《電子技術應用》
                                                您所在的位置:首頁 > 通信與網絡 > 業界動態 > 【零信任】零信任的終端安全閉環

                                                【零信任】零信任的終端安全閉環

                                                2020-11-17
                                                作者:冀托
                                                來源: 白話零信任
                                                關鍵詞: 零信任 安全閉環

                                                  1、客戶端的零信任防護技術

                                                  零信任理念有一個基本假設——威脅是始終存在的。所以,在零信任架構中,沒有默認的信任。任何東西都默認存在威脅,在經過持續驗證,達到一定可信等級前,不能接觸企業資源。

                                                  零信任架構在保護服務端和保護客戶端的時候,都遵守這個原則。

                                                  保護服務端的時候,默認所有用戶都是存在威脅的,零信任網關會把用戶跟服務端完全隔離開。

                                                  保護客戶端的時候,默認所有網站都是存在威脅的,需要一種技術把網站內容跟客戶端隔離開。如果不隔離的話,互聯網上的病毒木馬等威脅很容易入侵用戶電腦,造成數據丟失或賬號竊取。

                                                  零信任的標準白皮書中,沒有詳細描述過客戶端的隔離技術。不過,實際市場上,已經存在解決方案。

                                                  目前,很多國外零信任廠商都在采用RBI技術(遠程瀏覽器隔離)來解決客戶端的安全問題。其中,最著名的Zscaler公司就通過收購Appsolate公司,在自己的零信任接入方案中融入了RBI技術。

                                                微信圖片_20201117155317.png

                                                  2、什么是RBI技術

                                                  RBI的全稱是Remote Browser Isolation,即遠程瀏覽器隔離。簡單來說,就是用戶不使用本地的瀏覽器直接上網,而是連接到一個遠程服務器上,用服務器上的“遠程瀏覽器”上網。全程數據只落在遠程服務器上,不落在本地。

                                                微信圖片_20201117155320.png

                                                 ?。?1 ) 當用戶訪問網頁時,RBI服務器上會創建一個遠程瀏覽器會話。

                                                 ?。?2 ) 本地的交互操作同步到遠程瀏覽器

                                                 ?。?3 ) 打開的網頁代碼在遠程瀏覽器中加載,傳給用戶本地的只有“影像”,網頁內容不實際下載到本地。

                                                  因此,即使網頁中存在惡意代碼,也攻擊不到用戶。這徹底消除了用戶受攻擊的可能性。

                                                  此外,RBI還有一個好處——數據防泄密。企業的敏感數據也只能存在于遠程瀏覽器上,無法下載到本地。

                                                  3、RBI與其他技術的對比

                                                 ?。?1 ) VDI虛擬桌面

                                                  常見的VDI架構包括客戶端和服務端兩部分。用戶實際上操作的是VDI服務端上的虛擬桌面,VDI客戶端收到的只是服務端傳回來的影像。

                                                微信圖片_20201117160927.jpg

                                                  RBI與VDI相比,功能不同,各有適用的場景。RBI只支持遠程瀏覽器操作,更輕量級。而VDI是基于整個操作系統桌面的,支持遠程操作各種桌面應用程序。

                                                  從安全性上看,VDI和RBI區別并不太大。兩者最主要的區別是成本和體驗。

                                                  從成本角度看,VDI一般需要給每個用戶配一臺專用的瘦終端硬件,而RBI是基于web的,用戶不用裝客戶端。另外,RBI方案常常是基于云提供的,成本和維護壓力都小很多。

                                                  從用戶體驗看,RBI不受設備限制,用戶可以用自己的電腦或者iPad訪問,使用起來更便捷。

                                                 ?。?2 ) 本地沙箱

                                                  本地沙箱產品一般包括客戶端和網關兩部分。網關負責過濾客戶端的請求,只允許用戶下載有授權的文件??蛻舳藭谟脩綦娔X上建立一個虛擬的安全區。用戶只能把公司的敏感文件下載到安全區里。

