盘点苹果在信息安全方面取得的 16 项重大进步
编者按 : 查尔斯·艾德兹(Charles Edge)是 JAMF Software 的产品经理。
苹果向来以提供非同寻常的用户体验而著称。但是,许多人也许并不知道,在过去几年间,苹果一直在推动信息安全的发展,让普通用户可以用到先进的安全选项。尽管下面盘点的这 16 项功能在 El Capitan 上面并不都是全新的特性,但确实是每一位用户都可以轻松使用的 OS X 自带功能。
1. 系统完整性保护
苹果称,系统完整性保护可以对 Mac 电脑上能被改动的东西作出限制。这意味着苹果让 OS X 具有了类似于 iOS 的功能。通过对二进制的使用方式及用户可以在文件系统上编写内容的地点作出限制,苹果正在给 OS X El Capitan 带来史无前例的安全性。
2.FileVault
FileVault 是苹果用于描述全盘加密的一个术语,也是一项免费的服务,可以与密钥托管(keyescrowing)服务一起使用,包括移动设备管理厂商提供的密钥托管服务。FileVault 还可以被用于保护可移动媒体,提供额外的安全保护。最令人称道的是,FileVault 可以通过 MDM 解决方案或简单的脚本进行管理。
3. 移动设备管理
移动设备管理(缩写形式为“MDM”)是苹果开发的一个 API,让企业客户可以远程管理 Mac 和 iOS 设备。在 Mac 电脑上面实施管理意味着,你可以远程控制 FileVault、Gatekeeper、证书和苹果其他安全技术。与此同时,你还可以通过 MDM 来实现 Mac 设置的自动化——即“零接触配置”,选择字体,安装打印机,控制你希望在 Mac 上面拥有的一切设置。
4.Gatekeeper
Gatekeeper 是一项能让 Mac 电脑免遭恶意软件入侵的技术。有了 Gatekeeper,你可以让那些被允许在 Mac 电脑上运行的应用,只能通过 Mac App Store 获取并签名,或成为由合法开发者签名的应用。如果某个应用存在瑕疵,苹果可以迅速撤销证书,令该应用无法在任意一台支持 Gatekeeper 的 Mac 电脑上运行。
5. 应用沙盒
应用沙箱(Application Sandboxing)是一项借鉴于 Trusted BSD 的技术。通过这一功能,你可以对特定资源进行定义,对应用的访问权限作出限制,包括网络资源、内存及部分文件系统等。
6.ASLR
地址空间布局随机化(ASLR)现已被集成到 Windows 和安卓系统中,但这项功能最初问世时,ASLR 是第一个对软件在内存中运行的位置进行随意分配的大型工具,这样一来,攻击者就难以发现系统漏洞并展开攻击。
7. 远程锁定
远程锁定和远程清除(remote wipe)是 MDM 协议的延伸。通过将恢复分区整合到每一台 Mac 电脑上,允许用户启动互联网容量(Internet volume)进行恢复,苹果基本上就没有了分配使用物理媒体的操作系统的成本,同时还能让用户远程启动恢复分区,锁定启动卷(boot volum)。一旦启动卷被锁定,用户必须获得 MDM 指令才能解锁,否则电脑中保存的信息可以被远程清除。
8.Xprotect
Xprotect 是一项有点像杀毒软件的功能,已被集成到每一台 Mac 电脑中。Xprotect 是一种基于签名的扫描方案,可以寻找并拦截试图在 OS X 上面运行的已知服务和应用。它并不是一种完整的杀毒解决方案,但如果企业客户需要这样的产品,其实也可以购买第三方杀毒产品,这种产品在市面上不胜枚举。
9. 防钓鱼功能
Safari 已经具有防钓鱼功能。浏览器无疑是任何一款现代操作系统最薄软的环节之一,而用户无疑是整个安全环境中另一个更为薄软的环节。为了渗透电脑环境,攻击者惯用的一个手段就是用钓鱼电子邮件,旨在获取信用卡信息、密码和其他私密数据。如果你在 Mac 电脑上面访问被认为是钓鱼网站的网络地址,系统就会做出警告,同时向网络浏览体验提供额外的安全层。
10.Mac App Store
通过 Mac App Store,企业用户可以验证他们想要购买的应用的完整性。苹果会对 MacApp Store 上面出售的每一款应用进行审查,所以,企业用户也就有了更多的选项,可用于发现安全漏洞。
11.iCloud 钥匙串
iCloud 钥匙串(iCloud Keychain)是一种将用户所有密码保存到 AES-256 加密密钥库上的工具。通过对数据进行加密并保存到中央位置上,iCloud 钥匙串可以连同证书和相关说明,被同步到 iOS 和 Mac 电脑上。
12. 激活锁
激活锁(Activation Lock)是一项技术,让用户可以将苹果设备绑定到他们的 Apple ID 上,一旦设备里面的内容被删除,这项技术可避免该设备被再次激活,并在没有 Apple ID 的情况下继续使用。对于企业客户拥有的设备,可以通过两种方式绕过激活锁,一是向苹果提交购买设备的证据,而是通过设备加入的 MDM 解决方案,比如说 Casper Suite。有朝一日,小偷会明白即便偷来苹果设备,也毫无用处,所以,这项功能可以保护苹果用户,而不仅仅是他们的数据。
13. 应用防火墙
OS X 自带的应用防火墙(Application Firewall)已经突破了传统防火墙的拦截技术。如果说 Gatekeeper 会强制每一款启动的应用必须签名的话,那么应用防火墙则可以对网络资源做出限制,让某个应用只可以访问那些有签名的应用——无论要求什么样的资源,它们都可以访问这些应用。
14. 时间机器
“时间机器”(Time Machine)是 OS X 自带的文件备份软件,每一台 Mac 电脑上都有。就如同众多操作系统厂商的自带文件备份功能一样,目前有大量第三方产品也具有更可靠的文件备份功能,只是“时间机器”易于使用,而且免费。
15. 遗留技术
企业客户对遗留技术(legacy technology)存在着大量需求,比如 Active Directory、VPN 和 802.1x,因为企业客户的现有安全要求都涵盖了这些技术。
16.“隐私为先”的思维
最后,苹果贡献的最重要的安全功能其实就是实用、以隐私为先的思维。这可能源于苹果移动设备的成功,但由于每一台苹果设备上的功能都侧重于用户信息管理,开发者在开发可能影响用户隐私的新功能时,肯定会三思而后行。苹果不仅让安全工具变得易于使用,而且十分稳定,不仅适用于企业客户,还能保护普通用户的隐私,借此帮助普及了良好的安全做法。
翻译:皓岳
16 Apple Security Advances to Take Note of in 2016