การตั้งค่า iCloud+ Private Relay และไฟร์วอลล์บน macOS

การใช้งาน iCloud ร่วมกับ Private Relay และไฟร์วอลล์ที่ดีบน macOS นั้นมีประสิทธิภาพ ได้กลายเป็นหนึ่งในรูปแบบที่มั่นคงที่สุดของ เสริมสร้างความเป็นส่วนตัว เมื่อเราใช้งาน Safari ในการท่องเว็บ Apple ได้ให้ความสำคัญอย่างมากกับการปกปิดตัวตนของเราบนโลกออนไลน์โดยไม่ต้องให้เรายุ่งยากกับการตั้งค่าขั้นสูง อย่างไรก็ตาม สิ่งนี้ส่งผลกระทบต่อการทำงานของเครือข่ายองค์กร ไฟร์วอลล์ และเว็บไซต์บางแห่งที่อาศัยที่อยู่ IP จริงของผู้ใช้ด้วยเช่นกัน

ทำความเข้าใจว่า Private Relay ทำงานอย่างไร ทำงานร่วมกับไฟร์วอลล์ของ Mac อย่างไร และมีผลกระทบอย่างไรต่อเครือข่ายธุรกิจหรือการศึกษา นี่เป็นกุญแจสำคัญในการหลีกเลี่ยงปัญหาการเชื่อมต่อ ข้อผิดพลาดแปลก ๆ บนเว็บไซต์บางแห่ง หรือข้อความแสดงความไม่เข้ากันบน macOS ในคู่มือนี้ ผมจะอธิบายรายละเอียดทั้งหมดให้คุณเข้าใจอย่างชัดเจน รวมถึงวิธีการทำงานของ iCloud Private Relay ความสัมพันธ์กับ VPN และไฟร์วอลล์ และการตั้งค่าที่คุณสามารถปรับได้ทั้งบน Mac และอุปกรณ์เครือข่าย เช่น FortiGate

iCloud+ Private Relay คืออะไร และมันปกป้องอะไรบ้าง?

iCloud Private Relay เป็นบริการปกป้องความเป็นส่วนตัวของ Apple ฟีเจอร์นี้ซึ่งรวมอยู่ใน iCloud+ จะซ่อนที่อยู่ IP จริง ตำแหน่งที่ตั้งโดยประมาณ และโดเมนที่คุณเข้าชมเมื่อเรียกดูเว็บไซต์ด้วย Safari ฟีเจอร์นี้จะเปิดใช้งานได้ก็ต่อเมื่อคุณสมัครใช้งาน iCloud+ หรือ Apple One แบบชำระเงิน (ซึ่งรวมฟีเจอร์นี้ไว้แล้ว) และคุณต้องเปิดใช้งานด้วยตนเองในการตั้งค่าบัญชีของคุณ

เป้าหมายของมันคือการป้องกันไม่ให้ผู้ให้บริการเครือข่าย เว็บไซต์ และระบบตัวกลางต่างๆ เก็บรวบรวมข้อมูลส่วนบุคคลของคุณ โดยอิงจากที่อยู่ IP และกิจกรรมการท่องเว็บของคุณ เมื่อคุณท่องเว็บโดยไม่เปิดใช้งาน Private Relay ผู้ให้บริการเครือข่ายของคุณ เครือข่าย Wi-Fi ที่คุณเชื่อมต่อ และเซิร์ฟเวอร์ตัวกลางใดๆ ก็ตาม จะสามารถเห็นทั้งที่อยู่ IP ของคุณและโดเมนที่คุณเข้าถึง ซึ่งทำให้สามารถติดตาม กำหนดเป้าหมายโฆษณา และสร้างประวัติการท่องเว็บที่ละเอียดมากได้

เมื่อเปิดใช้งาน Private Relay การรับส่งข้อมูลของ Safari จะออกจากอุปกรณ์ของคุณโดยเข้ารหัสและส่งผ่านรีเลย์สองตัวที่แตกต่างกันรีเลย์ตัวหนึ่งจัดการโดย Apple และอีกตัวหนึ่งดำเนินการโดยพันธมิตรบุคคลที่สาม (เช่น Cloudflare หรือผู้ให้บริการรายอื่น) การแยกส่วนนี้มีความสำคัญมาก เพราะ Apple เห็นเพียงที่อยู่ IP เดิมของคุณ แต่ไม่เห็นเว็บไซต์เฉพาะที่คุณกำลังเชื่อมต่อ ในขณะที่รีเลย์ตัวที่สองเห็นโดเมนปลายทาง แต่ไม่รู้ว่าคุณเป็นใครหรือที่อยู่ IP เริ่มต้นของคุณคืออะไร

สิ่งสำคัญที่ควรทราบคือ Private Relay ไม่ใช่ VPN แบบดั้งเดิมระบบนี้ปกป้องเฉพาะการรับส่งข้อมูลของ Safari (และการแก้ไข DNS ที่เกี่ยวข้อง) เท่านั้น และไม่เข้ารหัสการเชื่อมต่ออื่นๆ จากแอปพลิเคชัน เบราว์เซอร์อื่นๆ หรือโปรแกรมอีเมล นอกจากนี้ ยังไม่อนุญาตให้คุณเลือกประเทศหรือ "เทเลพอร์ต" ไปยังภูมิภาคอื่นเพื่อเข้าถึงเนื้อหาที่ถูกบล็อก การออกแบบของระบบนี้ให้ความสำคัญกับความเป็นส่วนตัว ไม่ใช่การหลีกเลี่ยงข้อจำกัดทางภูมิศาสตร์

อันที่จริงแล้ว Apple ไม่ได้ให้บริการ Private Relay ในบางประเทศด้วยเหตุผลด้านกฎระเบียบ เช่น จีน รัสเซีย เบลารุส โคลอมเบีย อียิปต์ คาซัคสถาน ซาอุดีอาระเบีย แอฟริกาใต้ เติร์กเมนิสถาน หรือยูกันดา ซึ่งกฎหมายเกี่ยวกับการเข้ารหัสและการเก็บรักษาข้อมูลขัดแย้งกับปรัชญาของบริการนี้

