iCloud Private Relay vs VPN: Khác Nhau Ở Điểm Gì?
Nếu bạn đang trả tiền cho iCloud+, bạn đã có Private Relay được bật đâu đó trong Cài đặt. Nhiều người dùng iPhone cho rằng tính năng đó đã bảo vệ họ — rằng đó là VPN tích hợp sẵn, yên lặng của Apple và không cần lo nghĩ thêm gì nữa.
Thực tế không đơn giản như vậy. Câu trả lời thực sự cho câu hỏi iCloud Private Relay vs VPN là chúng là hai công cụ khác nhau, được xây dựng cho những mục đích khác nhau. Private Relay được thiết kế tốt, và với một số người nó là đủ. Nhưng với nhiều người khác, nó để lại những khoảng trống lớn mà họ không nhận ra. Bài viết này phân tích Private Relay thực sự làm gì, không làm gì, và cách xác định bạn thuộc nhóm nào.
Private Relay Thực Sự Là Gì
Private Relay là một tính năng của iCloud+, không phải sản phẩm độc lập. Bạn nhận được nó đi kèm với bất kỳ gói lưu trữ iCloud trả phí nào.
Nói gọn trong một câu: nó proxy lưu lượng duyệt web Safari và một số traffic nền liên quan đến iCloud qua hai máy chủ, để không bên nào biết cả hai — bạn là ai và bạn đang truy cập gì. Chỉ vậy thôi. Nó không được tiếp thị như một VPN, và Apple cẩn thận không bao giờ gọi nó như vậy, dù nhiều người dùng hai từ này thay thế nhau.
Mọi ứng dụng khác trên điện thoại của bạn (Instagram, Chrome, TikTok, ứng dụng ngân hàng, email, game, bất kỳ trình duyệt của bên thứ ba nào) đều dùng kết nối thông thường. Private Relay không đụng đến chúng.
Private Relay Hoạt Động Như Thế Nào (Giải Thích Đơn Giản)
Điểm thú vị của Private Relay là kiến trúc hai chặng. Đây là thiết kế thực sự chu đáo, đáng hiểu dù bạn cuối cùng chọn dùng VPN thay thế.
Hai chặng, hai bên
Khi Safari tải một trang với Private Relay đang bật, yêu cầu của bạn đi qua hai relay theo thứ tự:
- Relay đầu vào (ingress relay) do Apple vận hành. Nó thấy địa chỉ IP thực của bạn (vì điện thoại kết nối trực tiếp đến nó), nhưng không thể thấy trang web bạn đang truy cập. Phần đó được mã hóa bằng khóa riêng mà máy chủ đầu vào không có.
- Relay đầu ra (egress relay) do đối tác bên thứ ba vận hành (Cloudflare, Fastly, Akamai, tùy theo khu vực). Nó có thể giải mã điểm đến nhưng không biết IP thực của bạn. Tất cả những gì nó thấy ở phía đầu vào là địa chỉ của relay đầu vào.
Điểm mấu chốt là URL đích và IP của bạn được mã hóa bằng hai khóa riêng biệt, mỗi khóa do một bên khác nhau giữ. Apple giữ khóa tiết lộ bạn là ai; đối tác giữ khóa tiết lộ bạn đang đi đâu. Không bên nào một mình thấy được cả hai nửa, nên không ai trong số họ có thể xây dựng hồ sơ lịch sử duyệt web của bạn.
Đây là một chiến thắng thực sự cho quyền riêng tư, và đây là thiết kế có nguyên tắc hơn so với VPN một chặng thông thường, nơi một nhà cung cấp thấy tất cả. Giả sử Apple và đối tác đầu ra không chia sẻ dữ liệu, Private Relay thực sự nâng cao thanh bảo mật cho traffic Safari.
Vậy điểm hạn chế là gì?
Điểm hạn chế là phạm vi. Private Relay chỉ bảo vệ:
- Duyệt web qua Safari
- Một số traffic nền cấp hệ thống của iCloud và dịch vụ Apple
- Một tập hẹp traffic không mã hóa (HTTP) từ các ứng dụng dùng API mạng hệ thống
Mọi thứ khác (và trên iPhone thông thường, “mọi thứ khác” là phần lớn những gì điện thoại bạn làm) đi qua kết nối thông thường. Thiết kế hai chặng không mở rộng đến chúng.
Ví dụ cụ thể: mở Instagram và cuộn. Các lệnh tải ảnh của ứng dụng, các cuộc gọi phân tích, SDK quảng cáo báo cáo thói quen cuộn của bạn về máy chủ của chúng — không cái nào đi qua Private Relay. ISP của bạn có thể thấy máy chủ nào điện thoại đang kết nối và khoảng thời gian nào. Các điểm cuối có thể ghi lại IP nguồn. Chuyển từ Safari sang gần như bất kỳ ứng dụng bên thứ ba nào thực chất tắt Private Relay cho phiên đó, mà không có bất kỳ tín hiệu nào cho thấy có gì thay đổi.
