Konklusjon
& videre arbeid
MASQUE er det manglende leddet.
Hovedfunn
Apple Network Relay (MASQUE) kan brukes som en tenant-isolasjonsmekanisme — ikke bare som et personvernverktøy. Dette er et nytt anvendelsesområde som ikke er dokumentert i eksisterende litteratur.
Ingen enkelt mekanisme gir fullstendig isolasjon. Alle fire lag — MASQUE, mTLS, GSA routing og TR v2 — er nødvendige og utfyller hverandre. Fjerning av ett lag svekker den samlede sikkerheten vesentlig.
Tenant Restrictions v2 har eksistert lenge, men har ikke vært praktisk håndhevbar uten en mekanisme som garanterer at all relevant trafikk går gjennom en kontrollert proxy. MASQUE er denne garantien.
GSA Remote Network (IPSec) eliminerer behovet for Windows Server som GSA-connector-host. En enkelt Linux VM med to nettverksgrensesnitt er tilstrekkelig for å realisere arkitekturen.
Begrensninger
| Begrensning | Implikasjon |
|---|---|
| iOS 17 / macOS 14+ | Network Relay krever nyere OS-versjoner. Eldre enheter støttes ikke. |
| Apple-plattformer kun | MASQUE Network Relay er en Apple-spesifikk mekanisme. Windows-klienter krever en annen tilnærming. |
| GSA-lisensieringskrav | GSA Remote Network og Tenant Restrictions v2 krever Microsoft Entra Suite eller tilsvarende lisens. |
| Statisk IP påkrevd | CA-hvitelisting av omvei-IP forutsetter en statisk offentlig IP på relay-serveren. |
| Ikke testet i produksjon | Arkitekturen er konseptuelt validert men ikke fullt ut implementert og testet med reell GSA-tilkobling. |
Videre arbeid
Kjernepåstanden: MASQUE Network Relay representerer en ny klasse av klientnivå nettverkskontrollmekanismer på Apple-plattformer. Dens evne til å tvinge applikasjonstrafikk gjennom en kontrollert vei — transparent og uomgåelig fra applikasjonens perspektiv — åpner for sikkerhetsarkitekturer som tidligere kun var mulige med fullstendig VPN-tunellering.