隔離技術的最新演進— Remote Browsing勇敢擋在企業與Web攻擊之間

隔離技術並非最新發明,傳統隔離技術如VDI或端點隔離有其缺陷,並不適合大型或成長型企業,最新發展的Remote Browsing上網隔離技術,改變過去傳統隔離技術的缺點,徹底解決企業內外網路相連造成的資安風險。

針對大型與成長型企業所設計的進化隔離方案

在今天日益嚴重的駭客威脅情勢中,攻擊者都可以很輕易的翻越傳統的網路防禦設備,例如利用病毒碼的傳統防毒、網路沙箱、上網閘道器以及防火牆,成功對企業發動攻擊。

最近一期的 Gartner Report 指出,網際網路的駭客組織將會特別攻擊瀏覽器與外掛程式的弱點與漏洞,最終會滲透至終端使用者並癱瘓企業網路。而這一切都只是透過每天日常的瀏覽網站就可以做到。一般估計,八成以上的感染都是利用瀏覽網站達成。[1]
[1] It’s Time to Isolate Your Users From the Internet Cesspool With Remote Browsing, Neil MacDonald, 30 September 2016, G00315285, Gartner Reprint

用隔離阻止威脅傳播

許多企業已經了解利用傳統的資安手段已經不足以阻止Web型態的威脅,紛紛改弦易轍採用隔離技術。所謂的「隔離」就是在使用者與網站之間建立一個「空間間隔」,消除網路威脅觸及或感染使用者裝置的可能性。

雖然隔離是非常有效的防禦技術,但是企業必須了解到每一種隔離技術彼此之間還是有差別的。特別舉兩個最早開發的隔離技術來說明,第一是VDI架構隔離技術,以及由此發展的第二種隔離技術,端點隔離。這兩種技術已經都被證明是無效且不適用在企業環境中。

VDI隔離技術的限制

虛擬桌面架構(Virtual Desktop Infrastructure, VDI)會利用在集中化管理的伺服器中的虛擬機器(Virtual Machine, VM)控制桌面作業系統。終端使用者利用終端機程式連接到這個遠端桌面來進行日常作業,因為VM是隔離環境,所以如果有任何病毒感染則會限制在這個遠端VM中。

但是請注意,VDI從來都不是一個資安解決方案。相反地,它更像是IT解決方案,更著重在於管理桌面環境。企業仍然需要制定並管理限制終端使用者的政策,造成許多終端使用者的不便,更讓使用者越想翻越公司的政策。更重要的是,既然遠端桌面可以存取企業網路,所以只要任何一台遠端桌面遭到惡意程式感染,很容易就散播到整個企業。

更進一步來說,VDI的使用者體驗非常不好。要存取遠端桌面必須透過專用的用戶端程式,而且VDI為人所詬病的就是會有嚴重的畫面延遲,特別是在撥放多媒體的時候。對於許多特別需要效能與生產力的終端使用者來說,這是非常不能接受的。

更不用說VDI的成本遠比想像中的高很多。VDI基本上要買兩套作業系統授權給本地端與遠端的桌面環境使用,還要考慮到VDI硬體建置的連帶成本。而且因為通常終端使用者會在同時間使用許多應用程式,考慮到未來擴充性,光是佈署就需要大量的VDI伺服器設備以及可觀的記憶體容量。

端點隔離的限制

端點隔離,這是隔離技術演化進程的下一個過程;一般來說就是在端點上執行一個VM,然後使用者在這個VM中執行潛在危險的動作,例如瀏覽網站、下載與開啟檔案等。理論上,因為VM完全隔離在主體端點(Host OS)之外,這樣的方法應該可以保護終端使用者避免感染,進一步保護企業。但是實務上,實際的結果跟想像中有一段很大的差距,許多採用這個技術的企業有很多的抱怨。

具體來說,端點隔離並不適合大範圍佈署,原因如下:

