【零信任】零信任的终端安全闭环
2020-11-17
作者:冀托
来源: 白话零信任
1、客户端的零信任防护技术
零信任理念有一个基本假设——威胁是始终存在的。所以,在零信任架构中,没有默认的信任。任何东西都默认存在威胁,在经过持续验证,达到一定可信等级前,不能接触企业资源。
零信任架构在保护服务端和保护客户端的时候,都遵守这个原则。
保护服务端的时候,默认所有用户都是存在威胁的,零信任网关会把用户跟服务端完全隔离开。
保护客户端的时候,默认所有网站都是存在威胁的,需要一种技术把网站内容跟客户端隔离开。如果不隔离的话,互联网上的病毒木马等威胁很容易入侵用户电脑,造成数据丢失或账号窃取。
零信任的标准白皮书中,没有详细描述过客户端的隔离技术。不过,实际市场上,已经存在解决方案。
目前,很多国外零信任厂商都在采用RBI技术(远程浏览器隔离)来解决客户端的安全问题。其中,最著名的Zscaler公司就通过收购Appsolate公司,在自己的零信任接入方案中融入了RBI技术。
2、什么是RBI技术
RBI的全称是Remote Browser Isolation,即远程浏览器隔离。简单来说,就是用户不使用本地的浏览器直接上网,而是连接到一个远程服务器上,用服务器上的“远程浏览器”上网。全程数据只落在远程服务器上,不落在本地。
( 1 ) 当用户访问网页时,RBI服务器上会创建一个远程浏览器会话。
( 2 ) 本地的交互操作同步到远程浏览器
( 3 ) 打开的网页代码在远程浏览器中加载,传给用户本地的只有“影像”,网页内容不实际下载到本地。
因此,即使网页中存在恶意代码,也攻击不到用户。这彻底消除了用户受攻击的可能性。
此外,RBI还有一个好处——数据防泄密。企业的敏感数据也只能存在于远程浏览器上,无法下载到本地。
3、RBI与其他技术的对比
( 1 ) VDI虚拟桌面
常见的VDI架构包括客户端和服务端两部分。用户实际上操作的是VDI服务端上的虚拟桌面,VDI客户端收到的只是服务端传回来的影像。
RBI与VDI相比,功能不同,各有适用的场景。RBI只支持远程浏览器操作,更轻量级。而VDI是基于整个操作系统桌面的,支持远程操作各种桌面应用程序。
从安全性上看,VDI和RBI区别并不太大。两者最主要的区别是成本和体验。
从成本角度看,VDI一般需要给每个用户配一台专用的瘦终端硬件,而RBI是基于web的,用户不用装客户端。另外,RBI方案常常是基于云提供的,成本和维护压力都小很多。
从用户体验看,RBI不受设备限制,用户可以用自己的电脑或者iPad访问,使用起来更便捷。
( 2 ) 本地沙箱
本地沙箱产品一般包括客户端和网关两部分。网关负责过滤客户端的请求,只允许用户下载有授权的文件。客户端会在用户电脑上建立一个虚拟的安全区。用户只能把公司的敏感文件下载到安全区里。
安全区相当于一个受管控的运行环境。用户可以在本地编辑安全区中的文件,但无法右键复制文件内容,或者另存到电脑的其他目录下。
从安全性上看,本地沙箱产品本质上还是会把文件落在用户电脑上,虽说会加密,但是还是存在一定的被窃取的可能。
从成本角度看,本地沙箱需要给用户安装一个客户端软件,比RBI重,但比VDI轻。
从用户体验看,本地沙箱是有一定的用户学习成本的,安全区的操作比较复杂,跟平时正常使用电脑是存在差别的。
另外,本地沙箱一般是用虚拟化技术实现的,会占用较高的CPU和内存,对用户电脑配置有一定要求。
( 3 ) 各种技术适合的场景和人群
VDI需要使用指定的瘦终端,RBI和本地沙箱可以使用用户自带设备。所以,像“呼叫中心”这类对电脑要求不高的场景,比较适合VDI。像“程序员、学者”这类对电脑要求比较高的办公场景更适合RBI和本地沙箱。
RBI只支持web应用,本地沙箱支持c/s架构的应用。所以程序员写代码,代码防泄密这种场景,更适合用本地沙箱。其他的轻度日常办公场景,如在网站系统里办理业务,在线编辑文档等等场景更适合用RBI。
由于RBI不需要本地安装任何软件,对于兼职人员、外包人员、第三方人员这些变动比较大的人来说,RBI更灵活,更方便。
另外,有些不让上网的单位,可以考虑用RBI技术,保证合规性的同时,允许员工在远程隔离环境下上网。帮助员工更好地完成工作和开展业务。
4、RBI技术的价值
RBI技术的价值就是——不让好的内容流出去,不让坏的内容流进来。