หลักการทำงานภายในของ iCloud Private Relay: พร็อกซีสองตัว

การออกแบบของ Private Relay นั้นมีพื้นฐานมาจากการแยกข้อมูลระบุตัวตนของผู้ใช้จากเนื้อหาที่พวกเขาเข้าถึง ผ่านพร็อกซีหรือรีเลย์สองตัวที่แตกต่างกัน วิธีนี้จะช่วยลดปริมาณเมตาเดต้าที่เอนทิตีใด ๆ บนเส้นทางสามารถสะสมเกี่ยวกับคุณได้

หากไม่มี Private Relay สถานการณ์ก็จะเป็นแบบนั้นไปเลยเครือข่ายการเข้าถึง (Wi-Fi หรือผู้ให้บริการอินเทอร์เน็ตของคุณ) เซิร์ฟเวอร์ DNS เราเตอร์ตัวกลาง และเซิร์ฟเวอร์ปลายทาง ต่างก็เห็นที่อยู่ IP สาธารณะของคุณและโดเมนที่คุณร้องขอ ซึ่งทำให้สามารถระบุตำแหน่งทางภูมิศาสตร์ได้อย่างแม่นยำ สร้างโปรไฟล์การท่องเว็บที่สมบูรณ์ และในหลายกรณี สามารถเชื่อมโยงโปรไฟล์นั้นกับตัวตนที่แท้จริงของคุณได้

เมื่อเปิดใช้งาน Private Relay กระบวนการจะเปลี่ยนไปอย่างสิ้นเชิงเมื่อคุณส่งคำขอใน Safari อุปกรณ์ของคุณจะเข้ารหัสข้อมูลที่สำคัญและส่งไปยังเซิร์ฟเวอร์ของ Apple ก่อน (พร็อกซีขาเข้า) Apple สามารถเห็นที่อยู่ IP ต้นทางของคุณและระบุตำแหน่งทางภูมิศาสตร์ได้คร่าวๆ แต่ชื่อเซิร์ฟเวอร์หรือเว็บไซต์จะถูกเข้ารหัสและมองไม่เห็น

ในขั้นตอนแรก Apple จะแปลงตำแหน่งที่ตั้งของคุณให้เป็น "geohash"จีโอแฮชคือการแสดงค่าละติจูดและลองจิจูดในรูปแบบย่อ จีโอแฮชนี้ถูกสร้างขึ้นด้วยความแม่นยำที่ลดลงเพื่อป้องกันไม่ให้สามารถระบุตำแหน่งที่แน่นอนของคุณได้ และ Apple ได้ใช้มาตรการควบคุมเพื่อป้องกันไม่ให้ไคลเอนต์ปลอมแปลงค่าดังกล่าว ที่อยู่ IP ดั้งเดิมจะไม่ถูกส่งต่อไปยังรีเลย์ตัวที่สอง

เซิร์ฟเวอร์ตัวที่สอง ซึ่งบริหารจัดการโดยพันธมิตรอย่าง Cloudflare จะรับข้อมูลที่เข้ารหัสจาก Appleระบบจะถอดรหัสเฉพาะส่วนที่จำเป็นในการระบุโดเมนปลายทาง และเลือกที่อยู่ IP ขาออกจากกลุ่มที่กำหนดไว้สำหรับ Private Relay โดยเฉพาะ ที่อยู่ IP ขาออกเหล่านี้ได้รับการลงทะเบียนไว้ล่วงหน้าในฐานข้อมูลระบุตำแหน่งทางภูมิศาสตร์เพื่อชี้ไปยังเมืองหรือภูมิภาคที่เฉพาะเจาะจง รักษาความสอดคล้องกับพื้นที่ของผู้ใช้โดยไม่เปิดเผยตำแหน่งที่แน่นอนของผู้ใช้

ด้วยวิธีนี้ เว็บไซต์จะเห็นที่อยู่ IP ที่ตรงกับเมืองหรือภูมิภาคของผู้ใช้ แต่ไม่ใช่ที่อยู่ IP จริงของผู้ใช้ผู้ให้บริการเครือข่ายรู้เพียงว่ามีการรับส่งข้อมูลที่เข้ารหัสไปยัง Apple Apple รู้ที่อยู่ IP ของผู้ใช้แต่ไม่รู้ปลายทางสุดท้าย และพันธมิตรภายนอกรู้โดเมนปลายทางแต่ไม่รู้ที่อยู่ IP ต้นทาง ไม่มีใครเห็นภาพรวมทั้งหมด

ประสิทธิภาพการถ่ายทอดสัญญาณส่วนตัว การระบุตำแหน่งทางภูมิศาสตร์ และการนำทาง

หนึ่งในความกังวลที่พบบ่อยคือ Private Relay จะทำให้การระบุตำแหน่งทางภูมิศาสตร์ผิดพลาดหรือทำให้การท่องเว็บช้าลงApple และพันธมิตรอย่าง Cloudflare ได้ออกแบบระบบนี้ขึ้นมาเพื่อทำในสิ่งที่ตรงกันข้ามโดยสิ้นเชิง นั่นคือ รักษาความเกี่ยวข้องทางภูมิศาสตร์ และในหลายกรณี ยังช่วยปรับปรุงประสิทธิภาพให้ดีขึ้นด้วยเครือข่ายที่เชื่อมต่อกันอย่างหนาแน่น

