蘋果的iCloud隱私中繼是如何創造了影子IT的噩夢
可以說,蘋果公司在推出iPhone和App Store的同時也帶來了影子IT的問題。突然之間,企業管理人員和個人用戶能夠繞過IT部門采購自己的軟件和服務。他們可以使用未連接到企業網絡的設備來實現這一點,從而防止IT團隊意識到一些員工采用了影子IT。
蘋果公司在幾年后確實向前邁出了一步,推出了一個企業移動設備管理平臺,允許IT團隊對其組織中的設備進行一些控制。但是為了有效實施,IT團隊仍然需要與業務團隊和個人用戶合作。畢竟,用戶可以選擇使用未在移動設備管理中注冊的IT設備。
在移動設備管理推出十年之后,蘋果公司再次以iCloud隱私中繼的形式創造了影子IT的噩夢。
什么是iCloud隱私中繼?
iCloud隱私中繼是iOS15(目前可用,但仍處于測試階段)中的一項新隱私功能,適用于擁有付費iCloud帳戶(現在稱為iCloud+帳戶)的用戶。它通常是一個很好的消費者隱私保護系統。
在啟用后,隱私中繼會加密所有支持的流量(目前它主要支持來自Safari的流量,但計劃擴展到更多)包括DNS查詢,并將其轉移到蘋果公司的入口服務器。入口服務器在剝離用戶信息之后,將請求發送到出口服務器,該服務器由第三方內容提供商運營。出口服務器看不到有關用戶或設備的任何信息,只看到請求來自入口服務器。出口服務器剝離有關入口服務器的信息,并將請求轉發到適當的目的地。
該目標服務器未接收到關于用戶或入口服務器的信息,它只看到來自出口服務器的請求。然后,它將響應發送到出口服務器,出口服務器將響應發送到入口服務器,就像它是原始目的地一樣。然后,入口服務器將應答發送到用戶的設備。
在本質上,鏈中的每個服務器都充當代理服務器。由于鏈中沒有任何一點可以訪問有關設備和目的地的信息,因此它提供了一種良好的消費者隱私技術。
隱私中繼并不是虛擬專用網
需要對隱私中繼和虛擬專用網絡進行一些比較,這兩個工具是完全不同的。
虛擬專用網是一種用于通過互聯網創建安全隧道的技術。這一隧道主要用于企業網絡外部的設備進行連接,就好像它們位于該網絡上一樣。當設備通過公共Wi-Fi網絡連接時,虛擬專用網還可用于保護連接,或使其看起來好像設備在其他地方,例如從迪拜連接到美國App Store或Netflix選擇,或避免內容阻塞系統。
虛擬專用網確實提供隱私,但它有點額外的好處。虛擬專用網的基本功能和目標與隱私中繼有很大不同。
為什么iCloud隱私中繼對企業來說是個問題
隱私中繼的問題在于,它可以將連接從企業網絡轉移到蘋果的入口服務器。本地網絡只能看到與蘋果入口服務器的連接。由于這可能包括DNS查詢以及其他形式的流量,因此它使用戶的活動對IT管理員完全不透明。
這給受監管行業和學校帶來了巨大挑戰,在這些行業和學校中,審計流量通常是一項法律要求。即使在這些行業之外,不知道用戶在做什么仍然是一個令人擔憂的問題,特別是如果這種情況發生在企業擁有的設備上。
值得注意的是,隱私中繼已嵌入了iOS 15,但默認情況下未啟用,盡管當服務退出測試版時可能會發生變化。另一個考慮因素是隱私中繼僅適用于支付iCloud+訂閱費用的客戶——盡管這包括50GB存儲空間的0.99美元的選項。
IT可以阻止隱私中繼嗎?
來自蘋果公司的好消息是阻止隱私中繼很簡單,企業只需阻止網絡上的入口服務器地址。任何配置為使用隱私中繼的蘋果設備都無法使用。
壞消息是用戶會被告知企業的網絡與隱私中繼不兼容,并詢問他們是否仍要連接。如果他們不連接,那么就會回到使用其設備的蜂窩連接,并拒絕提供有關他們如何將設備與企業數據一起使用的任何信息的員工。
最佳選擇:用戶參與
影子IT并不是真正的技術問題,而是參與和溝通問題。而這種情況也不例外。
企業需要確保用戶了解他們為什么會收到網絡不支持隱私中繼的消息,并讓他們知道這不會影響他們在工作之外的設備。這需要通過溝通和透明度來建立信任。而在理想情況下,大多數IT部門已經在努力實現這一目標。
【責任編輯:趙寧寧 TEL:(010)68476606】