Những Gì Private Relay KHÔNG Làm
Đây là phần mà hầu hết người dùng bỏ qua. Danh sách dưới đây không phải là chỉ trích Private Relay; đây chỉ là mô tả chính xác về giới hạn của nó.
- Nó không tunnel traffic của ứng dụng không phải Safari. Mở Chrome, Firefox, bất kỳ ứng dụng mạng xã hội, tin nhắn, game, ngân hàng nào, và IP cùng traffic của ứng dụng đó đều hiển thị với ISP và mọi thứ ở giữa.
- Nó không cho phép bạn chọn quốc gia hoặc khu vực. Bạn có thể chọn giữa “duy trì vị trí chung” hoặc “dùng quốc gia và múi giờ”, nhưng bạn không thể định tuyến qua, chẳng hạn, Mỹ từ Đức. Không có bộ chọn máy chủ vì Private Relay không cố trở thành một.
- Nó không hoạt động ở nhiều quốc gia. Private Relay không khả dụng hoặc bị chặn ở một số khu vực, bao gồm Trung Quốc, Nga, Ả Rập Xê Út, Belarus và Ai Cập, cùng nhiều nơi khác, với danh sách thay đổi theo thời gian. Nếu bạn đến một trong những nơi đó, tính năng sẽ tự tắt và bạn chưa chắc được thông báo.
- Nó không ẩn bạn khỏi các tracker trong ứng dụng. Một SDK theo dõi nhúng trong ứng dụng bên thứ ba thấy IP thực của bạn vì ứng dụng đó ngay từ đầu không đi qua Private Relay.
- Nó không bảo vệ traffic không phải Safari trên Wi-Fi không an toàn. Kết nối vào mạng khách sạn hay sân bay đáng ngờ và các ứng dụng không phải Safari của bạn bị lộ hoàn toàn như khi không có Private Relay.
Không cái nào trong số này là lỗi của Private Relay. Nó đang làm đúng việc nó được thiết kế để làm. Sai lầm là giả định nó làm nhiều hơn thế.
Private Relay Có Phải Là VPN Không?
Chính xác mà nói: không. VPN thiết lập một tunnel mã hóa bắt toàn bộ traffic rời khỏi thiết bị của bạn và định tuyến qua máy chủ bạn chọn. Private Relay là proxy có phạm vi giới hạn với thiết kế cố định, có chủ ý. Nó cố ý không cung cấp bộ chọn máy chủ, và cố ý không tunnel mọi thứ.
Nếu ai đó hỏi “Private Relay có phải là VPN không”, câu trả lời ngắn gọn là: “Đây là tính năng bảo mật có một số đặc tính giống VPN cho Safari, nhưng không phải thay thế cho VPN.”
Khi Nào Private Relay Là Đủ
Với một số người, Private Relay thực sự là đủ. Bạn có thể thuộc nhóm này nếu:
- Bạn hầu hết duyệt web bằng Safari và hiếm khi dùng trình duyệt bên thứ ba.
- Bạn không cần xuất hiện ở một quốc gia cụ thể (để xem phim, kiểm thử, lý do du lịch, hoặc truy cập nội dung từ quê hương khi ở nước ngoài).
- Bạn không thường xuyên di chuyển đến hoặc sống ở quốc gia mà Private Relay không khả dụng.
- Bạn chấp nhận việc bất kỳ ứng dụng nào bạn mở — kể cả những ứng dụng có SDK quảng cáo nhúng — thấy IP thực của bạn.
Nếu cả bốn điều đó đều đúng, Private Relay cộng Safari là mức bảo vệ hợp lý và bạn có thể không cần VPN riêng. Đây là điểm khởi đầu tốt cho một danh sách kiểm tra bảo mật iPhone.
Khi Nào Bạn Thực Sự Cần VPN
Bạn có thể muốn VPN thực sự (không chỉ Private Relay) nếu bất kỳ điều nào sau đây áp dụng:
- Bạn muốn tunnel toàn bộ traffic, không chỉ Safari. Mọi ứng dụng trên điện thoại, mọi trình duyệt, mọi dịch vụ nền đều được định tuyến qua cùng một kết nối mã hóa. Private Relay không thể làm điều này.
- Bạn muốn chọn quốc gia. Kết nối từ một khu vực cụ thể khi du lịch, để xem nội dung chỉ có ở một số nơi, hoặc chỉ để xuất hiện như đang ở nơi khác, cần VPN thực sự với bộ chọn máy chủ.
