스트리밍은 대부분의 브라우저와
Developer 앱에서 사용할 수 있습니다.
-
네트워크 릴레이로 앱 트래픽 보호하기
릴레이를 사용하여 VPN의 오버헤드 없이 앱의 네트워크 트래픽을 더욱 안전하게 비공개로 보호하는 방법을 알아보세요. 릴레이 서버를 사용자의 앱에 통합하는 방법과 릴레이를 사용해 기업 네트워크로 내부 리소스에 안전하게 액세스하는 방법을 소개합니다.
챕터
- 0:00 - Welcome
- 0:56 - Discover relays
- 3:40 - Configure relays in your app
- 7:01 - Access enterprise resources
리소스
관련 비디오
WWDC23
WWDC21
-
다운로드
♪ ♪
안녕하세요, 키스 홀먼입니다 Apple의 인터넷 기술 팀 소속이죠 오늘은 네트워크 릴레이를 사용해 앱의 보안 및 개인정보 보호를 향상하는 방법을 알아봅시다 우선 네트워크 릴레이에 사용되는 기술부터 살펴볼게요 릴레이는 Apple에서 여러 개인정보 보호 기능에 쓰이죠 효율적인 데다 사용하기 쉬워 선호하는 기술인데요 앱에서 릴레이를 사용하는 방법은 두 가지가 있습니다 첫 번째 방법은 앱 내에서 릴레이를 설정해 앱의 네트워크 트래픽을 보호하는 겁니다 두 번째 방법은 기업 내 비공개 리소스에 액세스하려는 기기로 릴레이를 확장하는 겁니다 VPN을 대신하는 거죠 좀 더 자세히 알아보도록 하죠 릴레이는 유용한 기능들의 바탕이 됩니다 iCloud Private Relay와 Mail 개인정보 보호 트래커가 IP 주소를 확인 못 하게 Safari에서 숨기는 기능 등이죠 앱에서 사용자가 비공개로 설정하고자 하는 민감한 정보를 다룬다면 자체 서버가 해당 정보와 고객 IP 주소를 연결 짓지 못하도록 설정해야겠죠 이제 여러분이 선택한 릴레이를 앱에서 사용하여 강력한 개인정보 보안을 모든 사용자에 제공할 수 있습니다
릴레이는 성능에 최적화된 특별한 유형의 프록시로 최신 전송 및 보안 프로토콜을 사용하고 Apple 플랫폼에서 사용할 수 있는 최신 네트워크 스택에 내장되어 있습니다 릴레이에서 사용하는 IETF 정의 표준 프로토콜은 MASQUE와 Oblivious HTTP 이렇게 두 가지입니다 MASQUE 릴레이는 앱의 개인정보 보호를 향상하거나 비공개 리소스에 액세스할 때 좋은 방법입니다 릴레이를 통해 백엔드 서버를 수정하지 않고도 TCP 또는 UDP 연결을 전송할 수 있습니다 릴레이 서버를 함께 묶으면 엔티티가 자세한 사용자 프로필을 IP 주소 및 브라우징 활동과 연관 짓지 못하게 됩니다 이게 바로 iCloud Private Relay의 초석이 되는 기술입니다 릴레이는 기업 리소스에 액세스 시 유용한 방법이기도 한데요 더 나은 사용자 경험을 제공하고 성능이 더 뛰어나며 VPN보다 관리가 쉽습니다 MASQUE 릴레이는 레거시 프록시 프로토콜과 달리 프록시로 가는 트래픽을 전부 얻도록 TLS 1.3을 사용합니다 MASQUE는 최신 전송 프로토콜인 QUIC과 HTTP/3를 사용해 단일 터널로 수많은 연결을 효율적으로 프록시하고 다중화하죠 네트워크가 QUICK을 차단하는 경우 HTTP/2를 사용할 수 있습니다 앱이 HTTP 요청을 전송하는데 비공개로 처리하면서 익명 메트릭스 보고서나 데이터베이스 검색 DNS 쿼리 등 다른 요청과 연결되지 않길 바란다면 Oblivious HTTP를 사용할 수도 있어요 Oblivious HTTP를 쓰면 단일 릴레이 홉만으로도 훌륭한 성능과 개인정보 보호를 얻을 수 있습니다 MASQUE 릴레이와 달리 Oblivious HTTP는 임의 서버로 작동하지 않습니다 여러분의 서버에서 명시적으로 지원해야 합니다 Oblivious HTTP를 더 자세히 알고 싶다면 '개인정보 보호의 새 기능'을 시청해 주세요 두 릴레이 유형 모두 앱에서 생성한 연결을 프록시할 때 사용할 수 있습니다 이는 여러분이 선택한 특정 릴레이 서버를 사용해 앱의 개인정보 보호를 강화하도록 해 줍니다 새 ProxyConfiguration 클래스는 Network 프레임워크와 URLSession, WebKit에서 릴레이를 정의하도록 허용합니다 API 세 가지 모두 유사한 방식으로 이 공통 클래스를 사용하며 전체 앱이나 특정 연결을 위해 릴레이를 정의하도록 하죠 ProxyConfiguration 객체 내에서 다섯 가지 프로토콜을 기반으로 프록시를 정의할 수 있습니다 여기서 MASQUE와 Oblivious HTTP를 