ในส่วนของการระบุตำแหน่งทางภูมิศาสตร์นั้น หัวใจสำคัญอยู่ที่ที่อยู่ IP ขาออกเฉพาะเหล่านั้นสำหรับ Private Relayที่อยู่ IP เหล่านี้จะถูกกำหนดให้กับเมืองและภูมิภาคเฉพาะในฐานข้อมูลระบุตำแหน่งทางภูมิศาสตร์ ดังนั้น เมื่อเว็บไซต์ทำการค้นหา IP เพื่อปรับแต่งผลลัพธ์ ("ร้านอาหารใกล้ฉัน" เนื้อหาที่อยู่ภายใต้ลิขสิทธิ์ระดับภูมิภาค ผลลัพธ์ในท้องถิ่น ฯลฯ) เว็บไซต์จะได้รับตำแหน่งโดยประมาณที่ตรงกับพื้นที่ของผู้ใช้

วิธีการนี้ผ่านเกณฑ์ที่เรียกว่า “การทดสอบของร้านพิซซ่าท้องถิ่น”แม้ว่าจะปิดใช้งานบริการระบุตำแหน่งและเปิดใช้งาน Private Relay แล้วก็ตาม การค้นหาเช่น "ร้านพิซซ่าใกล้ฉัน" ก็ควรจะแสดงผลลัพธ์ที่เป็นประโยชน์และอยู่ใกล้เคียง โดยไม่จำเป็นต้องเปิดเผยตำแหน่งที่แน่นอนของคุณหรือแชร์พิกัดที่แม่นยำกับเว็บ

เพื่อเพิ่มความแม่นยำ โหนดเอาต์พุตของ Private Relay จะเลือกใช้ IPv6 เมื่อมีระเบียน AAAA อยู่โดยทั่วไปแล้ว ที่อยู่ IPv6 มีความแม่นยำในการระบุตำแหน่งทางภูมิศาสตร์ดีกว่าที่อยู่ IPv4 รุ่นเก่า ช่วยให้ระบุตำแหน่งโดยประมาณได้แม่นยำยิ่งขึ้นโดยไม่กระทบต่อความเป็นส่วนตัว หากคุณเป็นผู้ดูแลเซิร์ฟเวอร์ การเปิดเผยที่อยู่ IPv6 ต้นทางของคุณจะช่วยเพิ่มความแม่นยำทางภูมิศาสตร์ให้กับผู้ใช้ Private Relay ได้ดียิ่งขึ้น

ในแง่ของประสิทธิภาพ การเพิ่ม "การข้าม" ระหว่างขั้นตอนไม่ได้ทำให้ความเร็วลดลงเสมอไปเครือข่ายอย่างของ Apple และ Cloudflare มีการเชื่อมต่อกับอินเทอร์เน็ตส่วนอื่นๆ ได้เป็นอย่างดี และใช้เทคโนโลยีที่ทันสมัย ​​เช่น TLS 1.3, QUIC และ MASQUE เพื่อลดความหน่วงและใช้ประโยชน์จากเส้นทางที่เร็วที่สุดที่มีอยู่

ตัวอย่างเช่น Cloudflare ใช้ระบบต่างๆ เช่น Argo Smart Routing เพื่อเลือกเส้นทางที่เหมาะสมที่สุด จากข้อมูลประสิทธิภาพอินเทอร์เน็ตแบบเรียลไทม์ หมายความว่าในหลายสถานการณ์ การเข้าถึงเว็บไซต์ผ่าน Private Relay อาจเร็วเท่ากันหรือเร็วกว่าการเชื่อมต่อโดยตรงจากเครือข่ายที่มีการใช้งานหนาแน่นหรือการกำหนดเส้นทางที่ไม่ดี

วิธีการเปิดใช้งานและตั้งค่า Private Relay บน iPhone, iPad และ Mac

Private Relay เป็นส่วนหนึ่งของ iCloud+ข้อกำหนดแรกคือต้องมีการสมัครใช้งานแบบชำระเงินที่ใช้งานอยู่ ไม่ว่าจะโดยการซื้อพื้นที่จัดเก็บเพิ่มเติม (เริ่มต้นที่ 50 GB ในราคาค่าบริการรายเดือนที่ไม่แพง) หรือผ่าน Apple One สมาชิกทุกคนในกลุ่ม iCloud+ Family Sharing สามารถใช้คุณสมบัตินี้ได้บน iPhone, iPad และ Mac

การเปิดใช้งานบน iPhone และ iPad นั้นง่ายมากเมื่อเปิดใช้งาน iCloud+ แล้ว ให้ไปที่ การตั้งค่า > ชื่อผู้ใช้ของคุณ > iCloud > Private Relay และเปิดสวิตช์ จากนั้น Safari จะใช้รีเลย์ทั้งสองตัวในการกำหนดเส้นทางการรับส่งข้อมูลของคุณ ตราบใดที่เครือข่ายที่คุณเชื่อมต่ออยู่รองรับฟีเจอร์นี้

บน macOS (Monterey, Ventura หรือเวอร์ชันที่ใหม่กว่า) เส้นทางจะคล้ายกันเปิดการตั้งค่าระบบ (หรือ System Preferences ใน Monterey) ลงชื่อเข้าใช้ Apple ID ของคุณ ไปที่ iCloud และมองหาตัวเลือก "iCloud Private Relay" เมื่อเปิดใช้งานแล้ว Mac ของคุณจะเริ่มใช้บริการนี้สำหรับทราฟฟิกของ Safari โดยที่คุณไม่ต้องเปลี่ยนแปลงอะไรในกิจวัตรประจำวันของคุณ

ประเด็นสำคัญคือความเฉพาะเจาะจงของตำแหน่งที่อยู่ IP ของคุณในตัวเลือก Private Relay คุณสามารถเลือกได้ว่าที่อยู่ IP ขาออกจะแสดงตำแหน่งโดยประมาณภายในเมือง/ภูมิภาคของคุณ หรือจะแสดงเฉพาะประเทศและเขตเวลาเท่านั้น ตัวเลือกแรกจะให้ความสำคัญกับผลลัพธ์ที่แม่นยำในระดับท้องถิ่นมากกว่า ในขณะที่ตัวเลือกที่สองจะเน้นความเป็นส่วนตัวสูงสุดโดยยอมลดความแม่นยำทางภูมิศาสตร์ลงบ้าง

