per netwerkinterface een aparte tunnel in te stellen. Dit houdt in dat er op devices telkens aparte VPN-tunnels worden gecreëerd met zowel WiFi als 4G/5G verbindingen, zodat het netwerkverkeer altijd via een versleutelde tunnel wordt geleid. Als een van deze tunnels niet meer beschikbaar is, wordt al het IP-verkeer tegengehouden totdat de tunnels opnieuw tot stand zijn gebracht.

Een elegante oplossing voor een moderne computerwereld

Legacy VPN-oplossingen zijn lang de enige echte optie geweest om gegevens te beschermen. Dit was essentieel bij het het gebruik van niet-vertrouwde netwerken, zoals publieke WiFi-hotspots of het internet in het algemeen – eigenlijk alles buiten het bedrijfsnetwerk dat door firewalls wordt afgeschermd.

Het probleem hiermee is dat door een combinatie van factoren, zoals de mobiele transformatie, externe en hybride werkomgevingen en evoluerende securitydreigingen, enterprise VPN niet langer de vereiste bescherming van bedrijfsdata biedt, of goed beveiligde toegang tot gevoelige gegevens.

Om te beginnen heeft de explosieve groei van mobiele devices de manier veranderd waarop IT- en securityteams kijken naar beheer en security. Verder heeft de doorzettende overstap van bedrijven naar volledig extern of hybride werken de traditionele netwerkgrens grotendeels opgeheven.

Daardoor moet er opnieuw worden nagedacht over hoe gegevens en toepassingen het beste kunnen worden beveiligd, terwijl tegelijkertijd werknemers productief moeten zijn via de devices die zij kiezen, via elke verbinding en op elk moment, ongeacht waar ze werken. En tot slot hebben ook de methoden die worden gebruikt om devices en gebruikers aan te vallen, zich steeds verder ontwikkeld.

Een betere oplossing: ZTNA

De noodzaak voor een moderne aanpak voor het beveiligen van apps en gegevens, inclusief de beveiliging van mobiele devices, heeft geleid tot Zero Trust Network Access, kortweg ZTNA. Dit securitymodel dankt zijn naam aan het principe van ‘zero trust’, wat betekent dat devices of gebruikers niet standaard worden vertrouwd, maar dat er altijd controles plaatsvinden of beschermde bronnen benaderd mogen worden.

Dit wordt bereikt door de impliciete securityautorisatie los te koppelen van een ‘vertrouwd’ device of van de logingegevens van een gebruiker. In plaats daarvan worden de bedrijfsmiddelen en de gegevens zelf beveiligd. ZTNA biedt meerdere beveiligingslagen, waarbij wordt gecontroleerd of een gebruiker en zijn mobiele device wel in aanmerking komen voor toegang tot een gevraagde informatiebron, voordat ze toestemming krijgen. Dit gebeurt via continue checks van de securitystatus van het device en consistent, op beleid gebaseerde naleving van authenticatie.

Microtunnels

In tegenstelling tot VPN, dat de gebruiker toegang geeft tot het gehele netwerk, gebruikt ZTNA microtunnels om gebruikers alleen te verbinden met de informatiebron waartoe ze geautoriseerd zijn. Daarbij worden de laagst mogelijke toegangsrechten afgedwongen en wordt zijwaartse (laterale) beweging binnen het netwerk voorkomen. ZTNA gaat zelfs nog een stap verder en verhindert alleen actief toegang tot de gevraagde informatiebronnen door gebruikers en devices die mogelijk gecompromitteerd zijn. Bijvoorbeeld als ze niet door een van deze controles komen. Andere informatiebronnen blijven gewoon toegankelijk, zodat gebruikers productief kunnen blijven terwijl het probleem wordt verholpen.

Privacy van gebruikers beschermd

In tegenstelling tot legacy VPN wordt bij ZTNA de privacy van gebruikers beschermd, dankzij ‘split tunneling’. Deze technologie zorgt ervoor dat zakelijke verbindingen worden beveiligd terwijl niet-zakelijk applicatieverkeer (bijvoorbeeld van privé apps) rechtstreeks naar internet wordt geleid. Ook maakt ZTNA automatisch verbinding wanneer dat nodig is en maakt het na een storing automatisch opnieuw verbinding. Daarbij wordt het systeem zo min mogelijk belast, zodat gebruikers er niets van merken.

Tot slot betekent het gebruik van cloudgebaseerde infrastructuur dat er geen hardware beheerd hoeft te worden en dat er geen complexe softwareconfiguraties of kostbare supportcontracten nodig zijn. Integratie met moderne, op de cloud gebaseerde identiteitsproviders (IdP) verhogen de security en de flexibiliteit binnen de infrastructuur, on-premises omgevingen, publieke en private clouds en gehoste SaaS-oplossingen. Daarbij is het niet langer nodig is om certificaten te beheren terwijl bedrijven ook profiteren van de voordelen van Single Sign-On (SSO) en Multifactor Authenticatie (MFA).

Stijn Brattinga, Supervisor Field Sales Engineering, Jamf

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in