위한 새로운 릴레이 유형을 명시할 수 있습니다 레거시 프록시 유형을 설정하는 데 같은 객체를 사용할 수도 있죠 여태 URLSession이나 WebKit에서 딕셔너리로 프록시를 설정했다면 이번 기회에 이 새로운 객체로 바꿔서 사용해 보세요 레거시 프록시 유형의 경우 HTTP CONNECT를 설정할 수 있어요 프록시에 새로 추가된 TLS 지원과 함께 SOCKSv5를 사용해서요 HTTP/3를 통해 MASQUE 릴레이에 연결 시 사용할 ProxyConfiguration을 정의하는 방법을 살펴봅시다 우선 NWEndpoint를 사용해 서버명이나 URL을 명시하고 이를 사용해서 릴레이 홉을 정의합니다 이러한 릴레이 홉의 경우 HTTP/3, HTTP/2 또는 둘 모두에 대한 지원을 지정할 수 있습니다 HTTP/2 서버는 백업으로 쓰일 겁니다 QUIC 프로토콜을 사용해 HTTP/3에 액세스할 때 네트워크가 액세스를 차단한다면요 이어서 relayHops 어레이 매개 변수로 릴레이를 전달해 프록시 설정을 생성합니다 다중 홉 릴레이 구성을 정의하고 싶다면 여기서 릴레이 두 개를 전달하면 됩니다 ProxyConfiguration을 Network 프레임워크의 NWConnection과 함께 사용하려면 PrivacyContext를 생성하거나 기본 콘텍스트를 써서 해당 콘텍스트에 프록시 구성을 추가하세요 NWParameters에서 콘텍스트를 설정한 뒤 연결을 생성하고 시작할 때 매개 변수를 전달합니다 이제 이 연결은 프록시를 통해 모든 트래픽을 전송하게 됩니다
앞서 정의했던 동일한 프록시 구성을 URLSession에서 바로 사용할 수도 있습니다 이렇게 하려면 URLSessionConfiguration에서 proxyConfigurations 어레이에 구성을 추가하세요 이후 URLSession에서 평소처럼 업무를 실행하면 이제 프록시도 사용할 겁니다 똑같은 프록시 구성 객체를 사용해 WebKit 뷰에서 생성한 연결을 프록시할 수도 있습니다 우선 웹 뷰 구성을 초기화하고 데이터 스토어를 덧붙인 뒤 이 데이터 스토어에 프록시 구성을 추가합니다 이어서 여러분의 구성으로 웹 뷰를 초기화합니다 여기까지 완료하면 요청된 URL을 로딩하고 평소처럼 WebKit 뷰를 사용할 수 있습니다 이제 이 WebKit 뷰는 릴레이를 통해서도 트래픽을 전송합니다
iOS 17에서는 앱에 릴레이를 추가하는 걸 넘어 전체 기기에 대해 릴레이를 설정할 수 있는데요 이는 개인정보 보호 기능을 구축할 수 있을 뿐 아니라 비공개 기업 네트워크 리소스에 액세스를 제공할 때 유용한 방법입니다
기업 리소스에 액세스를 제공하도록 VPN을 사용해도 됩니다 릴레이는 VPN을 대신해 더 나은 사용자 경험을 제공할 수 있고 관리하기도 더 쉽습니다 네트워크 릴레이는 복잡한 세션 협상을 요구하지 않고 실제 사용자 데이터를 전달하기 전 필요한 왕복 횟수가 더 적은 경우가 많습니다 이는 사용자의 최초 비공개 리소스 로드가 가장 응답성이 좋은 상호 작용이 되도록 합니다 또한 릴레이는 터널과 가상 인터페이스 VPN과 관련된 추가 IP 주소 사용을 방지합니다 여러 릴레이를 동시에 설정할 수 있기 때문에 다른 네트워크에 있는 여러 비공개 도메인에 액세스하기 용이합니다 기업에서 VPN을 대신해 릴레이 서버를 사용하고자 한다면 이제 자체 인프라와 함께 릴레이 서버를 사용할 수 있죠 Cisco는 Cisco Secure Edge 솔루션의 일환으로 기업 릴레이 서비스를 제공하고 있습니다 사용자에게 원격 액세스를 제공하고자 이런 방법을 택하는 기업이 있어 뿌듯합니다
MASQUE 릴레이 구성을 기기에 설치하는 방법은 두 가지입니다 우선 기업 조직은 모바일 기기 관리 즉 MDM을 통해 구성을 푸시할 수 있습니다 새 릴레이 페이로드 유형으로 릴레이를 정의하도록요 이러한 페이로드는 관리형 앱이나 도메인 혹은 전체 기기에 적용할 수 있습니다 두 번째 방법은 NERelayManager API를 사용하는 앱을 작성해서 릴레이를 정의하는 겁니다 이런 구성은 특정 도메인이나 전체 기기에 적용될 수 있습니다 두 가지 방법 모두 macOS나 iOS iPadOS, tvOS에서 이용할 수 있습니다 Network Extension 지원이 tvOS에 추가됐으므로 VPN 또한 tvOS 17에서 새로 지원됩니다
