“互聯(lián)網(wǎng)上無(wú)隱私?” iCloud專用代理可不這么想
早些年在互聯(lián)網(wǎng)剛誕生時(shí),有一種很火的說(shuō)法曾獲得廣泛認(rèn)可:“在網(wǎng)上,沒(méi)有人知道你是一條狗?!边@是因?yàn)楫?dāng)時(shí)的互聯(lián)網(wǎng)應(yīng)用還能在一定程度上保證“匿名性”,每個(gè)人都可以在無(wú)需公開真實(shí)身份的情況下在網(wǎng)上參與各種活動(dòng),除非主動(dòng)告知,否則你根本不會(huì)知道論壇上那個(gè)和你相談甚歡的網(wǎng)友到底是萌妹子還是摳腳大漢。
延伸閱讀,點(diǎn)擊鏈接了解 Akamai API Security
到今天,情況完全不同了。大數(shù)據(jù)挖掘、360度客戶畫像、個(gè)性化營(yíng)銷……在各種數(shù)據(jù)收集、分析、挖掘技術(shù)面前,我們每個(gè)人的特征、習(xí)慣、喜好,都已經(jīng)無(wú)所遁形地展露了出來(lái)。雖然這些技術(shù)在很多時(shí)候也能為自己帶來(lái)各種便利,例如個(gè)性化的內(nèi)容推薦和服務(wù),但當(dāng)我們希望能保護(hù)自己隱私的時(shí)候,應(yīng)該怎么做?
除了相關(guān)法規(guī)和制度的保護(hù),技術(shù)造成的困擾,當(dāng)然也可以用技術(shù)來(lái)解決。
2021年,Apple發(fā)布了一項(xiàng)名為iCloud專用代理(Private Relay)的服務(wù),該服務(wù)旨在保護(hù)用戶在互聯(lián)網(wǎng)上的隱私,Akamai也參與提供了該服務(wù)的一些功能,為iCloud專用代理提供了Oblivious DNS over HTTPS(ODoH)技術(shù)和IaaS平臺(tái)。本文我們將概括介紹這項(xiàng)服務(wù)所能提供的保護(hù),并分析這項(xiàng)服務(wù)對(duì)Akamai客戶到底意味著什么。
一、首先,專用代理到底是什么?
iCloud專用代理是iCloud+訂閱服務(wù)中提供的一項(xiàng)功能(僅在部分國(guó)家和地區(qū)提供),可以讓用戶在使用iOS 15、iPadOS 15以及macOS Monterey上的Safari瀏覽器時(shí),以更加安全、私密的方式連接到互聯(lián)網(wǎng)。專用代理采用了一種獨(dú)特的雙跳(Dual-hop)架構(gòu),可以保證任何人都無(wú)法知道用戶身份,以及用戶到底訪問(wèn)了哪些網(wǎng)站。
該功能使用了兩個(gè)相互隔離的互聯(lián)網(wǎng)代理(入口代理和出口代理),這些代理分別由不同機(jī)構(gòu)運(yùn)維,借此可讓最終用戶所訪問(wèn)的網(wǎng)站完全無(wú)從得知該用戶的真實(shí)IP地址。
iCloud專用代理的雙跳架構(gòu),來(lái)源:Apple
二、Akamai在其中扮演的角色
Akamai通過(guò)多種自行開發(fā)的基礎(chǔ)架構(gòu)服務(wù)為該功能提供了支持。專用代理借助Akamai高度分布式的計(jì)算平臺(tái)實(shí)現(xiàn)了極高的性能,同時(shí)通過(guò)數(shù)據(jù)與運(yùn)維的劃分確保了任何一方都無(wú)法全面了解用戶流量的全貌。
Akamai基于Multiplexed Application Substrate over QUIC Encryption(MASQUE,基于QUIC加密的多路復(fù)用應(yīng)用程序基板)協(xié)議和ODoH服務(wù)構(gòu)建了一種全新的托管服務(wù),借此為專用代理提供了必不可少的出口服務(wù),以保證DNS查詢的私密性。有關(guān)該出口代理和ODoH的詳細(xì)信息可參考Apple提供的技術(shù)說(shuō)明。
Akamai的客戶的服務(wù)使用費(fèi)用不會(huì)有任何變化,但可能會(huì)在流量模式以及服務(wù)的交付方式等方面發(fā)現(xiàn)一些變化。隨著專用代理的廣泛使用,網(wǎng)站和網(wǎng)絡(luò)運(yùn)營(yíng)商可E會(huì)發(fā)現(xiàn)來(lái)自Akamai的流量開始增多。
三、專用代理會(huì)導(dǎo)致怎樣的結(jié)果?
