可以說，蘋果公司在推出iPhone和App Store的同時也帶來了影子IT的問題。突然之間，企業(yè)管理人員和個人用戶能夠繞過IT部門采購自己的軟件和服務。他們可以使用未連接到企業(yè)網(wǎng)絡的設備來實現(xiàn)這一點，從而防止IT團隊意識到一些員工采用了影子IT。

蘋果公司在幾年后確實向前邁出了一步，推出了一個企業(yè)移動設備管理平臺，允許IT團隊對其組織中的設備進行一些控制。但是為了有效實施，IT團隊仍然需要與業(yè)務團隊和個人用戶合作。畢竟，用戶可以選擇使用未在移動設備管理中注冊的IT設備。

在移動設備管理推出十年之后，蘋果公司再次以iCloud隱私中繼的形式創(chuàng)造了影子IT的噩夢。

[[432771]]

什么是iCloud隱私中繼?

iCloud隱私中繼是iOS15(目前可用，但仍處于測試階段)中的一項新隱私功能，適用于擁有付費iCloud帳戶(現(xiàn)在稱為iCloud+帳戶)的用戶。它通常是一個很好的消費者隱私保護系統(tǒng)。

在啟用后，隱私中繼會加密所有支持的流量(目前它主要支持來自Safari的流量，但計劃擴展到更多)包括DNS查詢，并將其轉(zhuǎn)移到蘋果公司的入口服務器。入口服務器在剝離用戶信息之后，將請求發(fā)送到出口服務器，該服務器由第三方內(nèi)容提供商運營。出口服務器看不到有關(guān)用戶或設備的任何信息，只看到請求來自入口服務器。出口服務器剝離有關(guān)入口服務器的信息，并將請求轉(zhuǎn)發(fā)到適當?shù)哪康牡亍?/p>

該目標服務器未接收到關(guān)于用戶或入口服務器的信息，它只看到來自出口服務器的請求。然后，它將響應發(fā)送到出口服務器，出口服務器將響應發(fā)送到入口服務器，就像它是原始目的地一樣。然后，入口服務器將應答發(fā)送到用戶的設備。

在本質(zhì)上，鏈中的每個服務器都充當代理服務器。由于鏈中沒有任何一點可以訪問有關(guān)設備和目的地的信息，因此它提供了一種良好的消費者隱私技術(shù)。

隱私中繼并不是虛擬專用網(wǎng)

需要對隱私中繼和虛擬專用網(wǎng)絡進行一些比較，這兩個工具是完全不同的。

虛擬專用網(wǎng)是一種用于通過互聯(lián)網(wǎng)創(chuàng)建安全隧道的技術(shù)。這一隧道主要用于企業(yè)網(wǎng)絡外部的設備進行連接，就好像它們位于該網(wǎng)絡上一樣。當設備通過公共Wi-Fi網(wǎng)絡連接時，虛擬專用網(wǎng)還可用于保護連接，或使其看起來好像設備在其他地方，例如從迪拜連接到美國App Store或Netflix選擇，或避免內(nèi)容阻塞系統(tǒng)。

虛擬專用網(wǎng)確實提供隱私，但它有點額外的好處。虛擬專用網(wǎng)的基本功能和目標與隱私中繼有很大不同。

為什么iCloud隱私中繼對企業(yè)來說是個問題

隱私中繼的問題在于，它可以將連接從企業(yè)網(wǎng)絡轉(zhuǎn)移到蘋果的入口服務器。本地網(wǎng)絡只能看到與蘋果入口服務器的連接。由于這可能包括DNS查詢以及其他形式的流量，因此它使用戶的活動對IT管理員完全不透明。

這給受監(jiān)管行業(yè)和學校帶來了巨大挑戰(zhàn)，在這些行業(yè)和學校中，審計流量通常是一項法律要求。即使在這些行業(yè)之外，不知道用戶在做什么仍然是一個令人擔憂的問題，特別是如果這種情況發(fā)生在企業(yè)擁有的設備上。

值得注意的是，隱私中繼已嵌入了iOS 15，但默認情況下未啟用，盡管當服務退出測試版時可能會發(fā)生變化。另一個考慮因素是隱私中繼僅適用于支付iCloud+訂閱費用的客戶——盡管這包括50GB存儲空間的0.99美元的選項。

IT可以阻止隱私中繼嗎?

來自蘋果公司的好消息是阻止隱私中繼很簡單，企業(yè)只需阻止網(wǎng)絡上的入口服務器地址。任何配置為使用隱私中繼的蘋果設備都無法使用。

壞消息是用戶會被告知企業(yè)的網(wǎng)絡與隱私中繼不兼容，并詢問他們是否仍要連接。如果他們不連接，那么就會回到使用其設備的蜂窩連接，并拒絕提供有關(guān)他們?nèi)绾螌⒃O備與企業(yè)數(shù)據(jù)一起使用的任何信息的員工。

最佳選擇：用戶參與

影子IT并不是真正的技術(shù)問題，而是參與和溝通問題。而這種情況也不例外。

企業(yè)需要確保用戶了解他們?yōu)槭裁磿盏骄W(wǎng)絡不支持隱私中繼的消息，并讓他們知道這不會影響他們在工作之外的設備。這需要通過溝通和透明度來建立信任。而在理想情況下，大多數(shù)IT部門已經(jīng)在努力實現(xiàn)這一目標。

【責任編輯：趙寧寧 TEL：（010）68476606】