다음은 구성 프로파일을 사용해 릴레이를 설정하는 방법입니다 앱에 대한 ProxyConfiguration API에서처럼 릴레이 URL을 정의합니다 VPN 프로파일에서처럼 동일한 프로파일의 인증서 페이로드를 참조하여 기업 서버에 인증을 위해 클라이언트 인증서를 사용할 수 있어요 페이로드의 matchDomains 부분에 추가하여 특정 도메인에 릴레이를 적용할 수 있습니다 앱이 프로그래밍 방식으로 기기에 릴레이를 추가할 때 NERelayManager API를 어떻게 사용하는지 이어서 알아보겠습니다 릴레이를 정의하려면 NERelay 객체를 초기화하고 릴레이의 URL을 설정해야 합니다 저는 여기 보시다시피 HTTP/2와 HTTP/3 모두 동일한 릴레이를 사용했습니다 릴레이가 HTTP 헤더를 추가로 요청한다면 NERelay 객체에 추가하세요 공유 NERelayManager 객체에도 액세스해야 합니다 방금 생성한 NERelay 객체를 여기에 저장할 거니까요 전체 기기가 아니라 특정 도메인에만 릴레이를 적용하고 싶다면 matchDomains 어레이에 해당 도메인을 추가하세요 마지막으로 릴레이가 활성화됐는지 확인하고 NERelayManager 객체를 시스템 환경설정에 설치해야겠죠 릴레이가 잘 작동하는지 살펴봅시다 전 산악 바이킹을 정말 좋아해요 직접 바이크 상점까지 차렸을 정도로요 온라인 매장도 운영하고 내부 웹 사이트에서 모든 주문 현황을 확인합니다 이 웹 사이트는 내부 네트워크에 위치하고 직원만 접근할 수 있습니다 Safari를 열어서 대기 주문을 확인하려고 하면 내부 네트워크상이 아니라서 내역을 볼 수 없는데요 릴레이 구성을 설치하면 어디서든 내부 네트워크에 액세스할 수 있습니다 지금까지 살펴본 코드로 샘플 릴레이 앱을 열면 내부 도메인에 액세스하는 동안 상점의 릴레이를 사용하도록 전체 기기를 설정할 수 있습니다 이제 설정에서도 이러한 구성을 볼 수 있어요 internal.example.com에 액세스할 때 릴레이를 사용하는 걸 확인할 수 있고요 Safari로 돌아가서 대기 주문을 다시 확인해 보죠 이제 내역이 보이는군요 발송할 주문 개수도 나오네요 첫 번째 로드에서는 이렇게 간단하고 빠르며 응답성도 좋습니다 릴레이는 최신 표준 기반 프록시로 성능 저하 없이 앱의 보안 및 개인정보 보호를 개선해 줍니다 MASQUE 릴레이와 Oblivious HTTP 릴레이를 앱에 직접 도입해서 사용자의 개인정보 보호를 강화해 보세요 기업에서는 VPN 대신 관리하기 쉽고 탁월한 사용자 경험을 제공하는 릴레이를 사용해 보시길 바랍니다 지금까지 시청해 주셔서 감사합니다 릴레이를 유용하게 활용해 보세요
-
-
4:52 - Configuring a relay
import Network let relayEndpoint = NWEndpoint.url(URL(string: "https://relay.example.com")!) let relayServer = ProxyConfiguration.RelayHop(http3RelayEndpoint: relayEndpoint) let relayConfig = ProxyConfiguration(relayHops: [relayServer]) -
5:40 - Configuring a relay in Network framework
import Network let relayEndpoint = NWEndpoint.url(URL(string: "https://relay.example.com")!) let relayServer = ProxyConfiguration.RelayHop(http3RelayEndpoint: relayEndpoint) let relayConfig = ProxyConfiguration(relayHops: [relayServer]) var context = NWParameters.PrivacyContext(description: "my relay") context.proxyConfigurations = [relayConfig] let parameters = NWParameters.tls parameters.setPrivacyContext(context) let connection = NWConnection(host: "www.example.com", port: 443, using: parameters) connection.start(queue: .main) -
6:07 - Configuring a relay in URLSession
