《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 【零信任】零信任的终端安全闭环

【零信任】零信任的终端安全闭环

2020-11-17
作者:冀托
来源: 白话零信任
关键词: 零信任 安全闭环

  1、客户端的零信任防护技术

  零信任理念有一个基本假设——威胁是始终存在的。所以,在零信任架构中,没有默认的信任。任何东西都默认存在威胁,在经过持续验证,达到一定可信等级前,不能接触企业资源。

  零信任架构在保护服务端和保护客户端的时候,都遵守这个原则。

  保护服务端的时候,默认所有用户都是存在威胁的,零信任网关会把用户跟服务端完全隔离开。

  保护客户端的时候,默认所有网站都是存在威胁的,需要一种技术把网站内容跟客户端隔离开。如果不隔离的话,互联网上的病毒木马等威胁很容易入侵用户电脑,造成数据丢失或账号窃取。

  零信任的标准白皮书中,没有详细描述过客户端的隔离技术。不过,实际市场上,已经存在解决方案。

  目前,很多国外零信任厂商都在采用RBI技术(远程浏览器隔离)来解决客户端的安全问题。其中,最著名的Zscaler公司就通过收购Appsolate公司,在自己的零信任接入方案中融入了RBI技术。

微信图片_20201117155317.png

  2、什么是RBI技术

  RBI的全称是Remote Browser Isolation,即远程浏览器隔离。简单来说,就是用户不使用本地的浏览器直接上网,而是连接到一个远程服务器上,用服务器上的“远程浏览器”上网。全程数据只落在远程服务器上,不落在本地。

微信图片_20201117155320.png

  ( 1 ) 当用户访问网页时,RBI服务器上会创建一个远程浏览器会话。

  ( 2 ) 本地的交互操作同步到远程浏览器

  ( 3 ) 打开的网页代码在远程浏览器中加载,传给用户本地的只有“影像”,网页内容不实际下载到本地。

  因此,即使网页中存在恶意代码,也攻击不到用户。这彻底消除了用户受攻击的可能性。

  此外,RBI还有一个好处——数据防泄密。企业的敏感数据也只能存在于远程浏览器上,无法下载到本地。

  3、RBI与其他技术的对比

  ( 1 ) VDI虚拟桌面

  常见的VDI架构包括客户端和服务端两部分。用户实际上操作的是VDI服务端上的虚拟桌面,VDI客户端收到的只是服务端传回来的影像。

微信图片_20201117160927.jpg

  RBI与VDI相比,功能不同,各有适用的场景。RBI只支持远程浏览器操作,更轻量级。而VDI是基于整个操作系统桌面的,支持远程操作各种桌面应用程序。

  从安全性上看,VDI和RBI区别并不太大。两者最主要的区别是成本和体验。

  从成本角度看,VDI一般需要给每个用户配一台专用的瘦终端硬件,而RBI是基于web的,用户不用装客户端。另外,RBI方案常常是基于云提供的,成本和维护压力都小很多。

  从用户体验看,RBI不受设备限制,用户可以用自己的电脑或者iPad访问,使用起来更便捷。

  ( 2 ) 本地沙箱

  本地沙箱产品一般包括客户端和网关两部分。网关负责过滤客户端的请求,只允许用户下载有授权的文件。客户端会在用户电脑上建立一个虚拟的安全区。用户只能把公司的敏感文件下载到安全区里。

  安全区相当于一个受管控的运行环境。用户可以在本地编辑安全区中的文件,但无法右键复制文件内容,或者另存到电脑的其他目录下。

微信图片_20201117155335.png

  从安全性上看,本地沙箱产品本质上还是会把文件落在用户电脑上,虽说会加密,但是还是存在一定的被窃取的可能。

  从成本角度看,本地沙箱需要给用户安装一个客户端软件,比RBI重,但比VDI轻。

  从用户体验看,本地沙箱是有一定的用户学习成本的,安全区的操作比较复杂,跟平时正常使用电脑是存在差别的。

  另外,本地沙箱一般是用虚拟化技术实现的,会占用较高的CPU和内存,对用户电脑配置有一定要求。

  ( 3 ) 各种技术适合的场景和人群

  VDI需要使用指定的瘦终端,RBI和本地沙箱可以使用用户自带设备。所以,像“呼叫中心”这类对电脑要求不高的场景,比较适合VDI。像“程序员、学者”这类对电脑要求比较高的办公场景更适合RBI和本地沙箱。

  RBI只支持web应用,本地沙箱支持c/s架构的应用。所以程序员写代码,代码防泄密这种场景,更适合用本地沙箱。其他的轻度日常办公场景,如在网站系统里办理业务,在线编辑文档等等场景更适合用RBI。

  由于RBI不需要本地安装任何软件,对于兼职人员、外包人员、第三方人员这些变动比较大的人来说,RBI更灵活,更方便。

  另外,有些不让上网的单位,可以考虑用RBI技术,保证合规性的同时,允许员工在远程隔离环境下上网。帮助员工更好地完成工作和开展业务。

微信图片_20201117155338.png

  4、RBI技术的价值

  RBI技术的价值就是——不让好的内容流出去,不让坏的内容流进来。

  之所以会产生数据泄密,中病毒等问题,都是因为web上的内容能落到终端设备上。RBI技术把用户跟web内容隔离开,用户接触不到web内容,就保证了用户无法泄密,病毒也无法进入用户设备。