                                                  安全區相當于一個受管控的運行環境。用戶可以在本地編輯安全區中的文件,但無法右鍵復制文件內容,或者另存到電腦的其他目錄下。

                                                微信圖片_20201117155335.png

                                                  從安全性上看,本地沙箱產品本質上還是會把文件落在用戶電腦上,雖說會加密,但是還是存在一定的被竊取的可能。

                                                  從成本角度看,本地沙箱需要給用戶安裝一個客戶端軟件,比RBI重,但比VDI輕。

                                                  從用戶體驗看,本地沙箱是有一定的用戶學習成本的,安全區的操作比較復雜,跟平時正常使用電腦是存在差別的。

                                                  另外,本地沙箱一般是用虛擬化技術實現的,會占用較高的CPU和內存,對用戶電腦配置有一定要求。

                                                 ?。?3 ) 各種技術適合的場景和人群

                                                  VDI需要使用指定的瘦終端,RBI和本地沙箱可以使用用戶自帶設備。所以,像“呼叫中心”這類對電腦要求不高的場景,比較適合VDI。像“程序員、學者”這類對電腦要求比較高的辦公場景更適合RBI和本地沙箱。

                                                  RBI只支持web應用,本地沙箱支持c/s架構的應用。所以程序員寫代碼,代碼防泄密這種場景,更適合用本地沙箱。其他的輕度日常辦公場景,如在網站系統里辦理業務,在線編輯文檔等等場景更適合用RBI。

                                                  由于RBI不需要本地安裝任何軟件,對于兼職人員、外包人員、第三方人員這些變動比較大的人來說,RBI更靈活,更方便。

                                                  另外,有些不讓上網的單位,可以考慮用RBI技術,保證合規性的同時,允許員工在遠程隔離環境下上網。幫助員工更好地完成工作和開展業務。

                                                微信圖片_20201117155338.png

                                                  4、RBI技術的價值

                                                  RBI技術的價值就是——不讓好的內容流出去,不讓壞的內容流進來。

                                                  之所以會產生數據泄密,中病毒等問題,都是因為web上的內容能落到終端設備上。RBI技術把用戶跟web內容隔離開,用戶接觸不到web內容,就保證了用戶無法泄密,病毒也無法進入用戶設備。

                                                微信圖片_20201117155340.png

                                                  5、RBI屏蔽互聯網威脅

                                                 ?。?1 ) 威脅

                                                  根據Gartner的調研,對用戶及用戶所在的企業網絡的“成功攻擊”幾乎都源自公共互聯網,并且許多攻擊都是基于Web的。

                                                  只要用戶訪問了受感染的網站,惡意代碼就可以通過瀏覽器進行攻擊。惡意網站、釣魚網站提供惡意廣告,用戶點擊誘餌就會下發惡意內容、瀏覽器木馬等等。只要瀏覽器連接到惡意站點,就會為網絡犯罪分子打開通向用戶設備以及企業網絡的大門。

                                                  沒打補丁的瀏覽器和插件非常容易受到攻擊。而且用戶特別不愛打補丁升級,很多漏洞甚至會在一年之后才被修復。而且現在的勒索病毒總是更新特別快,補丁防御永遠不及時。

                                                 ?。?2 ) 防護

                                                  遠程瀏覽器把用戶跟企業網絡隔離開,即使遠程瀏覽器中了病毒,也傳不到用戶電腦上,沒法對用戶電腦造成損害。攻擊者沒有立足點,沒法橫向攻擊企業網絡內其他資源。

                                                  而且每次遠程瀏覽器會話結束之后,都會進行重置,恢復為已知的良好狀態。即使中了病毒,也會被及時清除,消除潛在的威脅。當然,可以保留部分可信網站的cookie和用戶收藏夾,以提升用戶體驗。

