Como a Retransmissão Privada do iCloud cria um pesadelo de shadow IT

Pode-se argumentar que a Apple criou o fenômeno da shadow IT quando lançou o iPhone e a App Store. De repente, os gerentes e usuários individuais passaram a ter a capacidade de obter seus próprios softwares e serviços de negócios, ignorando completamente os departamentos de TI. E eles podiam fazer isso com dispositivos não conectados a uma rede corporativa, evitando que a TI percebesse que a shadow IT estava acontecendo em suas organizações.

A Apple interveio alguns anos depois, fornecendo uma plataforma de gerenciamento de dispositivos móveis corporativos (MDM) que permitia à TI algum controle sobre os dispositivos em sua organização. Mas, para ser eficaz, a TI ainda precisa fazer parceria com gerentes de linha de negócios e usuários individuais. Afinal, os usuários podem simplesmente usar dispositivos não registrados no MDM, se desejarem.

Avance uma década após a introdução do MDM, e a Apple está novamente criando um potencial pesadelo de shadow IT na forma da Retransmissão Privada do iCloud.

O que é a Retransmissão Privada do iCloud?

A Retransmissão Privada do iCloud é um novo recurso de privacidade no iOS 15 (já disponível, mas ainda em beta) para usuários com contas pagas do iCloud, agora conhecidas como contas iCloud +. De forma geral, é um bom sistema de proteção da privacidade do consumidor.

Quando habilitado, a Retransmissão Privada criptografa todo o tráfego compatível (no momento, ele oferece suporte principalmente ao tráfego do Safari, mas está planejado para expandir além disso), incluindo consultas DNS, e o desvia para o servidor de entrada da Apple. O servidor de entrada remove as informações do usuário e, em seguida, envia a solicitação para o servidor de saída, que é operado por um provedor de conteúdo terceirizado. O servidor de saída não vê nenhuma informação sobre o usuário ou dispositivo; mas apenas que as solicitações vêm do servidor de ingresso. O servidor de saída remove as informações sobre o servidor de entrada e encaminha a solicitação ao destino apropriado.

Esse servidor de destino não recebe informações sobre o usuário ou o servidor de ingresso; ele vê apenas que uma solicitação originou-se do servidor de saída. Em seguida, ele responde ao servidor de saída, que envia a resposta ao servidor de entrada como se fosse o destino original. O servidor de entrada então envia a resposta para o dispositivo do usuário.
Essencialmente, cada servidor da cadeia atua como um servidor proxy. Como nenhum ponto da cadeia tem acesso às informações sobre o dispositivo e o destino, ele oferece uma tecnologia de privacidade do consumidor bastante boa.

Não é uma VPN

Houve algumas comparações entre a Retransmissão Privada e uma rede privada virtual (VPN). Os dois são ferramentas completamente distintas.
Uma rede privada virtual é uma tecnologia usada para criar um túnel seguro através da Internet. Este túnel é usado principalmente para que dispositivos fora de uma rede corporativa se conectem como se estivessem localizados nessa rede.

VPNs também podem ser usados ​​para proteger conexões quando os dispositivos estão se conectando por meio de uma rede Wi-Fi pública ou para fazer parecer que um dispositivo está em outro lugar – para conectar de, digamos, Dubai à App Store dos EUA ou seleção Netflix, ou para evitar sistemas de bloqueio de conteúdo.

Uma VPN oferece privacidade, mas ela é como bônus. A funcionalidade básica e o objetivo das VPNs são bastante diferentes da Retransmissão Privada.

Por que o Retransmissão Privada do iCloud é um problema para as empresas?

O problema com a Retransmissão Privada é que ela pode desviar conexões da rede corporativa para o servidor de entrada da Apple. A rede local não vê nada além de conexões com o servidor de entrada da Apple. Como isso pode incluir consultas DNS junto com outras formas de tráfego, torna a atividade do usuário completamente opaca para os administradores de TI.
Isso cria um grande desafio para as organizações em escolas e setores regulamentados, onde a auditoria do tráfego é frequentemente um requisito legal. Mesmo fora desses setores, não ter ideia do que um usuário está fazendo é grande preocupação, especialmente se estiver acontecendo em um dispositivo da empresa.

É importante notar que a Retransmissão Privada é incorporada ao iOS 15, mas não é habilitada por padrão. Embora isso possa mudar quando o serviço sair da versão beta. Outra consideração é que a Retransmissão Privada está disponível apenas para clientes que pagam por uma assinatura do iCloud+ – ainda que isso inclua a opção simples de US$ 0,99 por 50 GB de espaço de armazenamento.

A TI pode bloquear a Retransmissão Privada?

A boa notícia da Apple é que é simples bloquear a Retransmissão Privada. Você simplesmente bloqueia o endereço do servidor de entrada em sua rede. Qualquer dispositivo Apple configurado para usar Retransmissão Privada não poder fazê-lo.

A má notícia é que os usuários serão informados de que sua rede é incompatível com a Retransmissão Privada e questionados se ainda desejam se conectar. Se eles não se conectarem, você estará de volta com a equipe que está usando as conexões de celular de seus dispositivos e negando qualquer informação sobre como eles estão usando seus dispositivos com dados corporativos.

A melhor opção: engajamento do usuário

Já argumentei muitas vezes que a shadow IT não é um problema técnico: é um problema de engajamento e comunicação. E esta situação não é diferente.

Você precisa se certificar de que os usuários entendam por que recebem uma mensagem de que sua rede não oferece suporte para retransmissão privada e também que eles saibam que isso não afetará seus dispositivos fora do trabalho. Isso requer a construção de confiança por meio da comunicação e da transparência – algo que idealmente a maioria dos departamentos de TI já está trabalhando.