Von Standard-VPN über Third Party Clients bis zu Per App VPN: So behalten Sie den Überblick in Apples VPN-Dschungel
Ein VPN (Virtual Private Network) zur Anbindung von iOS-Geräten an das Unternehmensnetzwerk ist durchaus praktisch. So wird sichergestellt, dass alle im Unternehmen verwendeten Netzwerkregeln auch für iPhone und iPad gelten. Aber genau hier entsteht die Problematik. Denn je nachdem, ob es sich um ein vom Unternehmen gestelltes iPhone oder iPad handelt oder ob es Eigentum der Mitarbeiter (BYOD) ist, können die Anforderungen an solch ein Apple VPN stark schwanken.
Aktuell sind folgende Apple VPN-Varianten verfügbar:
- Standard-VPN
- Third-Party VPN Clients
- On Demand VPN
- Always On VPN
- Per App VPN
Während es sich beim Standard-VPN um eine manuell startbare Verbindung auf Basis des eingebauten VPN-Clients handelt, können mit Apples On Demand VPN Domains so gemanagt werden, dass bei Zugriff mit dem Apple Safari Browser oder einer anderen App die VPN-Verbindung automatisch aufgebaut wird.
Mit Apples Always On VPN, das in der Version iOS 8 hinzukam und das iPhone quasi wie einen BlackBerry betreibt, wird bereits beim Einschalten des Gerätes ein VPN gestartet, das von Anwender nicht deaktiviert werden kann. Diese Form – die sicherlich nur bei unternehmenseigenen Geräten ihre Anwendung findet – stellt sicher, dass die gesamte Kommunikation über das Unternehmensnetzwerk geroutet wird und dort entsprechend überwacht und kontrolliert werden kann.
Da solch ein Always On VPN im BYOD-Kontext nicht akzeptabel ist, führte Apple bereits mit iOS 8 das sogenannte Per App VPN ein. Dieses Apple VPN wird nur von gemanagten Apps verwendet und kann direkt per Cortado MDM ausgerollt werden. Klassische Consumer-Anwendungen wie YouTube und WhatsApp bleiben außen vor.
Dies führt nicht nur dazu, dass Anwender sich bei der Benutzung dieser Apps nicht überwacht fühlen, sondern auch dazu, dass das Unternehmensnetzwerk von privatem Traffic verschont bleibt.
Zugriff auf Dropbox & Co. mittels Per App VPN unterbinden
Ein Beispiel, dass den Nutzen von Apples Per App VPN schnell verständlich macht, ist das Unterbinden des Dropbox-Zugriffs von Microsoft Office. Dieser lässt sich ansonsten über keine Einstellung verhindern.
Verwendet man das Per App VPN für Microsoft Office, kann der IT-Administrator im Netzwerk einfach über entsprechende DNS-Einträge den Zugriff auf Dropbox unterbinden.
Da das Apple Per App VPN aber nur für Microsoft Office greift, ist es auf dem iPhone dennoch möglich, Dropbox im privaten Kontext zu benutzen. Lediglich die Unternehmensanwendungen haben keinen Zugriff.
iOS 9: Ein wichtiger Schritt für das Apple Per App VPN
Mit Apples iOS 8 setzte Apples Per App VPN noch ein spezielles VPN voraus, das nur von wenigen klassischen VPN-Anbietern unterstützt wurde. Diese Anforderung und die etwas komplexe Umsetzung verhinderten bislang den Durchbruch dieses Konzeptes. Mit iOS 9 kann sich dies wesentlich verändern.
Mit iOS 9 ermöglicht es Apple nun, das Per App VPN mit jedem VPN zu erstellen, das von dem eingebauten VPN-Client unterstützt wird. Da dieser sich über die Jahre stark weiterentwickelt hat, kann davon ausgegangen werden, dass sich Per App VPN in nahezu jedem Unternehmensnetzwerk einsetzen lässt.
Per App VPN als zentraler Bestandteil des nativen Business Containers
Dass Per App VPN ist auch zentraler Bestandteil des nativen Business Containers, welcher bereits in diesem Beitrag beschrieben wurde. Interessant ist dabei, dass es Apple durch die native Unterstützung nicht nur ermöglicht, Anwendungen mit dem Per App VPN zu verbinden.
Über das Konzept der gemanagten Domain stellt Apple darüber hinaus sicher, dass auch der Email-Verkehr sowie der Zugriff auf bestimmte Websites – meist Intranetsites – nur über dieses Per App VPN erfolgt.
Mit dieser Technologie entsteht folglich ein vollständig abgeschlossener Container, inklusive Apple Mail App und Safari Secure Browser. Dieser ist so über ein gesichertes VPN mit dem Unternehmen verbunden, ohne den Anwender beim Gebrauch privater Anwendungen einzuschränken.
Fazit:
Das Per App VPN ist quasi die Königin der Apple-VPN-Varianten. Mit iOS und Cortado MDM ist diese letztendlich recht einfach umzusetzen. Das wird dem nativen Business Container zum Durchbruch verhelfen.