微信图片_20201117155340.png

  5、RBI屏蔽互联网威胁

  ( 1 ) 威胁

  根据Gartner的调研,对用户及用户所在的企业网络的“成功攻击”几乎都源自公共互联网,并且许多攻击都是基于Web的。

  只要用户访问了受感染的网站,恶意代码就可以通过浏览器进行攻击。恶意网站、钓鱼网站提供恶意广告,用户点击诱饵就会下发恶意内容、浏览器木马等等。只要浏览器连接到恶意站点,就会为网络犯罪分子打开通向用户设备以及企业网络的大门。

  没打补丁的浏览器和插件非常容易受到攻击。而且用户特别不爱打补丁升级,很多漏洞甚至会在一年之后才被修复。而且现在的勒索病毒总是更新特别快,补丁防御永远不及时。

  ( 2 ) 防护

  远程浏览器把用户跟企业网络隔离开,即使远程浏览器中了病毒,也传不到用户电脑上,没法对用户电脑造成损害。攻击者没有立足点,没法横向攻击企业网络内其他资源。

  而且每次远程浏览器会话结束之后,都会进行重置,恢复为已知的良好状态。即使中了病毒,也会被及时清除,消除潜在的威胁。当然,可以保留部分可信网站的cookie和用户收藏夹,以提升用户体验。

微信图片_20201117155344.png

  如果用户必须要下载一些文件到本地的话,文件必须进行严格的安全检测。

  有些厂商的RBI产品中,会集成CDR技术(内容解除和重建),保证下载的文件都是安全的。

  CDR技术会在文件下载时,去除文件里的不安全的东西。CDR首先解构所有传入文件,删除与文件的类型结构规范不匹配的元素,再重建文件,保证源文件能正常可用。

  CDR方法对文档特别有效,如果是其他文件的话,可以用杀毒软件进行病毒扫描,或者尝试在网络沙箱中引爆恶意软件。

  举个形象的例子,RBI技术就像遥控的拆弹机器人。让机器人打开可疑包裹,即使包裹爆炸,也不会伤害到远处的真人。

微信图片_20201117155346.jpg

  ( 3 ) 好处

  有了RBI技术之后,IT管理员可以采用更开放的互联网策略,让用户工作更便捷。即使用户访问了一些危险的web内容,也不会影响到用户设备和企业网络。

  6、RBI数据防泄密

  ( 1 ) 威胁

  企业常常会面临数据“最后一公里”的安全问题。数据在服务器上是安全的,在传输过程中是安全的,但落到用户设备上之后可能会发生泄露。

  数据是企业最贵的资产,重要的图纸、大量客户信息如果发生了泄露,会造成企业严重的经济损失,甚至会导致企业面临法律风险。

  ( 2 ) 防护

  RBI技术可以做到“文件不落地”。用户在远程浏览器中下载的文件,可以限制只能保存在RBI服务器上,不能存到用户电脑上。

  如果搭配了文档在线编辑技术,用户可以在线打开RBI服务器上下载的文档,进行编辑。

微信图片_20201117155349.png

  RBI技术可以限制文件的上传。例如用户想通过邮箱或网盘把文件传走,点击上传附件的时候,系统就会进行拦截,并弹出报警。

微信图片_20201117155351.png

  远程浏览器上还可以设置一些浏览器策略,例如把某个网站设为只读模式,这个网站就完全禁用复制、剪切等操作了。还可以在某个网站页面上增加水印,防止用户拍照、截图泄密。

微信图片_20201117155354.jpg

  ( 3 ) 好处

  RBI技术可以帮助企业达到数据防泄密的合规要求。一些重要的业务系统,例如财务系统,适合用RBI技术来保护。用户完全不能从系统里下载、复制机密信息。

  7、风险措施

  ( 1 ) RBI技术的一个风险点是性能。网页是远程呈现的,因此操作效率受限于网络延迟。一个应对方案是选择基于云来提供的RBI服务。并且云端要部署分散在多个地理位置的分布式服务器,使远程浏览器尽可能地靠近用户,以此来减少延迟。

  ( 2 ) RBI服务可能会成为用户访问Internet的单点故障,因此RBI服务必须具备高可用架构。

  ( 3 ) 如果业务系统对浏览器插件有要求的话,需要提前在远程浏览器上部署相应的插件。

  ( 4 ) RBI服务器很可能是基于Linux的,因此可能无法兼容IE浏览器,互联网上要求必须用IE访问的网站已经非常少见了。不过,企业内的老旧系统,可能需要进行兼容适配。

  ( 5 ) Web网站无法获取用户的位置,只能获取RBI服务器的位置。

  ( 6 ) 有些远程浏览器可能无法访问用户本地的麦克风和摄像头,远程会议可能会受到影响。

  8、总结

  远程浏览器产品尚处于萌芽状态,当今企业采用率还不到1%。不过不少零信任厂商已经开始收购或自己开发这种技术。相信未来RBI技术一定会成为零信任架构的必备组件。

  现阶段企业可以考虑优先将高风险场景纳入RBI技术的保护,打造零信任的终端安全闭环

  

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。