Professional Documents
Culture Documents
Descripcin de seguridad
iOS, el sistema operativo del iPhone y el iPad, est basado en capas de seguridad.
A travs de l, el iPhone y el iPad pueden acceder de forma segura a los servicios
corporativos y proteger datos importantes. iOS ofrece encriptacin slida para los datos
en transmisin, mtodos comprobados de autenticacin para acceso a los servicios
corporativos, y encriptacin de hardware para todos los datos en reposo. iOS tambin
brinda proteccin segura a travs del uso de polticas de contrasea que pueden ser
distribuidas y ejecutadas a travs del aire. Adems, si el dispositivo cae en las manos
equivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado
remoto para eliminar la informacin privada.
Al considerar la seguridad de iOS para uso empresarial, es til conocer lo siguiente:
Seguridad del dispositivo: mtodos que previenen el uso no autorizado del dispositivo
Seguridad de datos: proteccin de los datos en reposo, incluso si el dispositivo est roto o perdido
Seguridad de la red: protocolos de red y encriptacin de datos en transmisin
Seguridad de apps: base segura para plataformas en iOS
Ejecucin de polticas
Las polticas descritas pueden aplicarse al iPhone y al iPad de diversas maneras. Las
polticas pueden ser distribuidas como parte de un perfil de configuracin a instalar.
Un perfil puede ser definido para que slo sea posible borrarlo con una contrasea de
administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por
completo todos los contenidos del dispositivo. Adems, los ajustes de contraseas pueden
ser configurados de forma remota usando soluciones de administracin de dispositivos
mviles que pueden aplicar las polticas directamente al dispositivo. Esto permite que las
polticas sean aplicadas y actualizadas sin interaccin por parte del usuario.
Alternativamente, si el dispositivo est configurado para acceder a una cuenta de
Microsoft Exchange, las polticas de Exchange ActiveSync son aplicadas de forma
inalmbrica en el dispositivo. Ten en cuenta que el conjunto disponible de polticas
puede variar dependiendo de la versin de Exchange (2003, 2007 2010). Consulta la
gua de Exchange ActiveSync y dispositivos iOS para ver un detalle de las polticas para
tu configuracin especfica.
Configuracin segura de dispositivos
Polticas y restricciones configurables
compatibles:
Funcionalidad de dispositivos
Instalacin de apps
Uso de la cmara
Uso de FaceTime
Captura de pantalla
Sincronizacin automtica durante la itinerancia
Uso del marcado por voz
Compras dentro de apps
Solicitud de la contrasea de la tienda para
todas las compras
Juegos multijugadores
Agregado de amigos a Game Center
Aplicaciones
Uso de YouTube
Uso de iTunes Store
Uso de Safari
Configuracin de las preferencias de seguridad
de Safari
iCloud
Copias de seguridad
Sincronizacin de documentos y sincronizacin
de valores clave
Uso de Fotos en streaming
Seguridad y privacidad
Envo de datos de diagnstico a Apple
Aceptacin de certificados no confiables por
parte del usuario
Ejecucin de copias de seguridad encriptadas
Calificaciones de contenido
Habilitacin de msica y podcasts explcitos
Definicin de regiones de calificaciones
Definicin de calificaciones de contenidos
permitidos
Los perfiles de configuracin son archivos XML que contienen polticas de seguridad y
restricciones, informacin de configuracin de la VPN, ajustes de Wi-Fi, cuentas de correo
y calendario, y credenciales de autenticacin para que el iPhone y el iPad funcionen
con los sistemas de tu empresa. La capacidad de establecer polticas de contraseas,
junto con los ajustes del dispositivo en un perfil de configuracin, asegura que los
dispositivos dentro de tu empresa estn configurados correctamente y de acuerdo con
las normas de seguridad establecidas por tu organizacin. Adems, ya que los perfiles
de configuracin pueden ser encriptados y bloqueados, los ajustes no pueden ser
removidos, alterados o compartidos con otros.
Los perfiles de configuracin pueden ser firmados y encriptados. La firma de un perfil
de configuracin asegura que los ajustes no pueden ser alterados. La encriptacin de un
perfil de configuracin protege los contenidos del perfil y slo lo instala en el dispositivo
para el cual fue creado. Los perfiles de configuracin son encriptados usando CMS
(Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128.
La primera vez que distribuyes un perfil de configuracin encriptado, lo instalas a travs
de sincronizacin por USB usando la herramienta de utilidad de configuracin o de forma
inalmbrica a travs de Over-the-Air Enrollment. Adems de estos mtodos, la distribucin
posterior de perfiles de configuracin encriptados puede ser realizada como adjuntos de
correo electrnico, alojados en un sitio web accesible para los usuarios, o empujados al
dispositivo a travs de soluciones de administracin de dispositivos mviles.