大部分網(wǎng)站的所有者無(wú)需更改自己的網(wǎng)站,即可直接支持專用代理。不過(guò)為了盡可能向用戶提供最佳體驗(yàn),還需要全面理解專用代理所產(chǎn)生的獨(dú)特流量模式。盡管并非完全相同,但專用代理在流量方面導(dǎo)致的一些變化,看起來(lái)可能與一些現(xiàn)有代理服務(wù)(如VPN-虛擬專用網(wǎng)絡(luò)、CGN-運(yùn)營(yíng)商級(jí)NAT、SWG-安全Web網(wǎng)關(guān)等)導(dǎo)致的變化較為類似。但也有一些比較大的差異,例如:
- 客戶端IP地址通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),將本地專用地址映射至公用地址,隨后開始傳輸信息,借此維持每個(gè)用戶的隱私。
- 網(wǎng)站服務(wù)器看到的是專用代理的出口IP,而非客戶的IP地址。
- 由于特定客戶的出口IP時(shí)不時(shí)會(huì)發(fā)生變化,因此不建議將IP地址信息嵌入到身份驗(yàn)證令牌中。
- 對(duì)于某些需要依賴客戶端或目標(biāo)IP地址追蹤或標(biāo)識(shí)信息的服務(wù)(如Zero-rating或基于IP地址的客戶端身份驗(yàn)證服務(wù)),可能將無(wú)法按照預(yù)期正常使用,這種情況下將只能使用其他替代機(jī)制。
- 從本地網(wǎng)絡(luò)保護(hù)客戶端DNS請(qǐng)求和客戶端流量的目的地。
- 客戶端流量Delocalization。
- 通過(guò)來(lái)源IP地址可以準(zhǔn)確識(shí)別客戶所在國(guó)家/地區(qū)和時(shí)區(qū),甚至能據(jù)此概括確定客戶所在城市或大致位置,但無(wú)法對(duì)應(yīng)到特定的最終用戶。
- Akamai EdgeScape IP地理位置數(shù)據(jù)庫(kù)已通過(guò)更新包含了專用代理的IP地址位置信息,如果客戶使用了第三方的IP地址位置信息數(shù)據(jù),建議更新這些數(shù)據(jù),以包含專用代理的相關(guān)信息。
- 在某些出口代理運(yùn)營(yíng)商那里,IPv6源地址比IPv4地址更精細(xì),為了獲得更準(zhǔn)確的客戶端位置,建議服務(wù)器運(yùn)營(yíng)商啟用IPv4+IPv6雙棧。
- 建議在最后一公里進(jìn)一步采用QUIC和IPv6,哪怕源站目前并不支持這些技術(shù)。這可以有效改善最終用戶的性能并實(shí)現(xiàn)更高效的路由。
- 該服務(wù)內(nèi)置了反欺詐和反濫用功能,該服務(wù)的客戶端需要通過(guò)盲簽名(Blind signature)進(jìn)行身份驗(yàn)證,并以限速的方式訪問(wèn)服務(wù),以減少機(jī)器人的濫用訪問(wèn)。
- Akamai客戶依然可借助Akamai的應(yīng)用和API保護(hù)、賬戶接管保護(hù)以及爬蟲管理解決方案獲得額外保護(hù)。
四、總結(jié)
Akamai很高興看到類似專用代理這樣的新服務(wù)幫助最終用戶進(jìn)一步保護(hù)隱私并減少欺詐和濫用,同時(shí)也并不對(duì)應(yīng)用程序性能產(chǎn)生負(fù)面影響。
隨后,我們還將通過(guò)后續(xù)文章進(jìn)一步介紹為iCloud專用代理提供支撐的Akamai ODoH服務(wù)以及IaaS平臺(tái)的更多技術(shù)細(xì)節(jié)。敬請(qǐng)關(guān)注Akamai知乎機(jī)構(gòu)號(hào),第一時(shí)間了解最新Web和安全技術(shù)。
—————————————————————————————————————————————————
如您所在的企業(yè)也想要進(jìn)一步保護(hù)API安全,
點(diǎn)擊鏈接了解Akamai的解決方案