您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
零信任的終端安全閉環(huán)
1、客戶端的零信任防護技術(shù)
零信任理念有一個基本假設(shè)——威脅是始終存在的。所以,在零信任架構(gòu)中,沒有默認(rèn)的信任。任何東西都默認(rèn)存在威脅,在經(jīng)過持續(xù)驗證,達到一定可信等級前,不能接觸企業(yè)資源。
零信任架構(gòu)在保護服務(wù)端和保護客戶端的時候,都遵守這個原則。
保護服務(wù)端的時候,默認(rèn)所有用戶都是存在威脅的,零信任網(wǎng)關(guān)會把用戶跟服務(wù)端完全隔離開。
保護客戶端的時候,默認(rèn)所有網(wǎng)站都是存在威脅的,需要一種技術(shù)把網(wǎng)站內(nèi)容跟客戶端隔離開。如果不隔離的話,互聯(lián)網(wǎng)上的病毒木馬等威脅很容易入侵用戶電腦,造成數(shù)據(jù)丟失或賬號竊取。
零信任的標(biāo)準(zhǔn)白皮書中,沒有詳細(xì)描述過客戶端的隔離技術(shù)。不過,實際市場上,已經(jīng)存在解決方案。
目前,很多國外零信任廠商都在采用RBI技術(shù)(遠(yuǎn)程瀏覽器隔離)來解決客戶端的安全問題。其中,最著名的Zscaler公司就通過收購Appsolate公司,在自己的零信任接入方案中融入了RBI技術(shù)。
2、什么是RBI技術(shù)
RBI的全稱是Remote Browser Isolation,即遠(yuǎn)程瀏覽器隔離。簡單來說,就是用戶不使用本地的瀏覽器直接上網(wǎng),而是連接到一個遠(yuǎn)程服務(wù)器上,用服務(wù)器上的“遠(yuǎn)程瀏覽器”上網(wǎng)。全程數(shù)據(jù)只落在遠(yuǎn)程服務(wù)器上,不落在本地。
(1)當(dāng)用戶訪問網(wǎng)頁時,RBI服務(wù)器上會創(chuàng)建一個遠(yuǎn)程瀏覽器會話。
(2)本地的交互操作同步到遠(yuǎn)程瀏覽器
(3)打開的網(wǎng)頁代碼在遠(yuǎn)程瀏覽器中加載,傳給用戶本地的只有“影像”,網(wǎng)頁內(nèi)容不實際下載到本地。
因此,即使網(wǎng)頁中存在惡意代碼,也攻擊不到用戶。這徹底消除了用戶受攻擊的可能性。
此外,RBI還有一個好處——數(shù)據(jù)防泄密。企業(yè)的敏感數(shù)據(jù)也只能存在于遠(yuǎn)程瀏覽器上,無法下載到本地。
3、RBI與其他技術(shù)的對比
(1)VDI虛擬桌面
常見的VDI架構(gòu)包括客戶端和服務(wù)端兩部分。用戶實際上操作的是VDI服務(wù)端上的虛擬桌面,VDI客戶端收到的只是服務(wù)端傳回來的影像。
RBI與VDI相比,功能不同,各有適用的場景。RBI只支持遠(yuǎn)程瀏覽器操作,更輕量級。而VDI是基于整個操作系統(tǒng)桌面的,支持遠(yuǎn)程操作各種桌面應(yīng)用程序。
從安全性上看,VDI和RBI區(qū)別并不太大。兩者最主要的區(qū)別是成本和體驗。
從成本角度看,VDI一般需要給每個用戶配一臺專用的瘦終端硬件,而RBI是基于web的,用戶不用裝客戶端。另外,RBI方案常常是基于云提供的,成本和維護壓力都小很多。
從用戶體驗看,RBI不受設(shè)備限制,用戶可以用自己的電腦或者iPad訪問,使用起來更便捷。
(2)本地沙箱
本地沙箱產(chǎn)品一般包括客戶端和網(wǎng)關(guān)兩部分。網(wǎng)關(guān)負(fù)責(zé)過濾客戶端的請求,只允許用戶下載有授權(quán)的文件??蛻舳藭谟脩綦娔X上建立一個虛擬的安全區(qū)。用戶只能把公司的敏感文件下載到安全區(qū)里。
安全區(qū)相當(dāng)于一個受管控的運行環(huán)境。用戶可以在本地編輯安全區(qū)中的文件,但無法右鍵復(fù)制文件內(nèi)容,或者另存到電腦的其他目錄下。