นอกเหนือจากการเปิดใช้งานทั่วโลกแล้ว macOS, iOS และ iPadOS ยังอนุญาตให้คุณปรับแต่ง Private Relay ต่อเครือข่ายได้อีกด้วยการตั้งค่านี้เรียกว่า “จำกัดการติดตามที่อยู่ IP” และทำหน้าที่เป็นตัวควบคุมตามบริบทสำหรับแต่ละ Wi-Fi หรือสายข้อมูลมือถือที่คุณเชื่อมต่อ ซึ่งมีประโยชน์มากหากคุณย้ายไปมาระหว่างบ้าน ที่ทำงาน และเครือข่ายสาธารณะ

ตั้งค่า Private Relay ผ่านเครือข่ายบน macOS, iOS และ iPadOS

ในหลายกรณี ความขัดแย้งเกิดขึ้นระหว่าง Private Relay กับบริการบางประเภท วิธีแก้ปัญหาไม่ใช่การปิดใช้งานทั้งหมด แต่เป็นการปรับการตั้งค่าตามแต่ละเครือข่าย ตัวอย่างเช่น คุณอาจต้องการใช้ที่บ้าน แต่ไม่ต้องการใช้ในเครือข่ายของบริษัทที่มีการกรองข้อมูลอย่างเข้มงวด หรือในเครือข่าย Wi-Fi ของมหาวิทยาลัยที่ต้องการตรวจสอบปริมาณการรับส่งข้อมูล

บน iPhone หรือ iPad คุณสามารถควบคุมฟังก์ชันนี้ผ่าน Wi-Fi ได้ดังนี้เปิดการตั้งค่า > Wi-Fi แตะปุ่มข้อมูล (ตัว "i") ที่อยู่ถัดจากเครือข่ายที่คุณเชื่อมต่ออยู่ แล้วเลื่อนลงไปที่สวิตช์ "จำกัดการติดตามที่อยู่ IP" การเปิดใช้งานหมายความว่า Safari จะพยายามใช้ Private Relay บนเครือข่ายนั้น การปิดใช้งานจะทำให้ที่อยู่ IP จริงของคุณปรากฏให้เห็นแก่เว็บไซต์และผู้ให้บริการเครือข่ายของคุณ

สำหรับเครือข่ายมือถือบน iOS/iPadOSไปที่ การตั้งค่า > เครือข่ายมือถือ เลือกหมายเลขหลักของคุณ (และใน iOS 18 หรือเวอร์ชันก่อนหน้า ให้แตะ "ตัวเลือก") จากนั้นเลือก "จำกัดการติดตามที่อยู่ IP" เช่นเดียวกับ Wi-Fi การตั้งค่านี้จะมีผลเฉพาะกับซิมการ์ดหรือ eSIM นั้น ๆ

ใน macOS Ventura และเวอร์ชันที่ใหม่กว่า การควบคุมเครือข่ายจะอยู่ใน การตั้งค่าระบบ > เครือข่ายเลือกบริการเครือข่ายที่ใช้งานอยู่ (เช่น Wi-Fi หรือ Ethernet) คลิกที่ “รายละเอียด” ถัดจากชื่อเครือข่าย และยกเลิกการเลือก “จำกัดการค้นหาที่อยู่ IP” หากคุณต้องการให้ Private Relay หยุดทำงานบนเครือข่ายนั้น

ใน macOS Monterey ขั้นตอนจะแตกต่างออกไปเล็กน้อยเปิดการตั้งค่าระบบ > เครือข่าย เลือกเครือข่ายจากรายการ แล้วยกเลิกการเลือกช่อง "จำกัดการติดตามที่อยู่ IP" ผลลัพธ์ที่ได้เหมือนกัน คือ อนุญาตหรือไม่อนุญาตให้การเชื่อมต่อดังกล่าวใช้ Private Relay

โปรดคำนึงถึงรายละเอียดสำคัญอย่างหนึ่ง: หากคุณปิดใช้งาน Private Relay สำหรับเครือข่ายใดเครือข่ายหนึ่งโดยเฉพาะการตั้งค่านี้จะมีผลกับอุปกรณ์ Apple อื่นๆ ทั้งหมดของคุณที่เปิดใช้งานคุณสมบัตินี้ไว้ ตราบใดที่อุปกรณ์เหล่านั้นใช้เครือข่ายหรือหมายเลขโทรศัพท์มือถือเดียวกัน หากคุณสลับไปมาระหว่างเครือข่าย Wi-Fi หลายเครือข่าย ซิมการ์ดสองซิม หรืออินเทอร์เฟซ (Wi-Fi/Ethernet) บ่อยๆ ควรตรวจสอบแต่ละเครือข่ายแยกกัน

การจัดการเว็บไซต์ที่มีปัญหา: การยกเว้นโดเมนจากการใช้งาน Private Relay

ไม่ใช่ทุกเว็บไซต์ที่พร้อมใช้งานร่วมกับ iCloud Private Relay ได้อย่างราบรื่นเว็บไซต์บางแห่งใช้การกรอง IP, การจำกัดความเร็วตามที่อยู่ IP, ข้อจำกัดทางภูมิศาสตร์ที่เข้มงวดมาก หรือกลไกการรักษาความปลอดภัยป้องกันการฉ้อโกงที่อาศัยที่อยู่ IP จริงของคุณ ในบางกรณี บริการบางอย่างแสดงเนื้อหาจากภูมิภาคที่ไม่ถูกต้อง หรือเพิ่มขั้นตอนการตรวจสอบเพิ่มเติมเมื่อคุณเข้าสู่ระบบ

