蘋果公司的iCloud Private Relay如何為企業(yè)虛擬專用網(wǎng)絡(luò)提供支持

作者：Jonny Evans 2022-01-13 14:14:21

蘋果公司的iCloud Private Relay服務(wù)可以為用戶提供隱私、安全和便利，用戶最好將其視為一種有限形式的虛擬專用網(wǎng)絡(luò)，可以保護(hù)他們的Safari瀏覽活動(dòng)免受窺探。

蘋果公司的iCloud Private Relay服務(wù)可以為用戶提供隱私、安全和便利，用戶最好將其視為一種有限形式的虛擬專用網(wǎng)絡(luò)，可以保護(hù)他們的Safari瀏覽活動(dòng)免受窺探。但是，它是否與企業(yè)現(xiàn)有的虛擬專用網(wǎng)絡(luò)系統(tǒng)兼容?其回答是肯定的。蘋果公司就是這樣設(shè)計(jì)的。

iCloud Private Relay和企業(yè)虛擬專用網(wǎng)絡(luò)

雖然難以找到可靠的虛擬專用網(wǎng)絡(luò)使用統(tǒng)計(jì)數(shù)據(jù)，但根據(jù)安全網(wǎng)站Security.org的估計(jì)，三分之二的美國(guó)人使用過虛擬專用網(wǎng)絡(luò)，大約有3800萬(wàn)人經(jīng)常使用虛擬專用網(wǎng)絡(luò)。在新冠疫情期間，大量員工轉(zhuǎn)向在家遠(yuǎn)程工作也顯著增加了此類應(yīng)用，68%的企業(yè)開始或增加了對(duì)此類服務(wù)的使用。

由此推斷，現(xiàn)在使用虛擬專用網(wǎng)絡(luò)服務(wù)的企業(yè)比以往任何時(shí)候都多，而他們希望了解這些服務(wù)是否與iCloud Private Relay兼容。

蘋果公司在其最近發(fā)布的一份服務(wù)指南中解釋說，“iCloud Private Relay旨在為用戶提供清晰的狀態(tài)信息和控制，并為可能需要審核其網(wǎng)絡(luò)上所有流量的企業(yè)和網(wǎng)絡(luò)運(yùn)營(yíng)商提供適當(dāng)?shù)目刂啤?rdquo;

iCloud Private Relay的工作原理

簡(jiǎn)單來說，iCloud Private Relay的工作原理是將用戶的身份與其Safari網(wǎng)頁(yè)瀏覽會(huì)話的性質(zhì)分開。

當(dāng)他們請(qǐng)求訪問某個(gè)網(wǎng)站時(shí)，該請(qǐng)求將通過由兩個(gè)不同實(shí)體運(yùn)營(yíng)的兩個(gè)獨(dú)立的互聯(lián)網(wǎng)中繼發(fā)送：

一個(gè)(“入口代理”)將處理用戶的原始IP地址，但不知道他們請(qǐng)求的網(wǎng)站名稱。
另一個(gè)“出口代理”使用與用戶無關(guān)的分配IP地址來調(diào)用站點(diǎn)。
其想法是，用戶無法直接連接到他們?cè)L問的網(wǎng)站，并且無法訪問該信息。

該系統(tǒng)足以支持位置個(gè)性化的Web體驗(yàn)，但不會(huì)破壞區(qū)域內(nèi)容限制。因此，如果用戶希望在葡萄牙里斯本的Netflix平臺(tái)上觀看美國(guó)的流媒體視頻，則需要使用虛擬專用網(wǎng)絡(luò)。而用戶應(yīng)該仔細(xì)檢查其選擇的虛擬專用網(wǎng)絡(luò)服務(wù)。

該系統(tǒng)具有可靠的TLS1.3安全性來加密用戶設(shè)備與入口和出口代理之間發(fā)生的事情。用戶可以瀏覽蘋果公司的在線專用Private Relay頁(yè)面及其最近的文檔，以更深入地了解該系統(tǒng)。

iCloud Private Relay如何支持現(xiàn)有的企業(yè)虛擬專用網(wǎng)絡(luò)

