1、客戶(hù)端的零信任防護(hù)技術(shù)
零信任理念有一個(gè)基本假設(shè)——威脅是始終存在的,。所以,在零信任架構(gòu)中,,沒(méi)有默認(rèn)的信任,。任何東西都默認(rèn)存在威脅,,在經(jīng)過(guò)持續(xù)驗(yàn)證,達(dá)到一定可信等級(jí)前,,不能接觸企業(yè)資源,。
零信任架構(gòu)在保護(hù)服務(wù)端和保護(hù)客戶(hù)端的時(shí)候,都遵守這個(gè)原則,。
保護(hù)服務(wù)端的時(shí)候,,默認(rèn)所有用戶(hù)都是存在威脅的,零信任網(wǎng)關(guān)會(huì)把用戶(hù)跟服務(wù)端完全隔離開(kāi),。
保護(hù)客戶(hù)端的時(shí)候,,默認(rèn)所有網(wǎng)站都是存在威脅的,需要一種技術(shù)把網(wǎng)站內(nèi)容跟客戶(hù)端隔離開(kāi),。如果不隔離的話,,互聯(lián)網(wǎng)上的病毒木馬等威脅很容易入侵用戶(hù)電腦,造成數(shù)據(jù)丟失或賬號(hào)竊取,。
零信任的標(biāo)準(zhǔn)白皮書(shū)中,,沒(méi)有詳細(xì)描述過(guò)客戶(hù)端的隔離技術(shù)。不過(guò),,實(shí)際市場(chǎng)上,,已經(jīng)存在解決方案。
目前,,很多國(guó)外零信任廠商都在采用RBI技術(shù)(遠(yuǎn)程瀏覽器隔離)來(lái)解決客戶(hù)端的安全問(wèn)題,。其中,最著名的Zscaler公司就通過(guò)收購(gòu)Appsolate公司,,在自己的零信任接入方案中融入了RBI技術(shù),。
2、什么是RBI技術(shù)
RBI的全稱(chēng)是Remote Browser Isolation,,即遠(yuǎn)程瀏覽器隔離,。簡(jiǎn)單來(lái)說(shuō),就是用戶(hù)不使用本地的瀏覽器直接上網(wǎng),,而是連接到一個(gè)遠(yuǎn)程服務(wù)器上,,用服務(wù)器上的“遠(yuǎn)程瀏覽器”上網(wǎng)。全程數(shù)據(jù)只落在遠(yuǎn)程服務(wù)器上,,不落在本地,。
( 1 ) 當(dāng)用戶(hù)訪問(wèn)網(wǎng)頁(yè)時(shí),RBI服務(wù)器上會(huì)創(chuàng)建一個(gè)遠(yuǎn)程瀏覽器會(huì)話,。
?。?2 ) 本地的交互操作同步到遠(yuǎn)程瀏覽器
( 3 ) 打開(kāi)的網(wǎng)頁(yè)代碼在遠(yuǎn)程瀏覽器中加載,,傳給用戶(hù)本地的只有“影像”,網(wǎng)頁(yè)內(nèi)容不實(shí)際下載到本地,。
因此,,即使網(wǎng)頁(yè)中存在惡意代碼,也攻擊不到用戶(hù),。這徹底消除了用戶(hù)受攻擊的可能性,。
此外,RBI還有一個(gè)好處——數(shù)據(jù)防泄密,。企業(yè)的敏感數(shù)據(jù)也只能存在于遠(yuǎn)程瀏覽器上,,無(wú)法下載到本地。
3,、RBI與其他技術(shù)的對(duì)比
?。?1 ) VDI虛擬桌面
常見(jiàn)的VDI架構(gòu)包括客戶(hù)端和服務(wù)端兩部分。用戶(hù)實(shí)際上操作的是VDI服務(wù)端上的虛擬桌面,,VDI客戶(hù)端收到的只是服務(wù)端傳回來(lái)的影像,。
RBI與VDI相比,功能不同,,各有適用的場(chǎng)景,。RBI只支持遠(yuǎn)程瀏覽器操作,更輕量級(jí),。而VDI是基于整個(gè)操作系統(tǒng)桌面的,,支持遠(yuǎn)程操作各種桌面應(yīng)用程序。
從安全性上看,,VDI和RBI區(qū)別并不太大,。兩者最主要的區(qū)別是成本和體驗(yàn)。
