最新消息
[iThome報導]【兼顧操作與控管的安全上網機制】遠端瀏覽器解決方案大評析:操作體驗篇
[iThome技術編輯周峻佑 撰]
透過遠端瀏覽器提供的隔離上網系統,訴求能讓使用者執行本機慣用的瀏覽器軟體,就能得到防護,而無需複雜的設定,而實際上如何達成,我們來一探究竟。
面臨變化多端、潛伏在網頁中的威脅,有別於現有的上網防護措施,改用在遠端瀏覽器隔離執行的方式,同時避免可能埋藏其中的惡意內容,直接影響到使用者的電腦,甚至是成為攻擊者進入到企業內部環境的滲透點。隨著容器技術的成熟,採用執行完即刪除的容器,提供遠端載入網頁,再傳送畫面到使用者電腦上的防護機制,也開始有廠商推出相關產品。
單純就廣義的遠端瀏覽器隔離機制(Remote Browser Isolation,RBI),做法其實相當多元。然而,目前新興的機制,則是透過容器的技術,做為實際載入網頁的環境,而且,使用者執行結束之後,系統便直接將這些容器刪除,避免可能留存在容器環境中的有害內容,橫向擴散波及企業其他的設施。
而對於用戶端的操作體驗,也是這種做法訴求的重點之一。主要的目的,就是盡可能不影響使用者原先的上網方式,其中,最為重要的便是讓用戶執行原本慣用的瀏覽器軟體,不需更換成管理者提供的專用瀏覽器,或是登錄到另外一個桌面環境上網。
因此,近期多家廠商推出以上述提到的動態容器,執行網頁內容的上網隔離措施,成為了受到關注的焦點。
目前提供這種能夠集中控管,採取執行完便刪除的容器,載入網頁內容的系統,相關的產品並不多,在臺灣能夠取得的解決方案,主要包含了由漢領國際代理的Ericom Shield、達友科技代理的Menlo Security Isolation Platform,以及Symantec買下Fireglass後,推出的Web Isolation等3款產品。
透過遠端瀏覽器執行保護端點電腦
在這種透過遠端載入網頁的做法中,實際網頁的程式碼下載、執行,以及頁面的渲染,都是在防護系統裡執行,再將畫面以HTML5的語法,傳送到端點電腦的瀏覽器分頁上,若是網頁中含有惡意內容,不致直接影響這些接收畫面的電腦。(圖片來源/Symantec)
操作體驗1:只要使用原來慣用的瀏覽器軟體,就能得到上網防護
上述的新興解決方案,都標榜使用者可執行原有的瀏覽器,網頁的存取、載入,都是由遠端容器環境中的瀏覽器處理,電腦上的瀏覽器便是透過HTML5標準的語法,接收來自遠端環境執行的所得到的畫面,因此,用戶端使用的網頁瀏覽器,只要支援上述的標準就能執行,但瀏覽器版本若是太舊,可能就無法採用這種防護系統。
不過,以現在市面上常見的瀏覽器而言,支援HTML5可說是行之有年,大部分的網站中,也廣泛應用這種標準的語法,或是其中涵蓋的CSS3樣式表等,因此,無論是使用者端還是網站的部分,HTML5都是相當成熟的標準,反過來說,若是執行不支援這種標準的舊版瀏覽器,上網可說是處處碰壁,根本無法正常瀏覽。若是企業採用了遠端瀏覽器隔離系統,來強化員工上網的安全,一般而言,不致產生用戶端的瀏覽器軟體相容性問題。
前端電腦只要設定代理伺服器
基本上,使用者若要取得RBI這種防護機制,基本上不需要安裝額外的軟體,上網前唯一要做的準備,就是設定由系統提供的代理伺服器(Proxy)。
而實際在企業中的做法,便可能透過像是群組管理原則(GPO)的方式,遠端派送代理伺服器的設定,要求使用者都要透過遠端瀏覽器隔離系統,並經由帳號與密碼的身分驗證之後,才能存取網際網路上的內容。但除此之外,無論是網頁上內容的呈現,還是畫面中的各種功能,基本上,都與一般上網沒有差異,以我們實際測試前述多家產品的經驗,幾乎沒有遇到網頁排版的內容變形,或是網頁無法使用的情況。