- Bạn thường xuyên dùng Wi-Fi công cộng. Quán cà phê, khách sạn, sân bay, không gian làm việc chung. VPN bảo vệ mọi thứ trên thiết bị của bạn trên các mạng đó, không chỉ tab Safari đang mở. Nếu bạn muốn tìm hiểu sâu hơn về lý do no-logs quan trọng trong tình huống này, xem VPN không lưu nhật ký thực sự có nghĩa gì.
- Bạn đến những nơi mà Private Relay không hoạt động. Trung Quốc, Nga, một số vùng ở Trung Đông và Trung Á. Ở những khu vực đó, Private Relay bị chặn hoặc không khả dụng, và đó chính xác là lúc bạn muốn có công cụ bảo mật. VPN cho bạn điều mà Private Relay không thể.
- Bạn muốn bảo vệ theo chiều sâu. Private Relay là một cơ chế. VPN là một cơ chế khác. Hai cái bảo vệ chống lại các mối đe dọa chồng lấp nhưng khác nhau, và một số người dùng sẽ muốn có cả hai.
Nếu bạn mới với chủ đề này và muốn hiểu cơ bản trước, bài giới thiệu VPN là gì của chúng tôi sẽ giải thích toàn bộ.
Có Thể Chạy Private Relay và VPN Cùng Lúc Không?
Được. Chúng cùng tồn tại trên iOS mà không xung đột.
Điều xảy ra trong thực tế: khi VPN đang hoạt động và tunnel toàn bộ traffic, các yêu cầu Safari của bạn đi qua VPN như mọi thứ khác. Con đường hai chặng của Private Relay trở nên dư thừa. Traffic của bạn đã được định tuyến qua nhà cung cấp VPN, nên thêm relay của Apple vào trước đó không thay đổi nhiều, ngoài việc tăng độ trễ.
Vì vậy, hầu hết những người dùng VPN đầy đủ cuối cùng tắt Private Relay, hoặc ít nhất không nhận ra khi iOS âm thầm bỏ qua nó. Bạn không mất gì khi làm vậy; bạn đang gộp hai lớp bảo mật chồng lấp thành một lớp bao phủ nhiều hơn trên điện thoại.
Khuyến nghị thực tế: nếu bạn đã quyết định muốn VPN, dùng VPN làm mặc định, và xem Private Relay như phương án dự phòng cho những lúc VPN tắt (giữa các kết nối, khi bạn đang chuyển máy chủ, khi ứng dụng từ chối hoạt động qua tunnel). Trên iOS bạn không phải chọn ở cấp cài đặt. Cả hai có thể được bật, và cái nào đang hoạt động vào lúc đó sẽ xử lý Safari. Chi phí duy nhất của việc để cả hai bật là Safari hơi chậm hơn khi VPN tắt và Private Relay tiếp quản.
Kết Luận
iCloud Private Relay là một tính năng được thiết kế tốt với công việc hẹp: bảo vệ lịch sử duyệt web Safari và một phần nhỏ traffic hệ thống của bạn khỏi bị quan sát bởi bất kỳ bên nào. Nó làm tốt công việc đó, và kiến trúc hai chặng chu đáo hơn hầu hết các thiết kế VPN.
Nhưng nó không phải là VPN, và nó không tự nhận như vậy. Nó không bao phủ ứng dụng không phải Safari, không cho phép bạn chọn khu vực, không hoạt động ở một số quốc gia, và không giúp ích gì trên Wi-Fi không an toàn bên ngoài Safari. Nếu những khoảng trống đó quan trọng với bạn — và với nhiều người dùng iPhone thì có — bạn cần VPN thực sự, bổ sung hoặc thay thế cho Private Relay.
Câu hỏi đúng không phải là “iCloud Private Relay vs VPN, cái nào thắng?”. Mà là “tôi thực sự cần bảo vệ điều gì, và công cụ nào bao phủ nó?” Với người dùng chỉ dùng Safari ở các khu vực được hỗ trợ, Private Relay một mình là hợp lý. Với những người còn lại, VPN làm được công việc mà Private Relay không bao giờ được thiết kế để làm.
Nếu bạn đã suy nghĩ qua và quyết định muốn VPN bao phủ mọi thứ điện thoại bạn làm, không chỉ một trình duyệt, Snap VPN được xây dựng cho điều đó. Không cần đăng ký email. Không lưu nhật ký traffic. Không có tài khoản gắn với tên bạn. Gói đăng ký của bạn gắn với Apple ID, khả dụng ở các khu vực lớn, với WireGuard bên dưới. macOS đang trên đường ra mắt.