Apple finalisiert seine VPN-Strategie

iOS 9 bringt Per-App-VPN für jedermann

23.11.2015 von Carsten Mickeleit  
Ein Virtual Private Network (VPN) dient schon immer der Anbindung von Außenstellen und externen Mitarbeitern. So spielen auch bei der Einbindung von Smartphones und Tablets in das Unternehmensnetzwerk VPNs weiterhin eine wesentliche Rolle. Doch wie läßt sich dies mit ByoD (Bring your own Device) vereinbaren?

Verwendet man für die Kommunikation mit dem Unternehmensnetzwerk ein VPN, dann ist sichergestellt, dass alle im Unternehmen verwendeten Netzwerkregeln auch für die mobilen Geräte gelten. Und genau hier entsteht die Problematik, denn je nachdem, ob es sich bei dem Smartphone oder Tablet um ein von dem Unternehmen gestelltes Gerät handelt, oder ob es Eigentum der Mitarbeiter ist, können die Anforderungen, wie ein solches VPN zu nutzen ist, stark schwanken.

Mit iOS9 ermöglicht Apple verschiedene VPN-Konfigurationen.

Dementsprechend ist die Geschichte der Entwicklung des VPNs im iOS-Kontext auch schon eine recht lange. Gestartet mit iOS 3, wo noch wesentliche Enterprise-Standards fehlten, entwickelte Apple neben der Unterstützung weiterer Standards vor allem verschiedene Ausprägungsformen des VPNs. Mittlerweile unterscheidet man folgende VPN-Konfigurationen:

Mittels On-Demand-VPN können Domains so gemanagt werden, dass immer, wenn der Safari Browser oder eine App auf diese zugreifen möchte, eine VPN-Verbindung aufgebaut wird. Mit Always-On-VPN, das in der Version iOS 8 hinzukam und das iPhone quasi wie einen Blackberry betreibt, wird beim Einschalten des Gerätes ein VPN gestartet, das userseitig nicht deaktiviert werden kann. Diese Form, die sicherlich nur bei unternehmenseigenen Geräte ihre Anwendung findet, stellt sicher, dass die gesamte Kommunikation über das Unternehmensnetzwerk geroutet wird und dort entsprechend überwacht und kontrolliert werden kann.