從安全性上看,本地沙箱產(chǎn)品本質(zhì)上還是會把文件落在用戶電腦上,雖說會加密,但是還是存在一定的被竊取的可能。
從成本角度看,本地沙箱需要給用戶安裝一個客戶端軟件,比RBI重,但比VDI輕。
從用戶體驗看,本地沙箱是有一定的用戶學(xué)習(xí)成本的,安全區(qū)的操作比較復(fù)雜,跟平時正常使用電腦是存在差別的。
另外,本地沙箱一般是用虛擬化技術(shù)實現(xiàn)的,會占用較高的CPU和內(nèi)存,對用戶電腦配置有一定要求。
(3)各種技術(shù)適合的場景和人群
VDI需要使用指定的瘦終端,RBI和本地沙箱可以使用用戶自帶設(shè)備。所以,像“呼叫中心”這類對電腦要求不高的場景,比較適合VDI。像“程序員、學(xué)者”這類對電腦要求比較高的辦公場景更適合RBI和本地沙箱。
RBI只支持web應(yīng)用,本地沙箱支持c/s架構(gòu)的應(yīng)用。所以程序員寫代碼,代碼防泄密這種場景,更適合用本地沙箱。其他的輕度日常辦公場景,如在網(wǎng)站系統(tǒng)里辦理業(yè)務(wù),在線編輯文檔等等場景更適合用RBI。
由于RBI不需要本地安裝任何軟件,對于兼職人員、外包人員、第三方人員這些變動比較大的人來說,RBI更靈活,更方便。
另外,有些不讓上網(wǎng)的單位,可以考慮用RBI技術(shù),保證合規(guī)性的同時,允許員工在遠(yuǎn)程隔離環(huán)境下上網(wǎng)。幫助員工更好地完成工作和開展業(yè)務(wù)。
4、RBI技術(shù)的價值
RBI技術(shù)的價值就是——不讓好的內(nèi)容流出去,不讓壞的內(nèi)容流進來。
之所以會產(chǎn)生數(shù)據(jù)泄密,中病毒等問題,都是因為web上的內(nèi)容能落到終端設(shè)備上。RBI技術(shù)把用戶跟web內(nèi)容隔離開,用戶接觸不到web內(nèi)容,就保證了用戶無法泄密,病毒也無法進入用戶設(shè)備。
5、RBI屏蔽互聯(lián)網(wǎng)威脅
(1)威脅
根據(jù)Gartner的調(diào)研,對用戶及用戶所在的企業(yè)網(wǎng)絡(luò)的“成功攻擊”幾乎都源自公共互聯(lián)網(wǎng),并且許多攻擊都是基于Web的。
只要用戶訪問了受感染的網(wǎng)站,惡意代碼就可以通過瀏覽器進行攻擊。惡意網(wǎng)站、釣魚網(wǎng)站提供惡意廣告,用戶點擊誘餌就會下發(fā)惡意內(nèi)容、瀏覽器木馬等等。只要瀏覽器連接到惡意站點,就會為網(wǎng)絡(luò)犯罪分子打開通向用戶設(shè)備以及企業(yè)網(wǎng)絡(luò)的大門。
沒打補丁的瀏覽器和插件非常容易受到攻擊。而且用戶特別不愛打補丁升級,很多漏洞甚至?xí)谝荒曛蟛疟恍迯?fù)。而且現(xiàn)在的勒索病毒總是更新特別快,補丁防御永遠(yuǎn)不及時。
(2)防護
遠(yuǎn)程瀏覽器把用戶跟企業(yè)網(wǎng)絡(luò)隔離開,即使遠(yuǎn)程瀏覽器中了病毒,也傳不到用戶電腦上,沒法對用戶電腦造成損害。攻擊者沒有立足點,沒法橫向攻擊企業(yè)網(wǎng)絡(luò)內(nèi)其他資源。
而且每次遠(yuǎn)程瀏覽器會話結(jié)束之后,都會進行重置,恢復(fù)為已知的良好狀態(tài)。即使中了病毒,也會被及時清除,消除潛在的威脅。當(dāng)然,可以保留部分可信網(wǎng)站的cookie和用戶收藏夾,以提升用戶體驗。
如果用戶必須要下載一些文件到本地的話,文件必須進行嚴(yán)格的安全檢測。
有些廠商的RBI產(chǎn)品中,會集成CDR技術(shù)(內(nèi)容解除和重建),保證下載的文件都是安全的。
CDR技術(shù)會在文件下載時,去除文件里的不安全的東西。CDR首先解構(gòu)所有傳入文件,刪除與文件的類型結(jié)構(gòu)規(guī)范不匹配的元素,再重建文件,保證源文件能正常可用。