  • 佈署與管理的成本很大。必須在每一台端點中安裝軟體,對於具有成千上萬台電腦的大型企業而言,這是不可能任務。
  • 裝置與作業系統的相依性。通常這個技術所採用軟體僅支援特定作業系統、版本或中央處理器等。
  • 嚴格的硬體需求。在同一台電腦中執行另一個虛擬的作業環境需要非常強大的處理器與記憶體,這通常都需要龐大投資。
  • 不及格的使用者體驗。由於資源需求很高,終端使用者通常在抱怨他們的機器變得很慢。另外,許多原本可以使用的應用程式也可能不支援在隔離的VM中作業。

 

Remote Browsing上網隔離全新的進化

上網隔離,有時又被稱為遠端瀏覽器隔離,代表著隔離保護技術的最新進化。透過遠端處理網頁瀏覽作業,只有傳遞100% 安全的使用者瀏覽網頁畫面到用戶端,徹底消除所有來自Web的威脅。更進一步說,上網隔離是代理伺服器 (Proxy) 架構的技術,不需要在端點安裝任何軟體,也不需要任何作業系統層的虛擬化。

只需要最簡單的建置,每個網頁瀏覽作業都是在輕量化的虛擬容器 (Docker Container) 中運作,完全的與作業系統隔離。因為容器內的資訊不可能外洩也不會留存,而且瀏覽作業結束之後,容器都是拋棄式的。所以網頁威脅感染企業內部的可能性趨近於零。此外,文件檔案也可以在遠端主機中檢視,使用者不需要下載到本機機器上。

 

上網隔離­­最佳做法達到最基本的需求

VDI技術以及端點隔離技術都是早期的作法,企圖阻止網路威脅抵達末端裝置並感染網路。雖然這些技術還是有其價值,但是對於想要阻止進階持續性滲透攻擊的大型企業而言,它們都有嚴重的缺點。

這個演化的最新發展就是上網隔離,由於以下原因特別適用於大型企業:

  • 不需要端點代理程式(Agent);可以快速地佈署到整個企業環境中,而且沒有額外的安裝、升級與修補端點的成本。
  • 無縫使用者體驗;完全不會降低使用者體驗或生產力,同時讓終端使用者可以安全且無限制的存取Web
  • 有效率且節省成本的充;完全善用容器技術與瀏覽器虛擬化的優點,用最小成本的方式擴充到任何規模。
  • 裝置獨立性;支援全部的作業系統與裝置,包含筆記型電腦、平板電腦與智慧型手機。
FireglassVDI端點隔離
僅需要輕量硬體資源需要完整桌面硬體資源 (又大又肥硬體伺服器)需要個人電腦具有強大的處理器與可觀的記憶體 (必須升級 PC 硬體)
建置與管理、儲存的成本低需要建置桌面應用程式,並設定複雜管理政策必須在每台個人電腦佈署客體作業系統與應用程式 (不能集中管理)
採用日拋容器技術 (Docker),伺服器不存檔案必須儲存完整桌面,感染的 VDI 也可能透過 LAN 散播客體作業系統可能影響主體作業系統,進一步影響企業網路
HTML5 視訊效率高遠端桌面視訊嚴重延遲客體作業系統嚴重拖慢整台機器效能
支援用戶端現有各式瀏覽器可能需要安裝專屬用戶端程式可能需要安裝專屬用戶端程式
僅需 Fireglass 軟體授權費除VDI軟體外,需要購買主機作業系統以及連線授權必須重複購置作業系統與應用程式授權

我們已經見到許多擁有成千上萬端點的企業導入上網隔離技術。這個網路瀏覽隔離技術未來將會是企業的網路閘道安全防範的主要防線,並更符合企業使用者對於網路瀏覽的習慣;是除了傳統VDI與端點隔離技術外,最受矚目的明日之星。

Posted in 新聞, 產品新知 and tagged , , , , , , , , , , , , .