可以说,苹果公司在推出iPhone和App Store的同时也带来了影子IT的问题。突然之间,企业管理人员和个人用户能够绕过IT部门采购自己的软件和服务。他们可以使用未连接到企业网络的设备来实现这一点,从而防止IT团队意识到一些员工采用了影子IT。
苹果公司在几年后确实向前迈出了一步,推出了一个企业移动设备管理平台,允许IT团队对其组织中的设备进行一些控制。但是为了有效实施,IT团队仍然需要与业务团队和个人用户合作。毕竟,用户可以选择使用未在移动设备管理中注册的IT设备。
在移动设备管理推出十年之后,苹果公司再次以iCloud隐私中继的形式创造了影子IT的噩梦。
什么是iCloud隐私中继?
iCloud隐私中继是iOS15(目前可用,但仍处于测试阶段)中的一项新隐私功能,适用于拥有付费iCloud帐户(现在称为iCloud+帐户)的用户。它通常是一个很好的消费者隐私保护系统。
在启用后,隐私中继会加密所有支持的流量(目前它主要支持来自Safari的流量,但计划扩展到更多)包括DNS查询,并将其转移到苹果公司的入口服务器。入口服务器在剥离用户信息之后,将请求发送到出口服务器,该服务器由第三方内容提供商运营。出口服务器看不到有关用户或设备的任何信息,只看到请求来自入口服务器。出口服务器剥离有关入口服务器的信息,并将请求转发到适当的目的地。
该目标服务器未接收到关于用户或入口服务器的信息,它只看到来自出口服务器的请求。然后,它将响应发送到出口服务器,出口服务器将响应发送到入口服务器,就像它是原始目的地一样。然后,入口服务器将应答发送到用户的设备。
在本质上,链中的每个服务器都充当代理服务器。由于链中没有任何一点可以访问有关设备和目的地的信息,因此它提供了一种良好的消费者隐私技术。
隐私中继并不是虚拟专用网
需要对隐私中继和虚拟专用网络进行一些比较,这两个工具是完全不同的。
虚拟专用网是一种用于通过互联网创建安全隧道的技术。这一隧道主要用于企业网络外部的设备进行连接,就好像它们位于该网络上一样。当设备通过公共Wi-Fi网络连接时,虚拟专用网还可用于保护连接,或使其看起来好像设备在其他地方,例如从迪拜连接到美国App Store或Netflix选择,或避免内容阻塞系统。
虚拟专用网确实提供隐私,但它有点额外的好处。虚拟专用网的基本功能和目标与隐私中继有很大不同。
为什么iCloud隐私中继对企业来说是个问题
隐私中继的问题在于,它可以将连接从企业网络转移到苹果的入口服务器。本地网络只能看到与苹果入口服务器的连接。由于这可能包括DNS查询以及其他形式的流量,因此它使用户的活动对IT管理员完全不透明。
这给受监管行业和学校带来了巨大挑战,在这些行业和学校中,审计流量通常是一项法律要求。即使在这些行业之外,不知道用户在做什么仍然是一个令人担忧的问题,特别是如果这种情况发生在企业拥有的设备上。
值得注意的是,隐私中继已嵌入了iOS 15,但默认情况下未启用,尽管当服务退出测试版时可能会发生变化。另一个考虑因素是隐私中继仅适用于支付iCloud+订阅费用的客户——尽管这包括50GB存储空间的0.99美元的选项。
IT可以阻止隐私中继吗?
来自苹果公司的好消息是阻止隐私中继很简单,企业只需阻止网络上的入口服务器地址。任何配置为使用隐私中继的苹果设备都无法使用。
坏消息是用户会被告知企业的网络与隐私中继不兼容,并询问他们是否仍要连接。如果他们不连接,那么就会回到使用其设备的蜂窝连接,并拒绝提供有关他们如何将设备与企业数据一起使用的任何信息的员工。
最佳选择:用户参与
影子IT并不是真正的技术问题,而是参与和沟通问题。而这种情况也不例外。
企业需要确保用户了解他们为什么会收到网络不支持隐私中继的消息,并让他们知道这不会影响他们在工作之外的设备。这需要通过沟通和透明度来建立信任。而在理想情况下,大多数IT部门已经在努力实现这一目标。
【责任编辑:赵宁宁 TEL:(010)68476606】