ก่อน iOS 16.2, iPadOS 16.2 และ macOS 13.1 Venturaหากเว็บไซต์ใดใช้งานร่วมกับ Private Relay ได้ไม่ดี คุณแทบจะไม่มีทางเลือกอื่นเลย คือ ปิดใช้งานบริการทั้งหมดไปเลย แต่ในเวอร์ชันต่อๆ มา Apple ได้เพิ่มกลไกที่ละเอียดกว่าเดิม ซึ่งช่วยให้คุณสามารถข้ามการใช้งาน Private Relay เฉพาะกับเว็บไซต์ที่มีปัญหาได้เท่านั้น

สำหรับ iPhone และ iPad ขั้นตอนนั้นง่ายมากเมื่อเปิดหน้าเว็บใน Safari แล้ว ให้แตะไอคอน "AA" (เมนูดู) ในแถบที่อยู่ แล้วเลือก "แสดงที่อยู่ IP" ระบบจะโหลดหน้าเว็บใหม่ ทำให้ที่อยู่ IP จริงของคุณปรากฏต่อเว็บไซต์ปัจจุบัน ตราบใดที่คุณยังอยู่ในโดเมนนั้น

บนเครื่อง Mac ฟังก์ชันที่เทียบเท่ากันจะอยู่ในแถบเมนูของ Safariไปที่เมนู "ดู" แล้วเลือก "โหลดซ้ำและแสดงที่อยู่ IP" สำหรับเว็บไซต์นั้น Safari จะแจ้งเตือนคุณว่าการทำเช่นนั้นจะทำให้ผู้ให้บริการเครือข่ายและเว็บไซต์นั้นๆ สามารถเห็นที่อยู่ IP และโดเมนที่คุณกำลังเยี่ยมชมได้ แม้ว่าเนื้อหาของหน้าเว็บจะยังคงได้รับการปกป้องด้วย HTTPS ก็ตาม

เส้นทางเลี่ยงนี้เป็นเส้นทางชั่วคราวหากคุณรีเฟรชแท็บหรือเปลี่ยนไปใช้โดเมนย่อยอื่นที่เกี่ยวข้อง ระบบอาจเปิดใช้งาน Private Relay สำหรับโดเมนนั้นอีกครั้ง กลไกนี้ออกแบบมาเพื่อแก้ไขปัญหาการบล็อกชั่วคราวโดยไม่กระทบต่อการป้องกันสำหรับการใช้งานเบราว์เซอร์ส่วนที่เหลือของคุณ

เมื่อระบบไม่รองรับ Private Relay: ข้อความแสดงข้อผิดพลาดและแอปที่ขัดแย้งกัน

ในเครื่อง Mac บางเครื่อง โดยเฉพาะหลังจากอัปเดตเป็นเวอร์ชันเบต้าหรือเวอร์ชันที่สูงกว่าของ macOSเป็นเรื่องปกติที่จะเห็นคำเตือนเช่น "การตั้งค่าระบบบางอย่างของคุณทำให้การสตรีมแบบส่วนตัวใช้งานไม่ได้" หรือ "ระบบของคุณมีการติดตั้งส่วนขยายหรือการตั้งค่าที่ไม่เข้ากันกับการสตรีมแบบส่วนตัว"

ข้อความเหล่านี้มักบ่งชี้ว่ามีการติดตั้งส่วนขยายเครือข่าย VPN หรือซอฟต์แวร์กรองข้อมูล ที่ขัดขวางการทำงานของ Private Relay สิ่งเหล่านี้อาจเป็นแอปพลิเคชันด้านความปลอดภัยที่ใช้ส่วนขยายเคอร์เนลรุ่นเก่า กฎการกรองแพ็กเก็ตขั้นสูง หรือโซลูชันการควบคุมโดยผู้ปกครองระดับระบบ ซึ่งเป็นหัวข้อที่กล่าวถึงในคู่มือต่างๆ เกี่ยวกับเรื่องนี้ กิจกรรมที่น่าสงสัยบน macOS.

macOS ตรวจพบว่าสแต็กเครือข่ายถูกดักจับหรือแก้ไขโดยบุคคลที่สามแล้ว และเพื่อป้องกันพฤติกรรมที่ไม่คาดคิดหรือการรั่วไหล ระบบจะปิดใช้งาน Private Relay และแสดงการแจ้งเตือนนั้น ในหลายกรณี ผู้ใช้จะไม่ทราบแน่ชัดว่าแอปใดเป็นต้นเหตุ เนื่องจากข้อความแจ้งเตือนไม่ได้ระบุชื่อแอปโดยตรง

คำแนะนำของ Apple นั้นชัดเจน: หากคุณต้องการใช้ Private Relay บน Mac ของคุณคุณต้องปิดใช้งานหรือถอนการติดตั้งแอปพลิเคชันที่แทรกส่วนขยายเครือข่ายที่ไม่เข้ากัน หากคุณไม่สามารถใช้งานได้หากไม่มีแอปพลิเคชันเหล่านั้น (เนื่องจากนโยบายของบริษัท ข้อกำหนดด้านความปลอดภัย หรือเหตุผลอื่นที่คล้ายคลึงกัน) เราจะถือว่าไม่สามารถใช้ Private Relay บน Mac เครื่องนั้นได้ในขณะที่แอปพลิเคชันเหล่านั้นทำงานอยู่

ในสภาพแวดล้อมที่มีการจัดการ (เช่น บริษัท โรงเรียน มหาวิทยาลัย) เป็นเรื่องปกติที่ระบบการกรองข้อมูลและการเชื่อมต่อ VPN ขององค์กรเหล่านี้จะถูกบังคับใช้ตามกฎระเบียบในกรณีเช่นนี้ ผู้ดูแลระบบสามารถบล็อก Private Relay ในระดับเครือข่ายได้ เพื่อไม่ให้อุปกรณ์ Apple ที่เชื่อมต่อกับโครงสร้างพื้นฐานนั้นใช้งาน Private Relay ได้เลย

