Руководство по безопасности платформы Apple 2021 раскрывает все последние изменения безопасности, внесенные в чипы A14 и новые компьютеры Mac M1.
Apple опубликовала свое ежегодное руководство по безопасности платформы Apple, которое включает обновленные сведения о безопасности всех своих платформ, включая новые чипы M1 и A14 внутри Apple Silicon Mac и текущих iPhone, соответственно.
Первый взгляд на безопасность M1 Mac
Обширный 196-страничный отчет объясняет, как Apple продолжает развивать свои основные модели безопасности, исходя из взаимного недоверия к доменам безопасности. Идея здесь в том, что каждый элемент в цепочке безопасности независим, собирает мало информации о пользователях и построен с использованием модели нулевого доверия, которая помогает повысить устойчивость безопасности.
В отчете исследуется безопасность оборудования, биометрии, системы, приложений, сети и услуг. В нем также объясняется, как модели безопасности Apple защищают шифрование и данные, и рассматриваются инструменты безопасного управления устройствами.
Для большинства пользователей Apple, особенно на предприятии, наибольший интерес может представлять то, что раскрывается в руководстве, касающееся чипов M1 и безопасности компьютеров Mac, на которых они установлены, поскольку в руководстве содержится наиболее глубокое погружение по этой теме.
Это подтверждает, что компьютеры Mac с чипом M1 теперь поддерживают ту же степень надежной безопасности, которую вы обнаруживаете в устройствах iOS, что означает такие вещи, как защита целостности ядра, ограничения быстрого доступа (которые помогают смягчить атаки через Интернет ), защиту целостности системного сопроцессора, и коды аутентификации указателя.
Вы также получаете серию средств защиты данных и встроенный Secure Enclave.
Все они предназначены для предотвращения распространенных атак, например атак, направленных на память или использующих javascript в Интернете. Apple утверждает, что ее средства защиты уменьшат вероятность успешных атак такого рода: «Даже если код злоумышленника каким-то образом выполнится, ущерб, который он может нанести, значительно снизится», - говорится в отчете.
Режимы загрузки Apple Silicon
В руководстве содержится более глубокий взгляд на то, как загружаются компьютеры Mac M1, включая информацию о процессах и режимах загрузки (описанных как «очень похожие» на iPhone или iPad) и средствах управления политикой безопасности загрузочного диска. Последний объясняет:
«В отличие от политик безопасности Mac на базе Intel, политики безопасности Mac с микросхемой Apple применяются для каждой установленной операционной системы. Это означает, что на одном компьютере поддерживается несколько установленных экземпляров macOS с разными версиями и политиками безопасности ».
В руководстве объясняется, как получить доступ к доступным режимам загрузки для компьютеров Mac с Apple Silicon.
- macOS, стандартный режим, запускается при включении Mac.
- RecoveryOS: при выключении нажмите и удерживайте кнопку питания, чтобы получить доступ к этому режиму.
- Резервное восстановление ОС: после выключения дважды нажмите и удерживайте кнопку питания. Это запустит вторую копию recoveryOS.
- Безопасный режим: при выключении нажмите и удерживайте кнопку питания, чтобы перейти в режим восстановления, а затем удерживайте Shift, выбирая начальный том.
Небольшое изменение биометрии
Еще одно изменение в процессоре A14 / M1 заключается в том, как работает Secure Neural Engine, используемый для Face ID. Эта функция ранее была интегрирована в Secure Enclave, но теперь становится безопасным режимом с Neural Engine на процессоре. Выделенный аппаратный контроллер безопасности переключается между задачами Application Processor и Secure Enclave, сбрасывая состояние Neural Engine при каждом переходе, чтобы обеспечить безопасность данных Face ID.
В отчете также объясняется, что Face и Touch ID являются поверхностями защиты на основе пароля, а не заменой. Вот почему вы должны ввести свой пароль, чтобы стереть или обновить свои системы, изменить настройки пароля, разблокировать панель безопасности на Mac, а также когда вы не разблокировали устройство более 48 часов и в другое время.
В отчете еще раз признается, что вероятность того, что случайный человек из популяции может разблокировать устройство пользователя, составляет 1 из 50 000 с Touch ID или 1 из 1 миллиона с Face ID, при этом отмечается, что эта вероятность возрастает пропорционально количеству отпечатков пальцев, которые вы регистрируете.
Что такое защита запечатанного ключа?
Одна из функций безопасности, которую предприятия могут захотеть изучить внимательно, называется «Защита запечатанного ключа». Это доступно только на чипах Apple и направлено на защиту от атак, при которых зашифрованные данные извлекаются с устройства для атак методом грубой силы или проводятся атаки на ОС и / или ее политики безопасности.
Идея состоит в том, что пользовательские данные становятся недоступными на устройстве при отсутствии соответствующей авторизации пользователя.
Это может помочь защитить от некоторых попыток кражи данных и работает независимо от Secure Enclave. Это не особенно ново; он был доступен со времен iPhone 7 и его чипа A10, но теперь доступен для компьютеров Mac M1 впервые.
В полном отчете есть еще много чего, что вы можете изучить. (Ожидается, что Apple пересмотрит страницы своего веб-сайта Platform Security.) Отчет рекомендуется прочитать всем корпоративным пользователям, заинтересованным в безопасности устройств Apple.