在套用這種防護機制做法上,除了利用代理伺服器之外,其中,Menlo安全隔離存取平臺上,便額外提供了不需修改網路設定的方法,使用者便能在無法修改電腦代理伺服器設定時,藉此得到同樣的上網防護。具體的做法,便是使用者要連線到系統指定的網頁,依據頁面上的內容,通過身分驗證後,輸入想要存取的網址,就能透過Menlo的平臺執行頁面載入,算是較為特別的做法。
無法相容早期版本瀏覽器軟體
基本上,除非使用者執行非常早期的瀏覽器版本,不然幾乎都能搭配遠端瀏覽器隔離系統,並受到保護。以微軟的IE瀏覽器來說,他們在2011年推出的第9版上,首度正式支援RBI系統中,所列為基本需求的HTML5標準,這款瀏覽器推出的時間,距離現在已經長達了7年之久。這段期間,無論是各主流瀏覽器HTML5的支援程度,還是網站中應用相關語法,都已經行之有年,換言之,執行不支援這種標準的舊款瀏覽器,機會可說是越來越少。
附帶一提,就企業實務上的應用來說,對於仍要延用舊版瀏覽器的情況,由於開發廠商多半已經不再提供相關的漏洞修補,這些瀏覽器軟體可能潛藏著高度風險,因此,企業勢必限制這種軟體可存取的範圍,甚至將它們隔離在特定的區域,以避免這些瀏覽器遭受外部攻擊所帶來的風險。
雖然,遠端瀏覽器隔離系統必須使用HTML5語法,無法直接向下相容這些尚未支援上述標準的瀏覽器,然而就實際的運用上,多數員工不會使用前述的舊版軟體上網,所以,3家提供這種系統的廠商都表示,根據他們的經驗,用戶對於這種相容性的需求,其實並不高。
操作體驗2:可正常瀏覽大部分網頁,高畫質影音串流也能順暢執行
雖然,這種型態的防護系統,著重在提供了上網隔離機制,增加使用者電腦的安全性。因此,推出相關產品的廠商,並不像桌面虛擬化和遠端桌面服務業者,訴求能夠減少頻寬,或是可執行需要大量圖像運算的工作。但是,若是占用了大量的頻寬與系統資源,也會影響端點使用者執行順暢與否,算是相當重要的關鍵因素。
更節省頻寬與端點系統資源
基本上,上網流暢度的疑慮,我們不只經由實際測試,也與廠商確認,無論是Menlo安全隔離平臺,還是Symantec Web Isolation,提供前述產品的2家廠商都表示,使用者需要的網路頻寬,並不會因此大幅增加。達友科技進一步指出,根據他們的資料,透過Menlo平臺上網,電腦端所需的頻寬,介於原來的50%至110%之間。換言之,套用這種機制後,基本上不會消耗更多網路頻寬。
而在我們的實際測試中,也反映出這樣的現象。在播放YouTube影片時,在端點電腦網路連線品質不太好的情況下,我們直接連線到網際網路時,只能播放720P解析度影片,但透過Menlo平臺,同一部影片卻能流暢以1080P播放(該平臺是Menlo建置在日本AWS平臺的RBI服務,所以擁有較大的頻寬)。
由於網頁內容的讀取,都由這種平臺處理完成,電腦端的瀏覽器只負責接收渲染完成的畫面,因此在導入這種防護機制後,理論上,使用者端瀏覽器消耗的資源,也會較直接存取網際網路來得少。而我們實際的測試中,也印證了這樣的情形。以64位元的Firefox 61.02瀏覽器存取Google搜尋首頁時,透過工作管理員,比較記憶體的使用量,結果測試下來,經由Menlo存取時,大約少了5MB至10MB。
可存取電腦端瀏覽器上的書籤
由於企業使用RBI系統後,使用者還是執行自己電腦上的瀏覽器,因此,對於需要使用瀏覽器中的書籤功能,藉此快速存取特定網站,仍能正常運作。
再者,若是使用者利用了瀏覽器儲存網站的帳號和密碼,由於這些設定都在電腦端,理論上仍能使用,對於採用自動登入的網站來說,這樣的防護並不會影響,不過,若是每次開啟瀏覽器後,需要手動輸入登入資料的情況,後續透過RBI存取這種頁面時,很可能只出現了使用者的帳號名稱,而不見得會一併填入已儲存密碼,對於相當仰賴瀏覽器密碼儲存功能的用戶,就會產生影響。