從成本角度看,,VDI一般需要給每個(gè)用戶(hù)配一臺(tái)專(zhuān)用的瘦終端硬件,,而RBI是基于web的,用戶(hù)不用裝客戶(hù)端,。另外,,RBI方案常常是基于云提供的,成本和維護(hù)壓力都小很多,。
從用戶(hù)體驗(yàn)看,,RBI不受設(shè)備限制,用戶(hù)可以用自己的電腦或者iPad訪問(wèn),,使用起來(lái)更便捷,。
?。?2 ) 本地沙箱
本地沙箱產(chǎn)品一般包括客戶(hù)端和網(wǎng)關(guān)兩部分。網(wǎng)關(guān)負(fù)責(zé)過(guò)濾客戶(hù)端的請(qǐng)求,,只允許用戶(hù)下載有授權(quán)的文件,。客戶(hù)端會(huì)在用戶(hù)電腦上建立一個(gè)虛擬的安全區(qū),。用戶(hù)只能把公司的敏感文件下載到安全區(qū)里,。
安全區(qū)相當(dāng)于一個(gè)受管控的運(yùn)行環(huán)境。用戶(hù)可以在本地編輯安全區(qū)中的文件,,但無(wú)法右鍵復(fù)制文件內(nèi)容,,或者另存到電腦的其他目錄下。
從安全性上看,,本地沙箱產(chǎn)品本質(zhì)上還是會(huì)把文件落在用戶(hù)電腦上,,雖說(shuō)會(huì)加密,但是還是存在一定的被竊取的可能,。
從成本角度看,,本地沙箱需要給用戶(hù)安裝一個(gè)客戶(hù)端軟件,比RBI重,,但比VDI輕,。
從用戶(hù)體驗(yàn)看,本地沙箱是有一定的用戶(hù)學(xué)習(xí)成本的,,安全區(qū)的操作比較復(fù)雜,,跟平時(shí)正常使用電腦是存在差別的。
另外,,本地沙箱一般是用虛擬化技術(shù)實(shí)現(xiàn)的,,會(huì)占用較高的CPU和內(nèi)存,對(duì)用戶(hù)電腦配置有一定要求,。
?。?3 ) 各種技術(shù)適合的場(chǎng)景和人群
VDI需要使用指定的瘦終端,RBI和本地沙箱可以使用用戶(hù)自帶設(shè)備,。所以,,像“呼叫中心”這類(lèi)對(duì)電腦要求不高的場(chǎng)景,比較適合VDI,。像“程序員,、學(xué)者”這類(lèi)對(duì)電腦要求比較高的辦公場(chǎng)景更適合RBI和本地沙箱。
RBI只支持web應(yīng)用,,本地沙箱支持c/s架構(gòu)的應(yīng)用,。所以程序員寫(xiě)代碼,代碼防泄密這種場(chǎng)景,更適合用本地沙箱,。其他的輕度日常辦公場(chǎng)景,,如在網(wǎng)站系統(tǒng)里辦理業(yè)務(wù),在線編輯文檔等等場(chǎng)景更適合用RBI,。
由于RBI不需要本地安裝任何軟件,,對(duì)于兼職人員、外包人員,、第三方人員這些變動(dòng)比較大的人來(lái)說(shuō),,RBI更靈活,更方便,。
另外,有些不讓上網(wǎng)的單位,,可以考慮用RBI技術(shù),,保證合規(guī)性的同時(shí),允許員工在遠(yuǎn)程隔離環(huán)境下上網(wǎng),。幫助員工更好地完成工作和開(kāi)展業(yè)務(wù),。
4、RBI技術(shù)的價(jià)值
RBI技術(shù)的價(jià)值就是——不讓好的內(nèi)容流出去,,不讓壞的內(nèi)容流進(jìn)來(lái),。
之所以會(huì)產(chǎn)生數(shù)據(jù)泄密,中病毒等問(wèn)題,,都是因?yàn)閣eb上的內(nèi)容能落到終端設(shè)備上,。RBI技術(shù)把用戶(hù)跟web內(nèi)容隔離開(kāi),用戶(hù)接觸不到web內(nèi)容,,就保證了用戶(hù)無(wú)法泄密,,病毒也無(wú)法進(jìn)入用戶(hù)設(shè)備。
