關於上網安全防護,近年興起遠端瀏覽器隔離的新技術,是在使用者與網站之間,建構虛擬的瀏覽隔離環境,以避免用戶在上網時,遭受惡意威脅入侵,許多資安業者將此隔離架構簡稱為Web Isolation。以遠端存取應用知名的Ericom,在去年也跨入資安領域推出這樣的新產品線Ericom Shield。

簡單來說,企業可將Ericom Shield部署在DMZ或雲端,讓使用者在瀏覽網站時,將可能遭受的威脅阻絕於外部。

在Ericom Shield的防護之下,當使用者透過瀏覽器開啟網站時,其實是在遠端暫存容器(Container)環境中,執行一個虛擬瀏覽器,目的是讓網站的原始碼在此虛擬瀏覽器執行,而不影響使用者本機。

同時,用戶端看到的上網畫面,是經Ericom Shield過濾,並傳送至用戶端的安全虛擬網站內容,讓用戶端可以正常檢視網頁內容與操作。

基本上,每個瀏覽器連線階段或分頁,均分別隔離在獨立容器之內,只要分頁關閉或連線中斷,該虛擬環境就會被清除,因此可帶來阻絕惡意程式、勒索軟體等威脅的效果。

一般而言,我們透過瀏覽器檢視網站原始碼,可能看到包含許多的JavaScript、CSS與外部連結,而透過Ericom Shield的防護,這些內容幾乎都不存在於本機瀏覽器中,因為實際執行都是在遠端暫存容器中。因此,也有資安業者將此技術應用,稱之為網頁瀏覽無害化。

目前,Ericom Shield所支援的瀏覽器,已經涵蓋多種平臺,例如,任何基於HTML5的瀏覽器,像是IE10、Chrome、Firefox、Safari與Opera等。

值得一提的是,若要進一步降低使用者從網站下載檔案及文件的風險,Ericom Shield本身也整合了Votiro的CDR(Content Disarm and Reconstruction)技術,可讓下載的檔案在傳送至用戶端之前,經過無害化處理,例如讓用戶取得的Office、PDF文件與圖檔,可以不會帶有惡意指令碼。

簡單而言,在運作方式上,Ericom Shield是透過遠端瀏覽器隔離(Remote Browser Isolation)的方式,並可整合CDR技術,提供網頁瀏覽與檔案下載的安全防護。

當我們透過瀏覽器檢視網頁原始碼時,通常可能看到網頁包含許多的JavaScript、CSS與外部連結,而在Ericom Shield防護機制下,這些內容的實際執行都是在遠端暫存容器中。

透過Admin Console管理介面,企業管理者可以制訂Ericom Shield的管控原則,當中也能夠指定特定網站,利用黑白名單方式,決定是否需要經過Ericom Shield防護,或是直接阻擋。此外,對於下載、上傳、剪貼簿、Cookies、檔案與存取等,也都能有細部的設定。

除了Ericom Shield,目前市面上還有其他這類型解決方案的廠商,像是賽門鐵克收購的Fireglass、Menlo Security、Light Point Security與Authentic8 International等。更廣泛地以Brower Isolation概念來看,在上述廠商之外,還有像是一家廠商Bromium,是採端點隔離方式來運作,之前我們在HP在中高階商務電腦上,已經看到他們將Bromium的技術整合其中,提供瀏覽器安全防護的功能,可透過CPU支援的虛擬化技術,讓瀏覽器執行於獨立的微型虛擬機中。

產品資訊

Ericom Shield
●原廠:Ericom
●建議售價:廠商未提供
●Ericom Shield伺服器作業系統需求:Ubuntu 16.04
●CDR伺服器作業系統需求:Windows Server 2012R2
●支援用戶端瀏覽器:IE10、Chrome、Firefox、Safari與Opera
●支援終端裝置類型:Windows、Mac OS、Linux、iOS與Android裝置

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容