Apple 的 iCloud Private Relay 如何支持企业 VPN
Apple 的 iCloud Private Relay 服务为用户提供隐私、安全和便利。最好将其视为一种有限形式的虚拟专用网络 (VPN),可保护用户的Safari 浏览活动免遭窥探。但是,它是否与您企业现有的 VPN 系统兼容?
iCloud Private Relay 和企业 VPN
很难找到可靠的 VPN 使用统计数据。域名声称三分之二的美国人使用过 VPN,大约有 3800 万人经常使用这些工具。在大流行期间转向在家工作可能引发了此类使用的增加,68% 的公司开始或增加了对此类服务的使用。
推断现在使用 VPN 服务的企业比以往任何时候都多,他们需要知道这些服务是否与 iCloud Private Relay 兼容。
1 second of 28 minutes, 20 seconds音量 0%
简短的回答是肯定的,它们是兼容的。苹果就是这样设计的。
“Private Relay 旨在为用户提供清晰的状态信息和控制,并为可能需要审核其网络上所有流量的企业和网络运营商提供适当的控制,”该公司在其最近发布的指南中解释道。服务。
iCloud Private Relay 的工作原理
简单来说,iCloud Private Relay 的工作原理是将用户的身份与其 Safari 网页浏览会话的性质分开。
当他们请求访问某个站点时,该请求将通过由两个不同实体运营的两个独立的 Internet 中继发送。
一个(“入口代理”)将处理用户的原始 IP 地址,但不知道他们请求的网站名称。
另一个“出口代理”使用与用户无关的分配 IP 地址来调用站点。
这个想法是人们无法直接连接到他们访问的站点,并且链中的任何人都无法访问该信息。
该系统足以支持位置个性化的网络体验,但不会破坏区域内容限制。因此,如果您想在葡萄牙里斯本的豪华平台上观看美国 Netflix,则需要使用 VPN。您还应该仔细检查您选择的 VPN 服务。
该系统具有可靠的TLS 1.3 安全性来加密用户设备与入口和出口代理之间发生的事情。您可以浏览 Apple 的在线专用Private Relay 页面及其最近的文档,以更深入地了解该系统。这个WWDC 开发者演示可能也很有趣。
iCloud Private Relay 如何支持现有的企业 VPN
它通过以下方式支持现有的企业安全系统(包括 VPN):
专用中继仅保护使用公共 Internet 服务器建立的连接。
Private Relay 允许用户直接访问本地或私人服务器(例如您公司的服务器)。
如果它检测到正在使用的服务器不是公共 Internet 名称,它将指示设备直接通过本地网络访问服务器。
为了防止攻击者可能选择冒充本地网络服务器来访问数据的欺骗尝试,该设备从不允许直接连接到 DuckDuckGo 已知跟踪器列表中保存的名称。
Private Relay 不会尝试代理它识别为特定于本地网络的流量。
企业使用的大多数托管网络设置优先于专用中继
如果设备安装了 VPN,则通过该 VPN 的流量将不会使用专用中继。
同样,将使用代理配置,例如全局代理,而不是专用中继。
如果您的网络禁止使用代理服务器,则 iCloud Private Relay 将无法运行。
这一切意味着,如果您使用的是企业 VPN,iCloud Private Relay 将忽略互联网交易。如果您使用本地网络或全球代理服务器,或禁止在您的网络上使用代理服务器,则不会提供任何保护。
另一个例外与那些使用自定义加密 DNS 设置的人有关,因为将使用指定的 DNS 服务器而不是专用中继。
MDM 系统呢?
如果您的企业管理一组设备,Apple 可以使用您的 MDM 工具启用或禁用 iCloud Private Relay。它通过允许这些系统在设备上安装和使用管理配置文件来禁用 iCloud Private Relay 来实现这一点。
网络审计呢?
一些行业要求企业记录网络流量,特别是在高度敏感或受到严格监管的行业。如果您的企业需要审核网络流量,则可以阻止对 Private Relay 的访问。
如果在您的网络上阻止使用该服务,用户将收到一条错误消息,让他们知道他们必须为该网络禁用专用中继或使用其他网络。
因此,说服您的员工使用您的网络而不是其他网络可能是您发现的最大安全挑战。
你还应该知道什么?
由于有如此多的员工远程工作,因此了解 iCloud Private Relay 无法保护的内容非常重要。当使用 Wi-Fi 或有线互联网连接在公共服务器上进行交易时,它可以很好地保护远程用户的浏览流量,但它不能保护通过蜂窝网络发送的流量。
同样重要的是要注意,只有 Safari 会话受到保护。来自应用程序、电子邮件或浏览器的流量不是。如果您和/或您的企业需要保护您的所有在线流量——应用程序、服务、电子邮件等——您仍然需要使用 VPN。
该服务非常相关。Jamf 高级经理 Garrett Denney 写道: “由于其在企业中的增长,Apple 设备现在成为更大的安全威胁目标 。”
如何启用和禁用私有中继
运行 iOS 15、iPad OS 15 或 macOS Monterey 或更高版本的iCloud+ 订阅者可以使用 Private Relay 。
要启用它,请打开设置(Mac 上的系统偏好设置),然后打开您的Apple ID>iCloud部分并将 Private Relay 切换为 On。或者将其切换为关闭以禁用该服务。