5,、RBI屏蔽互聯(lián)網(wǎng)威脅
?。?1 ) 威脅
根據(jù)Gartner的調(diào)研,對(duì)用戶(hù)及用戶(hù)所在的企業(yè)網(wǎng)絡(luò)的“成功攻擊”幾乎都源自公共互聯(lián)網(wǎng),,并且許多攻擊都是基于Web的,。
只要用戶(hù)訪問(wèn)了受感染的網(wǎng)站,惡意代碼就可以通過(guò)瀏覽器進(jìn)行攻擊,。惡意網(wǎng)站,、釣魚(yú)網(wǎng)站提供惡意廣告,用戶(hù)點(diǎn)擊誘餌就會(huì)下發(fā)惡意內(nèi)容,、瀏覽器木馬等等,。只要瀏覽器連接到惡意站點(diǎn),就會(huì)為網(wǎng)絡(luò)犯罪分子打開(kāi)通向用戶(hù)設(shè)備以及企業(yè)網(wǎng)絡(luò)的大門(mén)。
沒(méi)打補(bǔ)丁的瀏覽器和插件非常容易受到攻擊,。而且用戶(hù)特別不愛(ài)打補(bǔ)丁升級(jí),,很多漏洞甚至?xí)谝荒曛蟛疟恍迯?fù)。而且現(xiàn)在的勒索病毒總是更新特別快,,補(bǔ)丁防御永遠(yuǎn)不及時(shí),。
( 2 ) 防護(hù)
遠(yuǎn)程瀏覽器把用戶(hù)跟企業(yè)網(wǎng)絡(luò)隔離開(kāi),,即使遠(yuǎn)程瀏覽器中了病毒,,也傳不到用戶(hù)電腦上,沒(méi)法對(duì)用戶(hù)電腦造成損害,。攻擊者沒(méi)有立足點(diǎn),,沒(méi)法橫向攻擊企業(yè)網(wǎng)絡(luò)內(nèi)其他資源。
而且每次遠(yuǎn)程瀏覽器會(huì)話結(jié)束之后,,都會(huì)進(jìn)行重置,,恢復(fù)為已知的良好狀態(tài)。即使中了病毒,,也會(huì)被及時(shí)清除,,消除潛在的威脅。當(dāng)然,,可以保留部分可信網(wǎng)站的cookie和用戶(hù)收藏夾,,以提升用戶(hù)體驗(yàn)。
如果用戶(hù)必須要下載一些文件到本地的話,,文件必須進(jìn)行嚴(yán)格的安全檢測(cè),。
有些廠商的RBI產(chǎn)品中,會(huì)集成CDR技術(shù)(內(nèi)容解除和重建),,保證下載的文件都是安全的,。
CDR技術(shù)會(huì)在文件下載時(shí),去除文件里的不安全的東西,。CDR首先解構(gòu)所有傳入文件,,刪除與文件的類(lèi)型結(jié)構(gòu)規(guī)范不匹配的元素,再重建文件,,保證源文件能正??捎谩?/p>
CDR方法對(duì)文檔特別有效,,如果是其他文件的話,,可以用殺毒軟件進(jìn)行病毒掃描,或者嘗試在網(wǎng)絡(luò)沙箱中引爆惡意軟件,。
舉個(gè)形象的例子,,RBI技術(shù)就像遙控的拆彈機(jī)器人,。讓機(jī)器人打開(kāi)可疑包裹,即使包裹爆炸,,也不會(huì)傷害到遠(yuǎn)處的真人,。
( 3 ) 好處
有了RBI技術(shù)之后,,IT管理員可以采用更開(kāi)放的互聯(lián)網(wǎng)策略,,讓用戶(hù)工作更便捷。即使用戶(hù)訪問(wèn)了一些危險(xiǎn)的web內(nèi)容,,也不會(huì)影響到用戶(hù)設(shè)備和企業(yè)網(wǎng)絡(luò),。
6、RBI數(shù)據(jù)防泄密
?。?1 ) 威脅
企業(yè)常常會(huì)面臨數(shù)據(jù)“最后一公里”的安全問(wèn)題,。數(shù)據(jù)在服務(wù)器上是安全的,在傳輸過(guò)程中是安全的,,但落到用戶(hù)設(shè)備上之后可能會(huì)發(fā)生泄露,。
