在討論到BUFFERZONE的隔離概念時,很多時候免不了會與 Web Page Isolation 一起比較。乍看似乎很相似的兩個技術,其實在細部上有很多地方的不同。雖然本質上這兩個技術都是不依賴資料庫,也不加以判斷威脅的屬性,直接利用完全隔離的方式,隔絕可能造成風險的威脅接觸。但是在詳細的作法上還是有差異的,以下我們討論這彼此之間的差異。
首先看到架構上的設計,雲端或是地端的架構會影響是否需要本地端龐大的伺服器主機。如果選擇雲端架構的 Web Isolation,則就不需要地端的伺服器,但是有影響的是用戶端的瀏覽資料將會傳送至雲端,各有優缺。相對於 BUFFERZONE 則是直接在本機上對應用程式予以隔離處理,所以並不需要龐大的伺服器也不需要透過雲端傳送任何資料。
Web Isolation | BUFFERZONE | |
不需高階運算硬體 | 視情況 | 可 |
資料無須上傳到雲端 | 視情況 | 可 |
無礙原有瀏覽體驗 | 否 | 可 |
(可使用讀卡機/Java) | ||
可防護Webex/ TeamViewer/USB風險 | 否 | 可 |
LINE/Skype下載檔案隔離 | 否 | 可 |
接著比較明顯不一樣的地方就是 Web Isolation 單純的只是針對網頁進行畫面轉譯與隔離,其他非 Web Page 的應用都必須設定白名單予以透通,所以類似讀卡機/Flash/Java/Webex/TeamViewer 之類的運用都是無法控管的,只能設定完全不檢查,直接予以透通到用戶端,否則會造成無法使用。在這一方面,BUFFERZONE 的功能顯然是好很多,不僅Web Page的瀏覽可以完全隔離,另外在讀卡機/Flash/JAVA/Webex/TeamViewer也是可以完全隔離,並不會讓這些程式的運作有破壞本機核心檔案的機會。
另外也是一個現在企業非常頭痛的問題就是USB隨身碟裝置的控管。目前一般而言,企業都會限制在個人電腦上禁止使用USB隨身碟,但是某些狀況下員工不得必須使用USB隨身碟,導致整個申請流程繁瑣也不安全,增加IT人員的工作負擔。利用 BUFFERZONE 的USB裝置控管,我們可以很彈性的允許某些人使用USB隨身碟,而隔離隨身碟所有檔案的操作。也就是說,允許使用,但是皆是在隔離區內。這樣一方面讓員工具有使用USB的彈性,企業也不需要擔心可能導致機密外洩或是內部資料遭到破壞。
最後也是最難以控制的問題就是即時通訊軟體的使用,包含 LINE/SKYPE/WeChat/What’s APP 等在進行檔案傳輸時,企業非常難以控管其中下載的文件與檔案。眾所周知,現在企業的運作離不開即時通訊軟體的使用,其中不僅訊息的溝通,更多的是包含文件與執行檔的散播。在以前並未有一個有效的方式可以控管即時通訊軟體的使用,除了全開或是全關別無他法。有了 BUFFERZONE 的架構,企業就可以放心的讓員工使用IM,並完全隔離所有在IM當中下載的文件與執行檔,就算這些文件與執行檔包含惡意程式,萬一真的被執行,也完全不會影響電腦上隔離區以外的其他檔案。
如需更多詳細資訊,請聯絡數位資安。