ผลกระทบของ Private Relay ต่อไฟร์วอลล์ เครือข่ายองค์กร และการกรองข้อมูล

จากมุมมองของผู้ดูแลระบบเครือข่ายหรือไฟร์วอลล์ Private Relay ถือเป็นการเปลี่ยนแปลงครั้งสำคัญเลยทีเดียวด้วยการเข้ารหัสข้อมูลการใช้งาน Safari อย่างสมบูรณ์และห่อหุ้มข้อมูลเหล่านั้นผ่านรีเลย์ของ Apple และพันธมิตร ไฟร์วอลล์จึงไม่สามารถมองเห็นโดเมนที่ถูกเข้าถึงได้ และไม่สามารถตรวจสอบหรือกรองโดเมนเหล่านั้นตามนโยบายปกติได้

สิ่งนี้อาจขัดแย้งกับข้อกำหนดด้านการปฏิบัติตามกฎระเบียบ ข้อกำหนดเหล่านี้รวมถึงการเก็บรักษาบันทึกการท่องเว็บ การควบคุมเนื้อหาอย่างเข้มงวดบนเครือข่ายการศึกษา และการตรวจจับกิจกรรมที่น่าสงสัยในระดับ DNS/HTTP ไม่ใช่เรื่องบังเอิญที่องค์กรหลายแห่งเลือกที่จะบล็อกบริการพร็อกซีและอุโมงค์เข้ารหัสโดยค่าเริ่มต้น และ Private Relay ก็จัดอยู่ในประเภทนั้นเช่นกัน

Apple มีเอกสารเฉพาะสำหรับการเตรียมเครือข่ายและเว็บเซิร์ฟเวอร์เพื่อใช้งาน Private Relayนี่คือคำอธิบายว่าระบบที่พึ่งพาที่อยู่ IP เป็นอย่างมากในฐานะสัญญาณรักษาความปลอดภัยหรือเพื่อควบคุมการใช้งานในทางที่ผิด ควรปรับตัวอย่างไร หลักการคือการปฏิบัติต่อทราฟฟิก Private Relay ราวกับว่ามันมาจากเกตเวย์เว็บขนาดใหญ่ที่ใช้ร่วมกัน หรือระบบ Carrier-Grade NAT ซึ่งการเชื่อมต่อจำนวนมากใช้ที่อยู่ IP สาธารณะจำนวนเล็กน้อยร่วมกัน

เพื่อลดปัญหาการละเมิดหรือการฉ้อโกง ผู้ให้บริการควรพึ่งพาตัวระบุระดับผู้ใช้มากขึ้น (คุกกี้ โทเค็นเซสชัน ข้อมูลตำแหน่งทางภูมิศาสตร์โดยประมาณ) และข้อจำกัดที่น้อยลงซึ่งอิงตาม IP เพียงอย่างเดียว โซลูชันอย่าง Cloudflare จะปรับโมเดลการเรียนรู้ของเครื่องและหลักการรักษาความปลอดภัยโดยอัตโนมัติเมื่อตรวจพบ IP ที่มีการใช้งานร่วมกันสูง ซึ่งช่วยป้องกันการตรวจจับผิดพลาดจำนวนมาก

Apple ยังระบุด้วยว่า เฉพาะอุปกรณ์และบัญชีที่ถูกต้องเท่านั้นที่จะสามารถใช้ Private Relay ได้วิธีนี้จะเพิ่มความน่าเชื่อถือให้กับการเชื่อมต่อที่ผ่านบริการนี้อีกชั้นหนึ่ง อย่างไรก็ตาม หากคุณยังต้องการจำกัดหรือบล็อกการใช้งาน Private Relay บนเครือข่ายเฉพาะ วิธีที่แนะนำคือการแก้ไขการแก้ไข DNS ของโดเมนที่เกี่ยวข้อง

ตัวอย่างการใช้งานจริง: การอนุญาตหรือบล็อก Private Relay จาก FortiGate

หากคุณดูแลไฟร์วอลล์ FortiGate คุณสามารถตัดสินใจได้เองว่าเครือข่ายของคุณจะอนุญาตให้ใช้ iCloud Private Relay หรือไม่ขึ้นอยู่กับนโยบายขององค์กร อาจจำเป็นต้องเปิดหรือปิดกั้นการรับส่งข้อมูลนั้นในระดับ DNS และกฎการกรอง

เพื่อเปิดใช้งาน Private Relay บน FortiGate เมื่อคุณเปิดใช้งานการกรองเว็บหรือ DNS อยู่โดยทั่วไป เซิร์ฟเวอร์พร็อกซีจะถูกบล็อกด้วยเหตุผลด้านความปลอดภัย ในกรณีเช่นนั้น คุณสามารถสร้าง "ออบเจ็กต์ที่อยู่" เฉพาะสำหรับโดเมนที่ใช้โดย Private Relay จากนั้นจัดกลุ่มออบเจ็กต์เหล่านั้นเป็น "กลุ่มที่อยู่" ที่ได้รับอนุญาตให้ผ่านไปได้โดยไม่ต้องตรวจสอบ

โดเมนหลักที่ควรถูกรวมไว้เป็นออบเจ็กต์ที่อยู่ FQDN ได้แก่ (และอื่นๆ): captive.apple.com, gateway.icloud.com, mask-api.icloud.com, mask.icloud.com และ mask-h2.icloud.com เมื่อสร้างแล้ว ที่อยู่เหล่านี้จะถูกจัดกลุ่มไว้ในกลุ่มที่อยู่ (addrgrp) ที่ชื่อว่า "iCloudRelay" เป็นต้น และกลุ่มนั้นจะถูกใช้เป็นเป้าหมายในกฎไฟร์วอลล์โดยไม่ต้องตรวจสอบอย่างละเอียด โดยจะอยู่เหนือกฎอื่นๆ ที่เข้มงวดกว่า