Apple iOS 9 - Das neue mobile Betriebssystem
iOS 9 wartet wieder mit einer Vielzahl von neuen Funktionen auf.
Apple iOS 9 - Das neue mobile Betriebssystem
Mit iOS 9 erhalten die Karten von Apple ein Update. Als Neuerung wartet die Karten-App nun mit einer Navigation über den öffentlichen Personennahverkehr ÖPNV auf.
Apple iOS 9 - Das neue mobile Betriebssystem
Der Dienst geht zuerst in den Städten San Francisco, New York, Toronto, Philadelphia, Washington, Baltimore, Chicago, Mexico City, London und Berlin an den Start.
Apple iOS 9 - Das neue mobile Betriebssystem
Die App Notizen erhält in iOS 9 eine Toolbar für Checklisten und einfaches Einfügen von Bildern.
Apple iOS 9 - Das neue mobile Betriebssystem
Außerdem lässt sich mit dem Finger darin zeichnen. Eine bessere Übersicht gibt es über alle Notizen in der App ebenfalls.
Apple iOS 9 - Das neue mobile Betriebssystem
Mit Slide Over lässt sich durch einen Wisch von der Seite schnell eine weitere App im rechten Bereich einblenden (überdeckt die bisherige App zirka ein Drittel).
Apple iOS 9 - Das neue mobile Betriebssystem
Jetzt lässt sich die eingeblendete App normal bedienen.
Apple iOS 9 - Das neue mobile Betriebssystem
Auf dem iPad Air 2 gibt es neben Slide Over zusätzlich die Funktion Split View. Hier wird der Bildschirm nun in zwei Apps aufgeteilt – beide laufen dann aktiv auf dem iPad.
Apple iOS 9 - Das neue mobile Betriebssystem
Neu ist auch der dritte Multitasking-Modi Picture in Picture. Wenn ein Video läuft und eine Nachricht eingeblendet wird, so lässt sich diese öffnen und das Video läuft in einem eingeblendeten kleinen Bereich weiter.
Apple iOS 9 - Das neue mobile Betriebssystem
Eine Verbesserung in der Bedienung betrifft die QuickType-Tastatur auf dem iPad. Neben Wortvorschlägen wie bei iOS 8 gibt es nun zusätzlich Shortcuts für beispielsweise Kopieren, Einfügen und Anhänge.
Apple iOS 9 - Das neue mobile Betriebssystem
Vereinfacht hat Apple auch das Verfahren, wenn beim Schreiben der Cursor an eine bestimmte Stelle im Text platziert werden soll oder man Textblöcke markieren will. Hierzu tippt man mit zwei Finger auf die Tastatur, dann verwandelt sich das virtuelle Keyboard in ein TrackPad.
Apple iOS 9 - Das neue mobile Betriebssystem
Über die neue Funktion Proactive Assistant bringt Apple in iOS 9 mehr Intelligenz in die Spotlight-Suche und Siri. Außerdem soll Proactive anstehende Ereignisse schlauer vorhersagen und dem Anwender passende Infos basierend auf seinem Nutzungsverhalten bieten. Eine ähnliche Funktion bietet Google bei Android mit Google Now.
Apple iOS 9 - Das neue mobile Betriebssystem
Nach wie vor können mit Proactive beispielsweise Apps oder Musiktitel gesucht werden, allerdings zieht Proactive nun auch externe Ergebnisse wie News-Websites stärker in die Suche mit ein.
Apple iOS 9 - Das neue mobile Betriebssystem
Proactive sucht auf dem iPhone oder iPad automatisch nach Informationen, bevor der Anwender diese benötigt. Hierfür durchsucht Proactive Kalendereinträge, Kontakte, Karten und weitere Apps.
Apple iOS 9 - Das neue mobile Betriebssystem
Außerdem analysiert Proactive das typische Nutzungsverhalten. Öffnet ein Anwender beispielsweise morgens nach dem Wecker immer Twitter, so blendet iOS 9 gleich die App im Sperrbildschirm ein. Oder jemand telefoniert um 19:00 Uhr immer mit der gleichen Person, dann zeigt Proactive gleich einen Anrufhinweis für diesen Kontakt an.
Apple iOS 9 - Das neue mobile Betriebssystem
Proactive sucht bei einem Anruf mit einer in den Kontakten unbekannten Nummer beispielsweise in den E-Mails, ob dazu ein passender Kontakt ist. Wird Proactiv während des Klingelns fündig, so wird das Ergebnis eingeblendet.
Apple iOS 9 - Das neue mobile Betriebssystem
In iOS 9 gibt es statt des vierstelligen Sperrcodes nun bei iPhones und iPad mit TouchID einen sechsstelligen Code. Wird auf einem neuem Gerät die Apple-ID verwendet, so wird auf den bekannten Geräten wie dem eigenen iPhone eine Meldung mit Verifikations-Code eingeblendet.
Apple iOS 9 - Das neue mobile Betriebssystem
Die neue App News bietet vordefinierte Newsquellen an, aus denen man auswählen kann. Von den selektierten Quellen wird dann automatisch eine optisch aufbereitete Zusammenstellung erstellt. News lässt sich als in iOS integrierte Alternative zu Flipboard sehen.
Apple iOS 9 - Das neue mobile Betriebssystem
Die App Passbook benennt Apple in iOS 9 auf den passenderen Namen Wallet um.
Apple iOS 9 - Das neue mobile Betriebssystem
Das neue Betriebssystem iOS 9 setzt laut Apple mindestens ein iPhone 4S, iPad 2 oder das erste iPad mini voraus. Ab dem iPod touch der 5. Generation funktioniert iOS 9 ebenfalls.

VPN und ByoD?

Dass dies im ByoD-Kontext nicht akzeptabel ist, ist selbstverständlich. Deshalb führte Apple bereits mit der Version 8 das sogenannte Per-App-VPN ein. Dieses VPN wird nur von gemanagten Apps verwendet und direkt über die MDM-Lösung ausgerollt. Klassische Consumer-Anwendungen wie YouTube und WhatsApp bleiben außen vor. Dies führt nicht nur dazu, dass Anwender sich bei der Benutzung dieser App nicht überwacht fühlen, sondern auch dazu, dass das Unternehmensnetzwerk von privatem Traffic verschont bleibt.

Ein Beispiel, dass den Nutzen von Per-App-VPN schnell verständlich macht, ist das Unterbinden des Dropbox-Zugriffs von Microsoft Office. Verwendet man das Per-App-VPN für Microsoft Office, so kann der IT Administrator im Netzwerk einfach über entsprechende DNS-Einträge den Zugriff auf Dropbox unterbinden. Da das Per-App-VPN aber nur für Microsoft Office greift, ist es auf dem iPhone selbst dann noch möglich, Dropbox im privaten Kontext zu benutzen.