                                                微信圖片_20201117155344.png

                                                  如果用戶必須要下載一些文件到本地的話,文件必須進行嚴格的安全檢測。

                                                  有些廠商的RBI產品中,會集成CDR技術(內容解除和重建),保證下載的文件都是安全的。

                                                  CDR技術會在文件下載時,去除文件里的不安全的東西。CDR首先解構所有傳入文件,刪除與文件的類型結構規范不匹配的元素,再重建文件,保證源文件能正??捎?。

                                                  CDR方法對文檔特別有效,如果是其他文件的話,可以用殺毒軟件進行病毒掃描,或者嘗試在網絡沙箱中引爆惡意軟件。

                                                  舉個形象的例子,RBI技術就像遙控的拆彈機器人。讓機器人打開可疑包裹,即使包裹爆炸,也不會傷害到遠處的真人。

                                                微信圖片_20201117155346.jpg

                                                 ?。?3 ) 好處

                                                  有了RBI技術之后,IT管理員可以采用更開放的互聯網策略,讓用戶工作更便捷。即使用戶訪問了一些危險的web內容,也不會影響到用戶設備和企業網絡。

                                                  6、RBI數據防泄密

                                                 ?。?1 ) 威脅

                                                  企業常常會面臨數據“最后一公里”的安全問題。數據在服務器上是安全的,在傳輸過程中是安全的,但落到用戶設備上之后可能會發生泄露。

                                                  數據是企業最貴的資產,重要的圖紙、大量客戶信息如果發生了泄露,會造成企業嚴重的經濟損失,甚至會導致企業面臨法律風險。

                                                 ?。?2 ) 防護

                                                  RBI技術可以做到“文件不落地”。用戶在遠程瀏覽器中下載的文件,可以限制只能保存在RBI服務器上,不能存到用戶電腦上。

                                                  如果搭配了文檔在線編輯技術,用戶可以在線打開RBI服務器上下載的文檔,進行編輯。

                                                微信圖片_20201117155349.png

                                                  RBI技術可以限制文件的上傳。例如用戶想通過郵箱或網盤把文件傳走,點擊上傳附件的時候,系統就會進行攔截,并彈出報警。

                                                微信圖片_20201117155351.png

                                                  遠程瀏覽器上還可以設置一些瀏覽器策略,例如把某個網站設為只讀模式,這個網站就完全禁用復制、剪切等操作了。還可以在某個網站頁面上增加水印,防止用戶拍照、截圖泄密。

                                                微信圖片_20201117155354.jpg

                                                 ?。?3 ) 好處

                                                  RBI技術可以幫助企業達到數據防泄密的合規要求。一些重要的業務系統,例如財務系統,適合用RBI技術來保護。用戶完全不能從系統里下載、復制機密信息。

                                                  7、風險措施

                                                 ?。?1 ) RBI技術的一個風險點是性能。網頁是遠程呈現的,因此操作效率受限于網絡延遲。一個應對方案是選擇基于云來提供的RBI服務。并且云端要部署分散在多個地理位置的分布式服務器,使遠程瀏覽器盡可能地靠近用戶,以此來減少延遲。

                                                 ?。?2 ) RBI服務可能會成為用戶訪問Internet的單點故障,因此RBI服務必須具備高可用架構。

                                                 ?。?3 ) 如果業務系統對瀏覽器插件有要求的話,需要提前在遠程瀏覽器上部署相應的插件。

                                                 ?。?4 ) RBI服務器很可能是基于Linux的,因此可能無法兼容IE瀏覽器,互聯網上要求必須用IE訪問的網站已經非常少見了。不過,企業內的老舊系統,可能需要進行兼容適配。

                                                 ?。?5 ) Web網站無法獲取用戶的位置,只能獲取RBI服務器的位置。

                                                 ?。?6 ) 有些遠程瀏覽器可能無法訪問用戶本地的麥克風和攝像頭,遠程會議可能會受到影響。

                                                  8、總結

                                                  遠程瀏覽器產品尚處于萌芽狀態,當今企業采用率還不到1%。不過不少零信任廠商已經開始收購或自己開發這種技術。相信未來RBI技術一定會成為零信任架構的必備組件。

                                                  現階段企業可以考慮優先將高風險場景納入RBI技術的保護,打造零信任的終端安全閉環。

                                                  

                                                本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306116;郵箱:aet@chinaaet.com。
                                                亚洲精品少妇30P