Restricciones para dispositivos
Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios
pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la
red, como Safari, YouTube o el iTunes Store, pero las restricciones tambin pueden
controlar funcionalidades como la instalacin de aplicaciones o el uso de la cmara.
Las restricciones para dispositivos te permiten configurar el dispositivo segn tus
necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente
con las prcticas de tu negocio. Las restricciones pueden ser configuradas manualmente
en cada dispositivo, aplicadas con un perfil de configuracin o establecidas de
forma remota con soluciones de administracin de dispositivos mviles. Adems, las
restricciones para la cmara y la navegacin web pueden aplicarse de forma inalmbrica
a travs de Microsoft Exchange Server 2007 y 2010.
Adems de establecer restricciones y polticas en el dispositivo, la aplicacin iTunes
puede ser configurada y controlada por el rea de TI. Esto incluye deshabilitar el acceso
al contenido explcito, definir qu usuarios de servicios de red pueden acceder dentro de
iTunes, y si hay nuevas actualizaciones de software para instalar. Para ms informacin,
consulta Implementar iTunes en dispositivos iOS.
Borrado local
Los dispositivos tambin pueden ser configurados para iniciar automticamente un
borrado local despus de varios intentos fallidos de ingreso de la contrasea. Esto protege
contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una
contrasea, los usuarios pueden habilitar el borrado local directamente desde los ajustes.
Por defecto, iOS borrar automticamente el dispositivo luego de 10 intentos fallidos.
Al igual que con otras polticas de contrasea, el nmero mximo de intentos fallidos
es establecido a travs de un perfil de configuracin, un servidor de administracin
de dispositivos mviles o, de forma inalmbrica, con polticas de Microsoft Exchange
ActiveSync.
iCloud
iCloud almacena msica, fotos, apps, calendarios, documentos y mucho ms, y los actualiza
automticamente en todos los dispositivos del usuario. iCloud tambin hace copias de
seguridad de la informacin, como ajustes del dispositivo, datos de apps, y mensajes
de texto y MMS, todos los das a travs de Wi-Fi. iCloud protege tu contenido, ya que lo
encripta cuando se enva por Internet, lo almacena en un formato cifrado y usa tokens de
seguridad para la autenticacin. Adems, las funcionalidades de iCloud, como Fotos en
streaming, sincronizacin de documentos y copias de seguridad, pueden ser deshabilitadas
mediante un perfil de configuracin. Para ms informacin sobre la seguridad y privacidad
de iCloud, visita http://support.apple.com/kb/HT4865?viewlocale=es_ES.
Seguridad de red
Cisco IPSec, L2TP, PPTP VPN integrados
VPN SSL va apps del App Store
SSL/TLS con certificados X.509
WPA/WPA2 Enterprise con autenticacin
802.1x basada en certificados
RSA SecurID, CRYPTOCard
Protocolos de VPN
Cisco IPSec
L2TP/IPSec
PPTP
VPN SSL
Mtodos de autenticacin
Contrasea (MSCHAPv2)
RSA SecurID
CRYPTOCard
Certificados digitales x.509
Secreto compartido
Protocolos de autenticacin 802.1x
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
PEAP v0, v1
LEAP
Formatos de certificados compatibles
iOS es compatible con los certificados X.509
con claves RSA. Se reconocen las extensiones
de archivos .cer, .crt y .der.
Seguridad de red
Los usuarios mviles deben poder acceder a las redes de informacin corporativa desde
cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios
estn autorizados y que sus datos estn protegidos durante la transmisin. iOS ofrece
tecnologas comprobadas para lograr estos objetivos de seguridad, tanto para conexiones
Wi-Fi como de redes celulares.
Adems de la infraestructura existente, cada sesin de FaceTime y la conversacin
de iMessage es encriptada de punta a punta. iOS crea un ID nico para cada usuario,
asegurando que las comunicaciones estn encriptadas, dirigidas y conectadas
correctamente.
VPN
Muchos entornos empresariales tienen algn tipo de red privada virtual (VPN) establecida.
Estos servicios de redes seguras ya estn implementados y, por lo general, requieren una
configuracin mnima para funcionar con el iPhone y el iPad.