หากตัดสินใจปิดกั้น Private Relay บนเครือข่ายนั้นโดยสมบูรณ์กลยุทธ์นี้เกี่ยวข้องกับการเพิ่มตัวกรองแบบไวด์การ์ดลงในโปรไฟล์ตัวกรอง DNS ของ FortiGate เพื่อป้องกันการแก้ไขโดเมนรีเลย์ รูปแบบทั่วไป ได้แก่ mask.icloud.com, mask-h2.icloud.com, mask.apple-dns.net, mask-api.fe.apple-dns.net และ mask-t.apple-dns.net เป็นต้น

การทำเช่นนี้จะทำให้อุปกรณ์ของ Apple ไม่สามารถติดต่อกับรีเลย์ที่จำเป็นได้ดังนั้น ระบบจะตรวจพบว่าฟีเจอร์ดังกล่าวใช้งานไม่ได้บนเครือข่ายนั้น และจะปิดใช้งานโดยอัตโนมัติบนอุปกรณ์เมื่อเชื่อมต่อกับสภาพแวดล้อมนั้น จากมุมมองของผู้ใช้ พวกเขาจะเห็นการแจ้งเตือนในการตั้งค่า Private Relay ที่ระบุว่าเครือข่ายไม่รองรับฟีเจอร์ดังกล่าว หรือถูกบล็อกไว้

แนวทางนี้มีประโยชน์อย่างยิ่งสำหรับเครือข่ายธุรกิจ ศูนย์การศึกษา หรือสถาบันที่มีข้อผูกพันทางกฎหมาย เพื่อบันทึกกิจกรรมการท่องเว็บหรือใช้ตัวกรองเฉพาะเจาะจง ถึงกระนั้น การบล็อกก็มักจะถูกตรวจพบภายในไม่กี่วินาทีหรือนาที ในระหว่างช่วงเวลาการตรวจจับนี้ ผู้ใช้อาจสังเกตเห็นการขาดการเชื่อมต่อหรือพฤติกรรมแปลก ๆ ขณะโหลดหน้าเว็บได้ชั่วขณะ

Private Relay กับ VPN แบบดั้งเดิม: ทั้งสองอย่างเสริมกันหรือมีส่วนที่ทับซ้อนกัน?

หนึ่งในความเข้าใจผิดที่พบบ่อยที่สุดคือการคิดว่า iCloud Private Relay เป็นเพียง "VPN ของ Apple"แม้ว่าจะมีบางส่วนที่คล้ายคลึงกัน (เช่น การซ่อน IP, การเข้ารหัสข้อมูล, การใช้ตัวกลาง) แต่ในทางปฏิบัติแล้ว วิธีการและขีดความสามารถของทั้งสองระบบนั้นแตกต่างกันอย่างมาก

Private Relay เน้นความเป็นส่วนตัวขณะท่องเว็บด้วย Safari และจำกัดการติดตามข้อมูลโปรแกรมนี้ไม่อนุญาตให้คุณเลือกประเทศหรือ "แสร้ง" ว่าคุณอยู่ในภูมิภาคอื่นเพื่อเข้าถึงแคตตาล็อกสตรีมมิ่งจากต่างประเทศหรือหลีกเลี่ยงข้อจำกัดทางภูมิศาสตร์ ที่อยู่ IP ขาออกของคุณจะสอดคล้องกับประเทศและเขตเวลาของคุณเสมอ โดยมีตัวเลือกในการกำหนดตำแหน่งโดยประมาณในระดับเมืองได้ด้วย

VPN แบบคลาสสิก เช่นเดียวกับที่ผู้ให้บริการอย่าง NordVPN หรือเจ้าอื่นๆ นำเสนอมันเข้ารหัสข้อมูลทั้งหมดในระบบของคุณ หรืออย่างน้อยก็แอปพลิเคชันทั้งหมดที่ตั้งค่าให้ใช้งาน นอกจากนี้ยังช่วยให้คุณเลือกเซิร์ฟเวอร์ในประเทศต่างๆ เพื่อเปลี่ยนตำแหน่งที่ตั้งที่แสดงของคุณ โดยปกติแล้วจะมีผลกระทบต่อความเร็วมากกว่าและต้องตั้งค่าซับซ้อนกว่า แต่ก็มีคุณสมบัติ "ปลดบล็อก" ที่ Private Relay ไม่เคยอ้างว่ามีให้

บริการทั้งสองสามารถใช้งานร่วมกันได้โดยไม่มีปัญหาในหลายสถานการณ์แต่ก็มีรายละเอียดปลีกย่อยอยู่บ้าง: หากคุณเปิดใช้งาน VPN ในระดับระบบ Private Relay อาจใช้งานไม่ได้ หรือ macOS อาจปิดใช้งานเนื่องจากความไม่เข้ากัน โดยเฉพาะอย่างยิ่งเมื่อ VPN ติดตั้งส่วนขยายเครือข่ายเชิงลึกหรือแก้ไขการกำหนดเส้นทางอย่างรุนแรง

หากสิ่งที่คุณให้ความสำคัญสูงสุดคือความเป็นส่วนตัวและการไม่เปิดเผยตัวตนในกิจกรรมออนไลน์ทั้งหมดของคุณ (ไม่เฉพาะใน Safari เท่านั้น) การตั้งค่า VPN อย่างเหมาะสมอาจเป็นทางเลือกที่ดีกว่า หากคุณต้องการความเป็นส่วนตัวเพิ่มเติมโดยไม่สูญเสียข้อมูลตำแหน่งทางภูมิศาสตร์หรือทำให้เรื่องยุ่งยากขึ้นด้วยแอปเพิ่มเติม Private Relay เป็นโซลูชันที่สมดุล รวดเร็ว และผสานรวมเข้ากับระบบนิเวศของ Apple ได้อย่างราบรื่น