Das Per-App-VPN ist auch zentraler Bestandteil des nativen Business-Containers. Dieser lässt sich vollständig auf Basis des Betriebssystems erstellen und benötigt lediglich ein Enterprise-Mobility-Management- (EMM-)System, das diese Funktionen nutzen kann, wie beispielsweise der Cortado Corporate Server oder die auf Apple fokussierte Management Lösung Caspar Suite von JAMF. Third-Party-Container, wie der von Good Technology oder App-Wrapping, wie beispielsweise von Citrix, Airwatch oder MobileIron angeboten, verlieren an Bedeutung.

Interessant ist dabei, das es Apple durch die native Unterstützung nicht nur ermöglicht, Anwendungen mit dem Per-App-VPN zu verbinden. Über das Konzept der gemanagten Domain stellt Apple außerdem sicher, dass auch der Emailverkehr sowie der Zugriff auf bestimmte Websites, meist Intranet-Sites, nur über dieses Per-App-VPN erfolgt.

Mit dieser Technologie entsteht folglich ein vollständig abgeschlossener Container, inklusive Mail-App und Secure Browser, der über ein gesichertes VPN mit dem Unternehmen verbunden ist, ohne dabei den Anwender bei dem Gebrauch privater Anwendungen einzuschränken.

Mit iOS 8 setzte Per-App-VPN noch ein spezielles VPN voraus, das nur von wenigen klassischen VPN-Anbietern unterstützt wurde. Den breitesten Support bot hier wohl F5. Airwatch und MobileIron entwickelten ihre eigenen Lösungen. Diese Anforderung und die etwas komplexe Umsetzung verhinderten bislang den Durchbruch dieses Konzeptes. Mit iOS 9 kann sich dies wesentlich verändern. Denn mit iOS 9 ermöglicht es Apple nun, das Per-App-VPN mit jedem VPN zu erstellen, das von dem eingebauten VPN-Client unterstützt wird. Da dieser sich über die Jahre stark weiterentwickelt hat, kann davon ausgegangen werden, das sich Per-App-VPN in nahezu jedem Unternehmensnetzwerk einsetzen lässt.

Wenige Schritte zum Per-App-VPN

Und so erstellen Sie ein per-App VPN für iOS Geräte: Die VPN-Konfiguration wird als Profil über ein EMM-System auf Ihrem Gerät installiert. Neben den grundsätzlichen Verbindungsdaten wird dabei angegeben, dass dieses VPN als Per-App-VPN eingerichtet werden soll. Durch Angabe spezifischer Domains kann dieses VPN auch gleichzeitig als On-Demand-VPN verwendet werden. Solche Domains werden auch als Managed Domains bezeichnet.

Im nächsten Schritt verteilen Sie das soeben erstellte VPN-Profil auf die Applikationen Ihrer Wahl. Per-App-VPN ist dabei ausschließlich auf gemanagte Applikationen anwendbar. Wichtig dabei ist zu bemerken, dass dies für alle Anwendungen im App Store möglich ist und keinerlei Anpassung der Anwendung erfordert. Auf dem Gerät selbst kann das Profil dann nach der Übertragung jederzeit überprüft werden. Wie auf dem Bild deutlich zu erkennen ist, gilt dies sowohl für Managed-Apps wie auch Managed-Domains.

Bild 3: Per App VPN Profil auf dem iOS Gerät nach der Einrichtung
Foto: Cortado Mobile Solutions GmbH

Wird nun eine der im Profil hinterlegten Anwendungen geöffnet, öffnet sich geräteseitig automatisch das VPN. Je nachdem, ob Sie die Zugangsdaten über das Profil verteilt haben, werden diese abgefragt. Die Zugangsdaten können dabei als Teil des Profils auf das Gerät gebracht werden. Alternativ kann der Nutzer auch zur Eingabe aufgefordert werden. Analog verhält es sich beim Öffnen einer im Profil hinterlegten Domain (VPN on-demand).

Fazit

Per App-VPN ist die mobile VPN-Variante der Wahl. Mit iOS 9 ist diese letztendlich nun recht einfach für nahezu jede Netzinfrastruktur umzusetzen und erfordert neben einem EMM-System keine weitere Investition. Während Apple mit dem Per-App-VPN und den Managed-Apps, Managed-Email-Accounts und Managed Domains einen fast unsichtbaren Business-Container ermöglicht, geht Google mit Android for Work den Weg, dass der Anwender explizit in den Business-Bereich wechseln muss. Beide Ansätze haben ihre Vorzüge, letztendlich beweisen beide, dass die Bildung sicherer nativer Business-Container nun ohne Einschränkungen und ohne aufwändige Anpassungen von Apps möglich ist. (mb)