import Network let relayEndpoint = NWEndpoint.url(URL(string: "https://relay.example.com")!) let relayServer = ProxyConfiguration.RelayHop(http3RelayEndpoint: relayEndpoint) let relayConfig = ProxyConfiguration(relayHops: [relayServer]) let config = URLSessionConfiguration.default config.proxyConfigurations = [relayConfig] let mySession = URLSession(configuration: config) let url = URL(string: "https://www.example.com/api/v1/employees")! let (data, response) = try await mySession.data(from: url) -
6:30 - Configuring a relay in WebKit
import Network let relayEndpoint = NWEndpoint.url(URL(string: "https://relay.example.com")!) let relayServer = ProxyConfiguration.RelayHop(http3RelayEndpoint: relayEndpoint) let relayConfig = ProxyConfiguration(relayHops: [relayServer]) let webkitConfig = WKWebViewConfiguration() webkitConfig.websiteDataStore = WKWebsiteDataStore.nonPersistent() webkitConfig.websiteDataStore.proxyConfigurations = [relayConfig] let webView = WKWebView(frame: .zero, configuration: webkitConfig) let url = URL(string: "https://www.example.com/api/v1/employees")! webView.load(URLRequest(url: url)) -
9:15 - Configuring a relay on the device with a configuration profile
<dict> <key>PayloadType</key> <string>com.apple.relay.managed</string> <key>Relays</key> <array> <dict> <key>HTTP3RelayURL</key> <string>https://relay.example.com</string> <key>PayloadCertificateUUID</key> <string>5AB702EC-32F3-48A9-94FE-8EA1C67ACF46</string> </dict> </array> <key>MatchDomains</key> <array> <string>internal.example.com</string> </array> </dict> -
9:42 - Configuring a relay on the device with NetworkExtension
import NetworkExtension let newRelay = NERelay() let relayURL = URL(string: "https://relay.example.com:443/") newRelay.http3RelayURL = relayURL newRelay.http2RelayURL = relayURL newRelay.additionalHTTPHeaderFields = ["Authorization" : "PrivateToken=123"] let manager = NERelayManager.shared() manager.relays = [newRelay] manager.matchDomains = ["internal.example.com"] manager.isEnabled = true do { try await manager.saveToPreferences() } catch let saveError { // Handle error }
-
-
찾고 계신 콘텐츠가 있나요? 위에 주제를 입력하고 원하는 내용을 바로 검색해 보세요.
쿼리를 제출하는 중에 오류가 발생했습니다. 인터넷 연결을 확인하고 다시 시도해 주세요.