CDR方法對文檔特別有效,如果是其他文件的話,可以用殺毒軟件進行病毒掃描,或者嘗試在網(wǎng)絡(luò)沙箱中引爆惡意軟件。
舉個形象的例子,RBI技術(shù)就像遙控的拆彈機器人。讓機器人打開可疑包裹,即使包裹爆炸,也不會傷害到遠(yuǎn)處的真人。
(3)好處
有了RBI技術(shù)之后,IT管理員可以采用更開放的互聯(lián)網(wǎng)策略,讓用戶工作更便捷。即使用戶訪問了一些危險的web內(nèi)容,也不會影響到用戶設(shè)備和企業(yè)網(wǎng)絡(luò)。
6、RBI數(shù)據(jù)防泄密
(1)威脅
企業(yè)常常會面臨數(shù)據(jù)“最后一公里”的安全問題。數(shù)據(jù)在服務(wù)器上是安全的,在傳輸過程中是安全的,但落到用戶設(shè)備上之后可能會發(fā)生泄露。
數(shù)據(jù)是企業(yè)最貴的資產(chǎn),重要的圖紙、大量客戶信息如果發(fā)生了泄露,會造成企業(yè)嚴(yán)重的經(jīng)濟損失,甚至?xí)?dǎo)致企業(yè)面臨法律風(fēng)險。
(2)防護
RBI技術(shù)可以做到“文件不落地”。用戶在遠(yuǎn)程瀏覽器中下載的文件,可以限制只能保存在RBI服務(wù)器上,不能存到用戶電腦上。
如果搭配了文檔在線編輯技術(shù),用戶可以在線打開RBI服務(wù)器上下載的文檔,進行編輯。
RBI技術(shù)可以限制文件的上傳。例如用戶想通過郵箱或網(wǎng)盤把文件傳走,點擊上傳附件的時候,系統(tǒng)就會進行攔截,并彈出報警。
遠(yuǎn)程瀏覽器上還可以設(shè)置一些瀏覽器策略,例如把某個網(wǎng)站設(shè)為只讀模式,這個網(wǎng)站就完全禁用復(fù)制、剪切等操作了。還可以在某個網(wǎng)站頁面上增加水印,防止用戶拍照、截圖泄密。
(3)好處
RBI技術(shù)可以幫助企業(yè)達到數(shù)據(jù)防泄密的合規(guī)要求。一些重要的業(yè)務(wù)系統(tǒng),例如財務(wù)系統(tǒng),適合用RBI技術(shù)來保護。用戶完全不能從系統(tǒng)里下載、復(fù)制機密信息。
7、風(fēng)險措施
(1)RBI技術(shù)的一個風(fēng)險點是性能。網(wǎng)頁是遠(yuǎn)程呈現(xiàn)的,因此操作效率受限于網(wǎng)絡(luò)延遲。一個應(yīng)對方案是選擇基于云來提供的RBI服務(wù)。并且云端要部署分散在多個地理位置的分布式服務(wù)器,使遠(yuǎn)程瀏覽器盡可能地靠近用戶,以此來減少延遲。
(2)RBI服務(wù)可能會成為用戶訪問Internet的單點故障,因此RBI服務(wù)必須具備高可用架構(gòu)。
(3)如果業(yè)務(wù)系統(tǒng)對瀏覽器插件有要求的話,需要提前在遠(yuǎn)程瀏覽器上部署相應(yīng)的插件。
(4)RBI服務(wù)器很可能是基于Linux的,因此可能無法兼容IE瀏覽器,互聯(lián)網(wǎng)上要求必須用IE訪問的網(wǎng)站已經(jīng)非常少見了。不過,企業(yè)內(nèi)的老舊系統(tǒng),可能需要進行兼容適配。
(5)Web網(wǎng)站無法獲取用戶的位置,只能獲取RBI服務(wù)器的位置。
(6)有些遠(yuǎn)程瀏覽器可能無法訪問用戶本地的麥克風(fēng)和攝像頭,遠(yuǎn)程會議可能會受到影響。
8、總結(jié)
遠(yuǎn)程瀏覽器產(chǎn)品尚處于萌芽狀態(tài),當(dāng)今企業(yè)采用率還不到1%。不過不少零信任廠商已經(jīng)開始收購或自己開發(fā)這種技術(shù)。相信未來RBI技術(shù)一定會成為零信任架構(gòu)的必備組件。
現(xiàn)階段企業(yè)可以考慮優(yōu)先將高風(fēng)險場景納入RBI技術(shù)的保護,打造零信任的終端安全閉環(huán)。(來源:白話零信任)