Op 12 juli, kondigde Apple een nieuwe MacBook Pro aan. Een vernieuwd, stiller toetsenbord, een krachtigere generatie Intel processoren, meer opslag en als je dat wil, meer RAM-geheugen om nog meer applicaties gelijktijdig te kunnen gebruiken.
Naast deze “logische” spec-bump staat er in het lijstje ook een nieuwe T2 coprocessor. De opvolger van de T1 chip die gebruikt werd voor onder andere TouchID. De T2 chip kennen we al van de iMac Pro en dat deze nu ook beschikbaar is voor de populairdere MacBook Pro kan grote consequenties hebben voor jouw omgeving.
Het lijkt ons logisch dat alle toekomstige hardware ook met een T2 coprocessor uitgerust zal worden.
Een kwestie van vertrouwen
Het opstartproces van een computer met T2 chip verloopt in meerdere stappen, en is fundamenteel verschillend van een computer zonder T2 chip. De reden hiervoor? Security. Het moment dat je je computer opstart, komt de T2 chip onmiddellijk in actie. De chip geldt als dé bron van alle vertrouwen en valideert het volledige opstartproces. Zonder te diep te graven in de techniciteit, verifieert deze chip de authenticiteit van de bootloader en geeft enkel een go als deze de digitale handtekening van Apple bevat. Deze validatie maakt het onmogelijk om op te starten als niet de volledige “chain of trust” groen kleurt.
Een grote stap voorwaarts voor iedereen die begaan is met beveiliging, een serieuze horde voor iedereen die gebruik maakt van NetBoot of NetInstall voor het uitrollen of automatisch configureren van nieuwe computers. Iedereen die met DeployStudio werkt bijvoorbeeld zal een alternatieve strategie moeten uitwerken.
Hoeveel automatisatie is er gewenst?
De complexiteit van een omgeving is niet één op één te mappen naar het aantal apparaten, medewerkers en afdelingen of de hoogte van de security baseline. We zien soms relatief kleine omgevingen waar de security baseline heel hoog ligt. We zien af en toe ook grote omgevingen met een relatief beperkte hoeveelheid mankracht om alles op vlak van client management in goede banen te leiden. Wat we altijd zien, is automatisatie om dit alles mogelijk te maken. Laat het nu net die automatisatie zijn die volgens de T2 chip niet te vertrouwen is…
Als Apple partner bieden we bij Allington een oplossing aan voor deze patstelling door de gebruikte tools en technieken 100% af te stemmen aan wat volgens Apple “te vertrouwen” is. Daarnaast, gaan we verder dan wat standaard met VPP, DEP of ABM/ASM mogelijk is om het de klant nog makkelijker te maken door nog verder te automatiseren.
Wil je, net zoals wijzelf, een zo hoog mogelijke security baseline met zo weinig mogelijk inspanning? Dan moeten we elkaar dringend leren kennen.
Update op 31 oktober 2018: Dit telt nu ook voor Mac Mini en MacBook Air.
Waarvoor staan al die acroniemen?
VPP: Volume Purchase Program. Een methode om AppStore applicaties in bulk aan te kopen zodat deze beschikbaar zijn voor jouw medewerkers.
DEP: Device Enrollment Program. Een attribuut dat bij de aankoop van een iPhone, iPad of Mac wordt meegegeven waardoor het toestel automatisch verbinding legt met een managementserver wanneer het voor de eerste keer opstart.
ABM: Apple Business Manager. Nieuwe portaal website van Apple die de functionaliteiten van DEP en VPP combineert.
ASM: Apple School Manager. Portaal website van Apple die de functionaliteiten van DEP en VPP combineert voor het onderwijs.