蘋果公司的iCloud Private Relay服務可以為用戶提供隱私、安全和便利，用戶最好將其視為一種有限形式的虛擬專用網(wǎng)絡，可以保護他們的Safari瀏覽活動免受窺探。但是，它是否與企業(yè)現(xiàn)有的虛擬專用網(wǎng)絡系統(tǒng)兼容?其回答是肯定的。蘋果公司就是這樣設計的。

iCloud Private Relay和企業(yè)虛擬專用網(wǎng)絡

雖然難以找到可靠的虛擬專用網(wǎng)絡使用統(tǒng)計數(shù)據(jù)，但根據(jù)安全網(wǎng)站Security.org的估計，三分之二的美國人使用過虛擬專用網(wǎng)絡，大約有3800萬人經(jīng)常使用虛擬專用網(wǎng)絡。在新冠疫情期間，大量員工轉向在家遠程工作也顯著增加了此類應用，68%的企業(yè)開始或增加了對此類服務的使用。

由此推斷，現(xiàn)在使用虛擬專用網(wǎng)絡服務的企業(yè)比以往任何時候都多，而他們希望了解這些服務是否與iCloud Private Relay兼容。

蘋果公司在其最近發(fā)布的一份服務指南中解釋說，“iCloud Private Relay旨在為用戶提供清晰的狀態(tài)信息和控制，并為可能需要審核其網(wǎng)絡上所有流量的企業(yè)和網(wǎng)絡運營商提供適當?shù)目刂啤?rdquo;

iCloud Private Relay的工作原理

簡單來說，iCloud Private Relay的工作原理是將用戶的身份與其Safari網(wǎng)頁瀏覽會話的性質分開。

當他們請求訪問某個網(wǎng)站時，該請求將通過由兩個不同實體運營的兩個獨立的互聯(lián)網(wǎng)中繼發(fā)送：

• 一個(“入口代理”)將處理用戶的原始IP地址，但不知道他們請求的網(wǎng)站名稱。
• 另一個“出口代理”使用與用戶無關的分配IP地址來調(diào)用站點。
• 其想法是，用戶無法直接連接到他們訪問的網(wǎng)站，并且無法訪問該信息。

該系統(tǒng)足以支持位置個性化的Web體驗，但不會破壞區(qū)域內(nèi)容限制。因此，如果用戶希望在葡萄牙里斯本的Netflix平臺上觀看美國的流媒體視頻，則需要使用虛擬專用網(wǎng)絡。而用戶應該仔細檢查其選擇的虛擬專用網(wǎng)絡服務。

該系統(tǒng)具有可靠的TLS1.3安全性來加密用戶設備與入口和出口代理之間發(fā)生的事情。用戶可以瀏覽蘋果公司的在線專用Private Relay頁面及其最近的文檔，以更深入地了解該系統(tǒng)。

iCloud Private Relay如何支持現(xiàn)有的企業(yè)虛擬專用網(wǎng)絡

它通過以下方式支持現(xiàn)有的企業(yè)安全系統(tǒng)(包括虛擬專用網(wǎng)絡)：

• iCloud Private Relay僅保護使用公共互聯(lián)網(wǎng)服務器建立的連接。
• iCloud Private Relay允許用戶直接訪問本地或私人服務器(例如企業(yè)的服務器)。•如果檢測到正在使用的服務器不是公共互聯(lián)網(wǎng)名稱，它將指示設備直接通過本地網(wǎng)絡訪問服務器。
• 為了防止網(wǎng)絡攻擊者可能選擇冒充本地網(wǎng)絡服務器來訪問數(shù)據(jù)的欺騙企圖，其設備從不允許直接連接到DuckDuckGo已知跟蹤器列表中保存的名稱。
• iCloud Private Relay不會嘗試代理其識別為特定于本地網(wǎng)絡的流量。
• 企業(yè)使用的大多數(shù)托管網(wǎng)絡設置優(yōu)先于Private Relay。
• 如果設備安裝了虛擬專用網(wǎng)絡，則通過該虛擬專用網(wǎng)絡的流量將不會使用iCloud Private Relay。
• 同樣，將使用代理配置，例如全局代理，而不是iCloud Private Relay。
• 如果用戶的網(wǎng)絡禁止使用代理服務器，則iCloud Private Relay將無法運行。

這一切意味著，如果用戶使用的是企業(yè)虛擬專用網(wǎng)絡，iCloud Private Relay將忽略互聯(lián)網(wǎng)交易。如果使用本地網(wǎng)絡或全球代理服務器或禁止在其網(wǎng)絡上使用代理服務器，則不會提供任何保護。

另一個例外與那些使用自定義加密DNS設置的人員有關，因為將使用指定的DNS服務器而不是iCloud Private Relay。

那么MDM系統(tǒng)呢?

如果企業(yè)管理一組設備，蘋果公司可以使用其MDM工具啟用或禁用iCloud Private Relay。它通過允許這些系統(tǒng)在設備上安裝和使用管理配置文件來禁用iCloud Private Relay來實現(xiàn)這一點。

那么網(wǎng)絡審計呢?

一些行業(yè)領域要求記錄網(wǎng)絡流量，特別是在高度敏感或受到嚴格監(jiān)管的行業(yè)。如果企業(yè)需要審核網(wǎng)絡流量，則可以阻止對iCloud Private Relay的訪問。

如果企業(yè)在其網(wǎng)絡上阻止使用該服務，用戶將收到錯誤消息的通知，讓他們知道必須為該網(wǎng)絡禁用Private Relay或使用其他網(wǎng)絡。

因此，企業(yè)說服員工使用安全的網(wǎng)絡而不是其他網(wǎng)絡可能是面臨的最大安全挑戰(zhàn)。

還應該知道什么?

由于很多企業(yè)的員工在家遠程工作，因此了解iCloud Private Relay無法保護的內(nèi)容非常重要。當他們使用Wi-Fi或有線互聯(lián)網(wǎng)連接在公共服務器工作或交易時，iCloud Private Relay可以很好地保護遠程用戶的瀏覽流量，但它不能保護通過蜂窩網(wǎng)絡發(fā)送的流量。

同樣重要的是要注意，只有Safari會話受到保護。來自應用程序、電子郵件或瀏覽器的流量不會受到保護。如果企業(yè)需要保護其所有在線流量(例如應用程序、服務、電子郵件等)，仍然需要使用VPN。

Jamf公司高級經(jīng)理Garrett Denney寫道：“由于虛擬專用網(wǎng)絡的應用在企業(yè)中的增長，蘋果公司的移動設備現(xiàn)在成為更大的安全威脅目標。”

如何啟用和禁用Private Relay

運行iOS15、iPadOS15或macOS Monterey或更高版本的iCloud+訂閱者可以使用Private Relay。

要啟用它，需要打開設置(Mac上的系統(tǒng)偏好設置)，然后打開Apple ID>iCloud部分并將Private Relay切換成“打開”，或者將其切換成“關閉”以禁用該服務。