不過,密碼暫存的措施上,RBI系統也提供了彈性,像是Ericom Shield就在管制政策裡,可針對特定網站或是網域,開放或是禁止使用電腦上的Cookie,避免使用者同時在瀏覽器上,以同一組帳號在不同的分頁中,存取多項網站服務時,例如要執行Gmail、Google Docs、YouTube網頁,便能在其中一個分頁驗證完成後,以同樣的身分,在另外2個分頁存取不同服務。
假如使用者在多臺裝置之間,利用了瀏覽器內建的設定同步功能,同樣會因為實際由遠端瀏覽器對外連線,而無法正確連結、執行。
瀏覽器操作方式仍有部分差異
其中,我們這次接觸到的3款上網中,部分產品仍設法改良,企圖維持原有的操作性,例如Menlo藉由名為Adaptive Clientless Rendering的獨家轉譯技術,它仍然能夠維持電腦上,瀏覽器原始右鍵功能,因此,使用者便不需要重新適應遭到更換的選單,也比較不會覺得操作的流程受到影響。
尤其,這類防護系統中,遭到置換的右鍵選項,也往往改以英文顯示,因此,使用者很容易察覺這樣的變化。至於Symantec Web Isolation,雖會以內建在系統的選單,替代瀏覽器原有功能,不過,對於會提供自定選單的網頁,像是Google Docs、Gmail等,這套系統便會以網頁的右鍵選單為主,不會更換。
不過,這種防護系統應用到企業內部時,誠如前言所述,由於以遠端瀏覽器實際執行網頁載入,再將呈現內容以畫面傳送給使用者電腦的做法,網頁內容的讀取都是遠端瀏覽器執行,因此,對於使用者電腦上的瀏覽器軟體操作,還是會造成一定程度的影響。
其中,最大的限制,就是對於需要利用外掛程式(Plug-ins)存取的網站,由於RBI系統容器裡的網頁瀏覽器並不支援,因此無法存取需安裝像是Java、ActiveX,或是Silverlight等外掛軟體的網站,同時,若所要連接的網站應用程式,需運用工商憑證和自然人憑證,也無法透過這種防護措施上網。
儘管,隨著各家的瀏覽器不再支援這些外掛軟體,這種以隔離瀏覽的防護措施,RBI廠商順理成章沒有納入支援。但實際在企業環境中,這些軟體可能仍舊在特定的應用系統上運作,因此實務上,無論是只能使用前述舊版IE瀏覽器執行,還是需要外掛軟體的網站,廠商都是傾向建議在這類系統的主控臺中,設定為例外的方式,略過遠端瀏覽器隔離上網的防護機制。
在瀏覽器的版本與外掛軟體之外,對於RBI終端使用者最為顯著的變化,應該是套用這種防護系統後,電腦上瀏覽器的右鍵選單,便可能遭到系統替換,只剩下基本的常用功能,像是上一頁、下一頁,重新讀取網頁等項目,而非本機瀏覽器上原來的功能。而且,這樣的變化,也可能會影響到使用者已經安裝的瀏覽器擴充套件(Extensions),導致無法100%符合使用者原有習慣。
提供檔案的下載前預覽機制
對於使用者會存放到電腦中的文件或是壓縮檔案,部分RBI系統也提供了線上預覽的機制,可確認是否為需要下載的資料。以圖中為例,使用者需先在左上圖中的Menlo驗證網頁上,輸入密碼,才能開啟右圖的電信單據PDF文件,線上預覽這份文件的內容。
針對使用者下載到企業內部的檔案,RBI提供各式檢測機制
結合檔案無害化的處理措施
針對下載檔案的檢測,Ericom Shield內建Votiro的檔案消毒與重組機制,並能管制各種類型資料的檢查的設定。而在較新的版本中,這款軟體多了Vendor選項,企業可改用Check Point的解決方案。
採取4層檢測機制
對於檢查使用者下載的檔案內容,Menlo隔離上網系統總共提供了4種關卡,從初步的檔案雜湊值比對、防毒引擎掃描,到使用雲端沙箱,若是企業已經部署了Palo Alto WildFire沙箱,這套系統也可將檔案交給內部沙箱設備,再次觸發。
支援與多種檢測系統搭配
在Symantec Web Isolation裡,對於使用者下載檔案的檢測機制,包含了自家的防護功能外,能夠搭配的惡意軟體偵測系統選項,也是3款產品中最多,且同時涵蓋了防毒引擎、沙箱、內容無害化等類型,並可接收Google Safe Browsing的威脅情資。