浏览器隔离通过将浏览活动限制在安全的远程环境中,保护用户免受不受信任的、潜在的恶意网站以及 Web 内容应用程序的影响。
阅读本文后,您将能够:
复制文章链接
浏览器隔离(也称为远程浏览)是一种网络安全方法,它将互联网浏览活动与本地加载和显示网页的过程分离开来。
通常情况下,网站访问者是直接在本地设备上运行的浏览器中加载网页内容和代码。但从安全角度来说,这使访问者的互联网浏览存在相当大的风险,因为这些内容和代码往往来历不明(例如,云托管和 Web 服务器)。然而,远程浏览器隔离 (RBI),也就是浏览器隔离的基础技术,会在云中加载并执行 Web 内容,而不是本地设备上。
正如机器可以用来监控危险环境,让人类远离伤害一样,远程浏览“外包”了对危险 Web 内容的检测。这样一来,互联网用户(以及他们所连接的网络)就不会受到有风险的网站的影响,此类网站可能携带恶意软件和其他威胁。
业务流程不再主要在企业内部网络中执行。事实上,员工(无论是现场办公、完全远程还是混合型)的大部分时间都用于访问网站和云应用程序(例如电子邮件)以完成工作,他们依赖于 Web 浏览器来完成日常工作。
正如防火墙、VPN 和网络访问控制有助于阻止针对内部网络的攻击一样,浏览器隔离也有助于阻止源自浏览器的攻击。
浏览器隔离是 Zero Trust 安全模型的一个重要组成部分,该模型默认不信任任何连接请求。在这种情况下,将 Zero Trust 原则应用于网页浏览,即意味着它默认不信任设备上运行的任何网站代码。
*Zero-day 漏洞是指利用以前未被发现或未打补丁的漏洞进行的攻击。虽然很少,但 zero-day 漏洞几乎不可能被阻止。
远程浏览器隔离 (RBI) 技术也称为“云托管浏览器隔离”,它可以在云服务器上加载网页并执行相关代码,远离用户的本地设备以及企业的内部网络。在结束网页浏览后会删除用户浏览会话记录,因此,与会话相关的恶意 cookie 或下载内容都会被清除。
RBI 技术可以将不受信任的浏览器活动尽可能地隔离在用户设备和企业网络之外。为此,它通常在 RBI 供应商控制的云服务器上执行用户的 Web 浏览活动。然后,RBI 服务会将输出结果传输到用户的设备上,让用户可以像平常一样与网页进行交互,但实际上无需在本地浏览器和用户设备上加载完整的网页。用户的所有操作,例如点击鼠标、键盘输入或点击表单,都会传输到云服务器,并在那里得到进一步的控制。
远程浏览器隔离服务器可以采用三种方式,将 Web 内容发送到用户设备上:
远程浏览器隔离的常见替代方法包括本地和客户端浏览器隔离:
客户端浏览器隔离会虚拟化浏览器会话;与远程和本地浏览器隔离不同,客户端浏览器隔离是在用户设备上进行。它试图利用虚拟化或沙盒技术,将内容浏览与设备的其他部分分离开来。
虚拟化:虚拟化是将一台计算机划分为独立的虚拟机而不对计算机进行物理改变的过程。这是在称为“虚拟机管理程序”的操作系统下面的一层软件上完成。理论上,在一个虚拟机上发生的事情不应该影响相邻的虚拟机,即使它们在同一设备上也是如此。在用户计算机内一个单独的虚拟机上加载网页,则可保证计算机其他部分的安全。
沙盒:沙盒与虚拟机相似。它是一个独立的、封闭的虚拟环境,可以安全地进行测试。沙盒是一种常见的恶意软件检测技术:许多反恶意软件工具在沙盒中打开并执行潜在的恶意文件,看看它们是做什么的。一些客户端浏览器隔离产品使用沙盒来使 Web 浏览活动安全地包含在沙盒中。
由于客户端浏览器隔离涉及到在用户设备上实际加载潜在的恶意内容,它仍然对用户和网络构成风险。将有害代码与设备进行物理隔离是其他类型的浏览器隔离的核心概念;而客户端浏览器隔离则没有这种隔离。
所有网页和 Web 应用程序都包含 HTML、CSS 和 JavaScript 代码。HTML 和 CSS 都是标记语言,意味着它们只提供格式设置指令,而 JavaScript 则是完整的编程语言。虽然 JavaScript 对于启用多项 Web 应用程序功能非常有用,但它也可能遭到恶意利用。
使用 JavaScript 可以进行多种不同类型的基于浏览器的攻击。一些最常见的攻击示例包括:
其他一些常见的浏览器内攻击(可能涉及或不涉及 JavaScript)包括:
通过在受控环境中隔离浏览器会话,恶意内容和代码将远离用户设备和组织网络。例如,路过式下载攻击对使用浏览器隔离的组织内的用户没有影响。下载将在远程服务器或沙箱中进行,并在浏览会话结束时被销毁。
除了阻止浏览器内攻击,远程浏览器隔离的其他新兴用例还包括:
Zero Trust 模型假设,即使某用户已安全加载某个网站 99 次,在其第 100 次访问该网站时,也可能遭到入侵。如果现实中发生这种情况,浏览器隔离便是一种有效应对方式。
作为 Cloudflare Zero Trust 平台的组成部分,Cloudflare 浏览器隔离将这种“绝不信任”原则应用于互联网网页浏览。Zero Trust 浏览功能可让用户免受不可信的 Web 内容的影响,并保护浏览器交互中的数据免受不可信的用户和设备的影响。
Cloudflare 的远程浏览器隔离 (RBI) 服务运用网络矢量渲染 (NVR) 技术,将安全提取命令流传输到设备,从而确保响应内容与浏览器中的网页兼容,阻止恶意网页代码传输,并最大限度地缩短延迟。Cloudflare 浏览器隔离随附在 Cloudflare One 中,这是一个 SASE 平台,它将网络连接服务与 Zero Trust 安全服务整合在一个专门构建的全球网络上。