แนวปฏิบัติที่ดีที่สุดสำหรับผู้ดูแลระบบเว็บไซต์และเครือข่าย

หากคุณดูแลเว็บไซต์ API สาธารณะ หรือเครือข่ายองค์กร การปรับตัวให้เข้ากับ Private Relay กำลังมีความสำคัญมากขึ้นเรื่อยๆเนื่องจากจำนวนผู้ใช้ของคุณที่เข้ามาใช้งานโดยซ่อนที่อยู่ IP ผ่านรีเลย์เหล่านี้จะเพิ่มขึ้นเรื่อยๆ การเพิกเฉยต่อปรากฏการณ์นี้อาจนำไปสู่การบล็อกที่ไม่คาดคิด การตรวจจับช่องโหว่ด้านความปลอดภัยที่ผิดพลาด หรือประสบการณ์การใช้งานที่ไม่ดี

สิ่งแรกที่ต้องทำคือ การอัปเดตฐานข้อมูลระบุตำแหน่งทางภูมิศาสตร์ของ IP ของคุณให้เป็นปัจจุบันอยู่เสมอApple และผู้ให้บริการอย่าง Cloudflare ทำงานร่วมกับผู้ให้บริการระบุตำแหน่งทางภูมิศาสตร์ชั้นนำโดยตรง เพื่อลงทะเบียน IP Private Relay ขาออกอย่างแม่นยำ หากคุณใช้ฐานข้อมูลเวอร์ชันเก่า คุณอาจเห็นผู้ใช้เหล่านี้อยู่ในประเทศอื่น หรืออาจเห็นเป็นทราฟฟิกที่น่าสงสัย

ขอแนะนำให้เปิดเผยบริการของคุณผ่านทาง IPv6 ด้วยเช่นกัน เพื่อใช้ประโยชน์จากความแม่นยำทางภูมิศาสตร์ที่ดียิ่งขึ้นของที่อยู่ IPv6 จำนวนมาก เนื่องจากโหนดทางออกของ Private Relay นิยมใช้ IPv6 เมื่อมีให้ใช้งาน การนำเสนอโครงสร้างเครือข่ายนี้จึงช่วยให้คุณสามารถให้บริการเนื้อหาท้องถิ่นที่เกี่ยวข้องมากขึ้นโดยไม่ต้องเปิดเผยข้อมูลผู้ใช้เพิ่มเติม

เกี่ยวกับกลไกด้านความปลอดภัยและการป้องกันสแปม/บอทขอแนะนำให้ปรับระบบของคุณให้ถือว่า IP ของ Private Relay เป็นทรัพยากรที่ผู้ใช้หลายคนใช้ร่วมกัน แทนที่จะกำหนดข้อจำกัดที่เข้มงวดหรือบล็อกถาวรโดยอิงจากที่อยู่ IP เพียงอย่างเดียว ควรนำตัวระบุเซสชัน คุกกี้ ข้อมูลเบราว์เซอร์ และสัญญาณพฤติกรรมมาพิจารณาด้วย

หากคุณใช้ Cloudflare อยู่ด้านหน้าเว็บไซต์ของคุณ คุณก็มีข้อได้เปรียบอยู่แล้วผู้ให้บริการจะปรับ WAF, การจำกัดอัตรา และการจัดการบอทโดยอัตโนมัติสำหรับ IP ที่ใช้ร่วมกันและทราฟฟิกที่มาจาก AS ของตนเอง (AS13335) ซึ่งรวมถึงทราฟฟิกจาก Private Relay, เว็บเกตเวย์ขององค์กร และ VPN สำหรับผู้บริโภค เช่น Warp สำหรับการเรียกเก็บเงินและการวัดผล ทราฟฟิกทั้งหมดนี้จะถูกนับเหมือนกับทราฟฟิกอื่นๆ แต่กฎความปลอดภัยของคุณได้คำนึงถึงข้อเท็จจริงที่ว่าผู้ใช้หลายคนอาจเข้าถึงที่อยู่ IP เดียวกันอยู่แล้ว

ในเครือข่ายที่ไม่สามารถหรือไม่ต้องการอนุญาตให้ใช้ Private Relayตรวจสอบให้แน่ใจว่าคุณได้บล็อกซับเน็ตมาสก์และเกตเวย์อย่างถูกต้องในระดับ DNS แจ้งให้ผู้ใช้ทราบว่าฟีเจอร์นี้จะถูกปิดใช้งานบนโครงสร้างพื้นฐานนั้น และบันทึกเหตุผล (การปฏิบัติตามข้อกำหนด การตรวจสอบปริมาณการใช้งาน ข้อบังคับท้องถิ่น ฯลฯ) เพื่อป้องกันความสับสนเมื่อมีคนนำ Mac หรือ iPhone มาใช้และพบว่า Private Relay หยุดทำงานเมื่อเชื่อมต่อกับ Wi-Fi ของคุณ

กล่าวโดยสรุป iCloud+ Private Relay มอบการปกป้องความเป็นส่วนตัวที่ทรงพลังมากสำหรับผู้ใช้ Safari แต่ก็ไม่ได้ทำงานอย่างโดดเดี่ยวมันทำงานร่วมกับ VPN, ไฟร์วอลล์ เช่น FortiGate, นโยบายขององค์กร และโซลูชันรักษาความปลอดภัยรอบนอก การทำความเข้าใจวิธีการสร้าง การซ่อนข้อมูล การกำหนดค่าต่ออุปกรณ์และต่อเครือข่าย และวิธีการอนุญาตหรือบล็อกในโครงสร้างพื้นฐานระดับมืออาชีพ เป็นกุญแจสำคัญในการใช้งานให้เกิดประโยชน์สูงสุดโดยไม่ลดทอนความเข้ากันได้ ประสิทธิภาพ หรือการควบคุมในจุดที่จำเป็นอย่างแท้จริง