之所以会产生数据泄密,中病毒等问题,都是因为web上的内容能落到终端设备上。RBI技术把用户跟web内容隔离开,用户接触不到web内容,就保证了用户无法泄密,病毒也无法进入用户设备。
5、RBI屏蔽互联网威胁
( 1 ) 威胁
根据Gartner的调研,对用户及用户所在的企业网络的“成功攻击”几乎都源自公共互联网,并且许多攻击都是基于Web的。
只要用户访问了受感染的网站,恶意代码就可以通过浏览器进行攻击。恶意网站、钓鱼网站提供恶意广告,用户点击诱饵就会下发恶意内容、浏览器木马等等。只要浏览器连接到恶意站点,就会为网络犯罪分子打开通向用户设备以及企业网络的大门。
没打补丁的浏览器和插件非常容易受到攻击。而且用户特别不爱打补丁升级,很多漏洞甚至会在一年之后才被修复。而且现在的勒索病毒总是更新特别快,补丁防御永远不及时。
( 2 ) 防护
远程浏览器把用户跟企业网络隔离开,即使远程浏览器中了病毒,也传不到用户电脑上,没法对用户电脑造成损害。攻击者没有立足点,没法横向攻击企业网络内其他资源。
而且每次远程浏览器会话结束之后,都会进行重置,恢复为已知的良好状态。即使中了病毒,也会被及时清除,消除潜在的威胁。当然,可以保留部分可信网站的cookie和用户收藏夹,以提升用户体验。
如果用户必须要下载一些文件到本地的话,文件必须进行严格的安全检测。
有些厂商的RBI产品中,会集成CDR技术(内容解除和重建),保证下载的文件都是安全的。
CDR技术会在文件下载时,去除文件里的不安全的东西。CDR首先解构所有传入文件,删除与文件的类型结构规范不匹配的元素,再重建文件,保证源文件能正常可用。
CDR方法对文档特别有效,如果是其他文件的话,可以用杀毒软件进行病毒扫描,或者尝试在网络沙箱中引爆恶意软件。
举个形象的例子,RBI技术就像遥控的拆弹机器人。让机器人打开可疑包裹,即使包裹爆炸,也不会伤害到远处的真人。
( 3 ) 好处
有了RBI技术之后,IT管理员可以采用更开放的互联网策略,让用户工作更便捷。即使用户访问了一些危险的web内容,也不会影响到用户设备和企业网络。
6、RBI数据防泄密
( 1 ) 威胁
企业常常会面临数据“最后一公里”的安全问题。数据在服务器上是安全的,在传输过程中是安全的,但落到用户设备上之后可能会发生泄露。
数据是企业最贵的资产,重要的图纸、大量客户信息如果发生了泄露,会造成企业严重的经济损失,甚至会导致企业面临法律风险。
( 2 ) 防护
RBI技术可以做到“文件不落地”。用户在远程浏览器中下载的文件,可以限制只能保存在RBI服务器上,不能存到用户电脑上。
如果搭配了文档在线编辑技术,用户可以在线打开RBI服务器上下载的文档,进行编辑。
RBI技术可以限制文件的上传。例如用户想通过邮箱或网盘把文件传走,点击上传附件的时候,系统就会进行拦截,并弹出报警。
远程浏览器上还可以设置一些浏览器策略,例如把某个网站设为只读模式,这个网站就完全禁用复制、剪切等操作了。还可以在某个网站页面上增加水印,防止用户拍照、截图泄密。
( 3 ) 好处
RBI技术可以帮助企业达到数据防泄密的合规要求。一些重要的业务系统,例如财务系统,适合用RBI技术来保护。用户完全不能从系统里下载、复制机密信息。
7、风险措施
( 1 ) RBI技术的一个风险点是性能。网页是远程呈现的,因此操作效率受限于网络延迟。一个应对方案是选择基于云来提供的RBI服务。并且云端要部署分散在多个地理位置的分布式服务器,使远程浏览器尽可能地靠近用户,以此来减少延迟。
( 2 ) RBI服务可能会成为用户访问Internet的单点故障,因此RBI服务必须具备高可用架构。
( 3 ) 如果业务系统对浏览器插件有要求的话,需要提前在远程浏览器上部署相应的插件。
( 4 ) RBI服务器很可能是基于Linux的,因此可能无法兼容IE浏览器,互联网上要求必须用IE访问的网站已经非常少见了。不过,企业内的老旧系统,可能需要进行兼容适配。
( 5 ) Web网站无法获取用户的位置,只能获取RBI服务器的位置。
( 6 ) 有些远程浏览器可能无法访问用户本地的麦克风和摄像头,远程会议可能会受到影响。
8、总结
远程浏览器产品尚处于萌芽状态,当今企业采用率还不到1%。不过不少零信任厂商已经开始收购或自己开发这种技术。相信未来RBI技术一定会成为零信任架构的必备组件。
现阶段企业可以考虑优先将高风险场景纳入RBI技术的保护,打造零信任的终端安全闭环。