Как Apple iCloud Private Relay поддерживает корпоративную VPN – Tehnografi.com – Технологические новости, обзоры и советы

Служба iCloud Private Relay от Apple обеспечивает пользователям конфиденциальность, безопасность и удобство. Лучше всего рассматривать его как ограниченную форму виртуальной частной сети (VPN), которая защищает активность пользователя в Safari от посторонних глаз. Но совместимо ли это с существующими системами VPN вашего предприятия?

iCloud Private Relay и корпоративный VPN

Надежную статистику использования VPN найти относительно сложно. Security.org утверждает, что две трети американцев использовали VPN, и около 38 миллионов человек регулярно пользуются этими инструментами. Переход к работе из дома во время пандемии, возможно, спровоцировал рост использования таких услуг: 68% компаний начали или увеличили использование таких услуг.

Вывод состоит в том, что теперь больше компаний, чем когда-либо прежде, используют услуги VPN, и им необходимо знать, совместимы ли они с iCloud Private Relay.

Короткий ответ: да, они совместимы. Apple разработала его таким образом.

«Private Relay предназначен для предоставления пользователю четкой информации о состоянии и контроля, а также для обеспечения надлежащего контроля предприятиям и сетевым операторам, которым может потребоваться возможность аудита всего трафика в их сети», — объясняет компания в своем недавно опубликованном руководстве по оказание услуг.

Как работает частная ретрансляция iCloud

В простейшем случае iCloud Private Relay работает, отделяя личность пользователя от характера его сеанса просмотра веб-страниц в Safari.

Когда они делают запрос на посещение сайта, запрос отправляется через два отдельных интернет-ретранслятора, которыми управляют два разных объекта.

Один («входной прокси») будет обрабатывать исходный IP-адрес пользователя, но не знает имени запрашиваемого веб-сайта.

Другой «выходной прокси-сервер» использует назначенный IP-адрес, который не относится к пользователю, для вызова сайта.

Идея состоит в том, что люди не могут быть напрямую связаны с сайтами, которые они посещают, и что никто в цепочке не имеет доступа к этой информации.

Этой системы достаточно для поддержки персонализированного веб-интерфейса с учетом местоположения, но она не нарушает региональных ограничений контента. Так что, если вы хотите смотреть американский Netflix из своей роскошной квартиры в Лиссабоне, Португалия, вам понадобится VPN. Вы также должны внимательно изучить, какой VPN-сервис вы выберете.

Система имеет надежную защиту TLS 1.3 для шифрования того, что происходит между устройством пользователя и входными и выходными прокси-серверами. Вы можете изучить специализированные онлайн-страницы Apple Private Relay и ее недавний документ, чтобы получить более глубокое представление о системе. Эта презентация разработчиков WWDC также может представлять интерес.

Как iCloud Private Relay поддерживает существующие корпоративные VPN

Он поддерживает существующие системы безопасности предприятия (включая VPN) следующими способами:

Private Relay защищает только соединения, сделанные с использованием общедоступных интернет-серверов.

Private Relay позволяет пользователям напрямую обращаться к локальным или частным серверам (например, к серверу вашей компании).

Если он обнаружит, что используемый сервер не является общедоступным интернет-именем, он даст указание устройству получить доступ к серверу напрямую через локальную сеть.

Для защиты от попыток спуфинга, когда злоумышленник может выдать себя за локальный сетевой сервер для доступа к данным, устройство никогда не разрешает прямые подключения к именам, содержащимся в списке известных трекеров DuckDuckGo.

Private Relay не будет пытаться проксировать трафик, который он распознает как относящийся к локальной сети.

Большинство управляемых сетевых параметров, используемых предприятиями, имеют приоритет над частной ретрансляцией.

Если на устройстве установлена VPN, трафик, проходящий через эту VPN, не будет использовать частную ретрансляцию.

Точно так же конфигурация прокси-сервера, такая как глобальный прокси-сервер, будет использоваться вместо частной ретрансляции.

Если в вашей сети запрещено использование прокси-серверов, iCloud Private Relay не будет работать.

Все это означает, что если вы используете корпоративный VPN, iCloud Private Relay будет игнорировать интернет-транзакцию. И если вы используете локальную сеть или глобальный прокси-сервер или запрещаете использование прокси-серверов в своей сети, никакой защиты не будет.

Еще одно исключение относится к тем, кто использует собственные зашифрованные настройки DNS, поскольку указанный DNS-сервер будет использоваться вместо Private Relay.

А как насчет MDM-систем?

Если ваша компания управляет парком устройств, Apple предоставила возможность включать и отключать частную ретрансляцию iCloud с помощью ваших инструментов MDM. Он делает это, позволяя этим системам устанавливать и использовать профили управления на устройствах, чтобы отключить на них использование iCloud Private Relay.

А аудит сети?

В некоторых отраслях требуется, чтобы предприятия регистрировали сетевой трафик, особенно в очень чувствительных или строго регулируемых секторах. Если вашему бизнесу необходимо проводить аудит сетевого трафика, вы можете заблокировать доступ к Private Relay.

Если использование службы заблокировано в вашей сети, пользователь получит сообщение об ошибке, информирующее его о том, что он должен отключить частную ретрансляцию для этой сети или использовать другую сеть.

Убедить ваших сотрудников использовать именно вашу сеть, а не другую, может оказаться самой большой проблемой безопасности, с которой вы столкнетесь.

Что еще вы должны знать?

Поскольку так много сотрудников работают удаленно, важно понимать, что iCloud Private Relay не защищает. Хотя он отлично справляется с защитой трафика удаленного пользователя при просмотре на общедоступном сервере с использованием Wi-Fi или проводного подключения к Интернету, он не защищает трафик, отправляемый через сотовые сети.

Также важно отметить, что защищены только сеансы Safari. Трафик из приложений, электронной почты или браузеров — нет. Если вам и/или вашему бизнесу необходимо защитить весь ваш онлайн-трафик — приложения, сервисы, электронную почту и т. д. — вам все равно придется использовать VPN.

Услуга довольно актуальная. «В результате роста предприятия устройства Apple теперь представляют собой более серьезную угрозу безопасности, — пишет старший менеджер Jamf Гарретт Денни.

Как включить и отключить частную ретрансляцию

Private Relay доступен подписчикам iCloud+ под управлением iOS 15, iPad OS 15 или macOS Monterey или более поздней версии.

Чтобы включить его, откройте (s на Mac), затем откройте свой раздел и установите для параметра Private Relay значение On. Или отключите его, чтобы отключить службу.