Apenas lo sacas de la caja, iOS se integra con una amplia gama de tecnologas VPN usadas
habitualmente a travs del soporte de Cisco IPSec, L2TP y PPTP. iOS es compatible con
SSL VPN a travs de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos
protocolos garantiza el ms alto nivel de encriptacin basada en IP para la transmisin
de informacin sensible. Adems de permitir el acceso seguro a los entornos de VPN,
iOS ofrece mtodos comprobados para la autenticacin del usuario. Con la autenticacin
a travs de certificados digitales x.509 estndar, los usuarios pueden acceder mejor a
los recursos de la compaa y es una alternativa viable al uso de tokens basados en el
hardware. Adems, con la autenticacin de certificados, iOS puede usar VPN On Demand,
para que el proceso de autenticacin de VPN sea transparente, mientras brinda fuertes
credenciales de acceso a los servicios de red. Para entornos empresariales que requieren
un token de dos factores, iOS se integra con RSA SecurID y CRYPTOCard.
iOS es compatible con la configuracin proxy de red, as como con la divisin de tunneling
IP, para que el trfico a los dominios de redes pblicas o privadas sea transmitido de
acuerdo con las polticas especficas de tu compaa.
SSL/TLS
iOS es compatible con SSL v3, as como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el
estndar de seguridad de ltima generacin para Internet. Safari, Calendario, Mail y otras
aplicaciones de Internet inician automticamente estos mecanismos para habilitar un
canal de comunicacin encriptado entre iOS y los servicios corporativos.
WPA/WPA2
iOS es compatible con WPA2 Enterprise para brindar acceso autenticado a la red
inalmbrica de tu empresa. WPA2 Enterprise emplea encriptacin AES de 128 bits, para
que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos
permanecern protegidos a la hora de enviar y recibir comunicaciones a travs de una
conexin de red Wi-Fi. Adems, con el soporte para 802.1x, el iPhone y el iPad pueden ser
integrados en una amplia gama de entornos de autenticacin RADIUS.
iOS es diseado con la seguridad en su ncleo. Incluye un mtodo aislado para la proteccin
del tiempo de ejecucin de las aplicaciones y requiere la firma de la aplicacin para garantizar
que las aplicaciones no pueden ser alteradas. iOS tambin tiene una estructura segura que
facilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un
llavero encriptado. Para los desarrolladores, ofrece una arquitectura comn de encriptacin
que puede ser usada para encriptar los datos de aplicaciones almacenados.
Proteccin del tiempo de ejecucin
Las aplicaciones en el dispositivo estn aisladas, para que no puedan acceder a datos
almacenados por otras aplicaciones. Adems, los archivos del sistema, los recursos y el
ncleo estn protegidos desde el espacio de la aplicacin del usuario. Si una aplicacin
necesita acceder a los datos de otra aplicacin, slo puede hacerlo a travs de las API y los
servicios provistos por iOS. Tambin se evita la generacin de cdigo.
Firma obligatoria del cdigo
Todas las aplicaciones de iOS deben estar firmadas. Las aplicaciones provistas con el
dispositivo estn firmadas por Apple. Las aplicaciones de terceros estn firmadas por el
desarrollador mediante un certificado emitido por Apple. Esto garantiza que las aplicaciones
no han sido manipuladas o alteradas. Adems, se realizan controles del tiempo de ejecucin
para garantizar que una aplicacin sigue siendo confiable desde la ltima vez que se utiliz.
El uso de aplicaciones personalizadas o internas puede ser controlado con un perfil de
aprovisionamiento. Los usuarios deben tener el perfil de aprovisionamiento instalado
para ejecutar la aplicacin. Los perfiles de aprovisionamiento pueden ser instalados o
revocados de forma inalmbrica usando soluciones de administracin de dispositivos
mviles. Los administradores tambin pueden restringir el uso de una aplicacin a
dispositivos especficos.
Esquema seguro de autenticacin
iOS ofrece llaveros seguros y encriptados para almacenar las identidades digitales,
los nombres de usuario y las contraseas. Los datos del llavero son divididos para
evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde
aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger
las credenciales de autenticacin en el iPhone y el iPad a travs de una amplia gama de
aplicaciones y servicios dentro de la empresa.
Arquitectura Common Crypto
Los desarrolladores de aplicaciones tienen acceso a las API de encriptacin, que pueden
usar para proteger an ms los datos de sus aplicaciones. Los datos pueden ser encriptados
mtricamente empleando mtodos comprobados, tales como AES, RC4 o 3DES. Adems,
el iPhone y el iPad ofrecen aceleracin de hardware para encriptacin AES y hash SHA1,
maximizando el desempeo de las aplicaciones.
2012 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, iPad, iPhone, iTunes y Safari son marcas
comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. iCloud e iTunes Store son marcas de servicio de Apple Inc.,
registradas en los EE.UU. y en otros pases. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compaas
mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a
cambios sin previo aviso. Marzo de 2012