它通過以下方式支持現(xiàn)有的企業(yè)安全系統(tǒng)(包括虛擬專用網(wǎng)絡(luò))：

iCloud Private Relay僅保護(hù)使用公共互聯(lián)網(wǎng)服務(wù)器建立的連接。
iCloud Private Relay允許用戶直接訪問本地或私人服務(wù)器(例如企業(yè)的服務(wù)器)。•如果檢測(cè)到正在使用的服務(wù)器不是公共互聯(lián)網(wǎng)名稱，它將指示設(shè)備直接通過本地網(wǎng)絡(luò)訪問服務(wù)器。
為了防止網(wǎng)絡(luò)攻擊者可能選擇冒充本地網(wǎng)絡(luò)服務(wù)器來訪問數(shù)據(jù)的欺騙企圖，其設(shè)備從不允許直接連接到DuckDuckGo已知跟蹤器列表中保存的名稱。
iCloud Private Relay不會(huì)嘗試代理其識(shí)別為特定于本地網(wǎng)絡(luò)的流量。
企業(yè)使用的大多數(shù)托管網(wǎng)絡(luò)設(shè)置優(yōu)先于Private Relay。
如果設(shè)備安裝了虛擬專用網(wǎng)絡(luò)，則通過該虛擬專用網(wǎng)絡(luò)的流量將不會(huì)使用iCloud Private Relay。
同樣，將使用代理配置，例如全局代理，而不是iCloud Private Relay。
如果用戶的網(wǎng)絡(luò)禁止使用代理服務(wù)器，則iCloud Private Relay將無法運(yùn)行。

這一切意味著，如果用戶使用的是企業(yè)虛擬專用網(wǎng)絡(luò)，iCloud Private Relay將忽略互聯(lián)網(wǎng)交易。如果使用本地網(wǎng)絡(luò)或全球代理服務(wù)器或禁止在其網(wǎng)絡(luò)上使用代理服務(wù)器，則不會(huì)提供任何保護(hù)。

另一個(gè)例外與那些使用自定義加密DNS設(shè)置的人員有關(guān)，因?yàn)閷⑹褂弥付ǖ腄NS服務(wù)器而不是iCloud Private Relay。

那么MDM系統(tǒng)呢?

如果企業(yè)管理一組設(shè)備，蘋果公司可以使用其MDM工具啟用或禁用iCloud Private Relay。它通過允許這些系統(tǒng)在設(shè)備上安裝和使用管理配置文件來禁用iCloud Private Relay來實(shí)現(xiàn)這一點(diǎn)。

那么網(wǎng)絡(luò)審計(jì)呢?

一些行業(yè)領(lǐng)域要求記錄網(wǎng)絡(luò)流量，特別是在高度敏感或受到嚴(yán)格監(jiān)管的行業(yè)。如果企業(yè)需要審核網(wǎng)絡(luò)流量，則可以阻止對(duì)iCloud Private Relay的訪問。

如果企業(yè)在其網(wǎng)絡(luò)上阻止使用該服務(wù)，用戶將收到錯(cuò)誤消息的通知，讓他們知道必須為該網(wǎng)絡(luò)禁用Private Relay或使用其他網(wǎng)絡(luò)。

因此，企業(yè)說服員工使用安全的網(wǎng)絡(luò)而不是其他網(wǎng)絡(luò)可能是面臨的最大安全挑戰(zhàn)。

還應(yīng)該知道什么?

由于很多企業(yè)的員工在家遠(yuǎn)程工作，因此了解iCloud Private Relay無法保護(hù)的內(nèi)容非常重要。當(dāng)他們使用Wi-Fi或有線互聯(lián)網(wǎng)連接在公共服務(wù)器工作或交易時(shí)，iCloud Private Relay可以很好地保護(hù)遠(yuǎn)程用戶的瀏覽流量，但它不能保護(hù)通過蜂窩網(wǎng)絡(luò)發(fā)送的流量。

同樣重要的是要注意，只有Safari會(huì)話受到保護(hù)。來自應(yīng)用程序、電子郵件或?yàn)g覽器的流量不會(huì)受到保護(hù)。如果企業(yè)需要保護(hù)其所有在線流量(例如應(yīng)用程序、服務(wù)、電子郵件等)，仍然需要使用VPN。

Jamf公司高級(jí)經(jīng)理Garrett Denney寫道：“由于虛擬專用網(wǎng)絡(luò)的應(yīng)用在企業(yè)中的增長(zhǎng)，蘋果公司的移動(dòng)設(shè)備現(xiàn)在成為更大的安全威脅目標(biāo)。”