數(shù)據(jù)是企業(yè)最貴的資產(chǎn),重要的圖紙,、大量客戶(hù)信息如果發(fā)生了泄露,會(huì)造成企業(yè)嚴(yán)重的經(jīng)濟(jì)損失,,甚至?xí)?dǎo)致企業(yè)面臨法律風(fēng)險(xiǎn),。
( 2 ) 防護(hù)
RBI技術(shù)可以做到“文件不落地”,。用戶(hù)在遠(yuǎn)程瀏覽器中下載的文件,,可以限制只能保存在RBI服務(wù)器上,不能存到用戶(hù)電腦上,。
如果搭配了文檔在線編輯技術(shù),,用戶(hù)可以在線打開(kāi)RBI服務(wù)器上下載的文檔,進(jìn)行編輯,。
RBI技術(shù)可以限制文件的上傳,。例如用戶(hù)想通過(guò)郵箱或網(wǎng)盤(pán)把文件傳走,點(diǎn)擊上傳附件的時(shí)候,,系統(tǒng)就會(huì)進(jìn)行攔截,,并彈出報(bào)警。
遠(yuǎn)程瀏覽器上還可以設(shè)置一些瀏覽器策略,,例如把某個(gè)網(wǎng)站設(shè)為只讀模式,,這個(gè)網(wǎng)站就完全禁用復(fù)制、剪切等操作了,。還可以在某個(gè)網(wǎng)站頁(yè)面上增加水印,,防止用戶(hù)拍照,、截圖泄密。
?。?3 ) 好處
RBI技術(shù)可以幫助企業(yè)達(dá)到數(shù)據(jù)防泄密的合規(guī)要求,。一些重要的業(yè)務(wù)系統(tǒng),例如財(cái)務(wù)系統(tǒng),,適合用RBI技術(shù)來(lái)保護(hù),。用戶(hù)完全不能從系統(tǒng)里下載、復(fù)制機(jī)密信息,。
7,、風(fēng)險(xiǎn)措施
( 1 ) RBI技術(shù)的一個(gè)風(fēng)險(xiǎn)點(diǎn)是性能,。網(wǎng)頁(yè)是遠(yuǎn)程呈現(xiàn)的,,因此操作效率受限于網(wǎng)絡(luò)延遲。一個(gè)應(yīng)對(duì)方案是選擇基于云來(lái)提供的RBI服務(wù),。并且云端要部署分散在多個(gè)地理位置的分布式服務(wù)器,,使遠(yuǎn)程瀏覽器盡可能地靠近用戶(hù),以此來(lái)減少延遲,。
?。?2 ) RBI服務(wù)可能會(huì)成為用戶(hù)訪問(wèn)Internet的單點(diǎn)故障,因此RBI服務(wù)必須具備高可用架構(gòu),。
?。?3 ) 如果業(yè)務(wù)系統(tǒng)對(duì)瀏覽器插件有要求的話,需要提前在遠(yuǎn)程瀏覽器上部署相應(yīng)的插件,。
?。?4 ) RBI服務(wù)器很可能是基于Linux的,因此可能無(wú)法兼容IE瀏覽器,,互聯(lián)網(wǎng)上要求必須用IE訪問(wèn)的網(wǎng)站已經(jīng)非常少見(jiàn)了,。不過(guò),企業(yè)內(nèi)的老舊系統(tǒng),,可能需要進(jìn)行兼容適配,。
( 5 ) Web網(wǎng)站無(wú)法獲取用戶(hù)的位置,,只能獲取RBI服務(wù)器的位置,。
( 6 ) 有些遠(yuǎn)程瀏覽器可能無(wú)法訪問(wèn)用戶(hù)本地的麥克風(fēng)和攝像頭,,遠(yuǎn)程會(huì)議可能會(huì)受到影響,。
8、總結(jié)
遠(yuǎn)程瀏覽器產(chǎn)品尚處于萌芽狀態(tài),,當(dāng)今企業(yè)采用率還不到1%,。不過(guò)不少零信任廠商已經(jīng)開(kāi)始收購(gòu)或自己開(kāi)發(fā)這種技術(shù),。相信未來(lái)RBI技術(shù)一定會(huì)成為零信任架構(gòu)的必備組件。
現(xiàn)階段企業(yè)可以考慮優(yōu)先將高風(fēng)險(xiǎn)場(chǎng)景納入RBI技術(shù)的保護(hù),,打造零信任的終端安全閉環(huán),。