集中控管1:可限制或允許使用者執行網頁的各式功能

企業想要建置遠端瀏覽器隔離上網系統(Remote Browser Isolation,RBI)這樣的上網防護機制,大在管制使用者上網的功能中,RBI提供的遠端瀏覽器隔離平臺,不只能規定使用者,能夠存取那些網站,也都能在政策的設定中,限制使用者是否能執行進階的操作功能,像是列印、檔案的下載與上傳,或是前述的輸入文字、複製網頁內容等。

而在制訂這些上網規則的做法上,由漢領國際代理的Ericom Shield、達友科技代理的Menlo Security Isolation Platform,以及Symantec買下Fireglass後,推出的Web Isolation這3款RBI防護產品也有所差異,例如,Menlo安全隔離系統與Symantec Web Isolation,它們都提供了以網站類別設定的做法,而後者則是進一步,可另外依據風險等級的高低,套用對應的政策。

至於Ericom Shield,它雖然沒有提供上述的網站群組機制,但卻擁有預設值,以及強制全域規定(Override)等2種規則,減少管理者需對於各式網站逐項設定的情形。

集中控管2:具備內部建置與雲端服務等導入RBI的方式

企業想要建置RBI,大致上可區分為內部建置和雲端服務的選項。而這3款產品中,Menlo的系統平臺的選項較為豐富,同時涵蓋了上述兩種型式,甚至內部建置的做法上,也在建置於虛擬化平臺的純軟體之餘,提供專屬實體設備。

而在Symantec提供的部署方式而言,Web Isolation同時具有純軟體與雲端服務可用。此外,企業若是採用該廠牌雲端版網頁安全閘道Web Security Service,也可選購遠端瀏覽器隔離的功能。

至於Ericom Shield,目前只能以純軟體的型式,建置在企業內部的虛擬化平臺,不過代理商漢領國際表示,原廠也打算推出雲端服務,供企業選購。

若是企業評估要在內部虛擬環境中建置,便要從需要執行這種上網環境的使用者數量,以及這些平臺提供上網時,所運用的處理器和記憶體資源,加以整體評估。

漢領國際指出,根據原廠提供的資料,1個處理器核心可因應5至6位使用者上網,而每個瀏覽器分頁平均會占用約200MB的記憶體,一般而言,若要規畫記憶體的需求,通常是以每個使用者會執行10個分頁計算。根據達友科技提供的資訊,以8個處理器核心、32GB記憶體的環境,Menlo隔離系統約能因應50個使用者同時上網。而從Symantec Web Isolation的建議需求來看,在擁有24個處理器核心與88GB記憶體的環境裡,大約能供500個使用者上網防護。

此外,無論是上述的任何一款產品,也都訴求能與現有上網防護搭配運用,因此,不少企業便會先以網頁安全閘道,先行過濾已知的有害網站,再將灰色地帶網域交由RBI執行。

RBI納入進階輔助設定與診斷工具

可自訂運算資源的分配機制

相較於另外2款產品,Ericom Shield提供了不少能自訂容器耗用資源的政策選項,管理者可因應實際應用的情形,調整容器可使用的記憶體多寡,或是偵測到分頁未使用一段時間後,能夠回收系統資源的間隔。

提供可自訂的封鎖訊息

對於出現使用者瀏覽遭到封鎖的網站,或是限制只能讀取的網頁等情況,Menlo在用戶端瀏覽器所呈現的訊息,管理者可以自行調整,值得一提的是,雖然管理介面只提供英文,但這裡的文字能輸入中文,並可在瀏覽器中正常顯示。

能診斷連線異常來源

若是遇到連線異常的情況時,Symantec Web Isolation提供了檢測工具,只要在網址結尾加入/fgdfag#,便能啟用如圖中的診斷功能,測試後也有利於回報管理者,從有問題之處著手排除網路障礙。

 

遠端瀏覽器隔離系統不相容舊IE

針對遠端瀏覽器隔離系統中,所用來傳遞畫面的做法,用戶端的瀏覽器也要支援HTML5標準,因此太舊的軟體便無法使用,為此,在Menlo的隔離防護平臺上,便提供了如圖的瀏覽器版本管理政策,若是遇到使用者執行的軟體不夠新,可禁止上網或是停用防護功能。

由於遠端瀏覽器隔離上網系統(Remote Browser Isolation,RBI)這種新興的防護措施中,透過了HTML5標準,將遠端容器裡載入後的畫面,傳送給電腦上的瀏覽器,因此,使用者執行的瀏覽器軟體,也要支援這種規格,才能讀取遠端瀏覽器隔離系統提供的內容。

前述的網頁標準,由全球資訊網協會(World Wide Web Consortium,W3C)在2014年10月完成相關的規格制訂,目前市面上主要的瀏覽器軟體,支援HTML5已是行之有年,因此,遠端瀏覽器隔離系統的廠商,普遍標榜使用者能延用自己熟悉的軟體上網。

然而,對於企業中早期建置的網頁應用系統,必須透過特定版本的IE才能使用,由於IE在第9版正式支援HTML5,仍然執行之前版本的IE,便無法納入遠端瀏覽器的防護範圍。

面臨企業裡可能存在執行舊版IE電腦的情形,各家廠商提供的做法不一。例如,原先提供桌面虛擬化架構的Ericom,他們便在Ericom Shield上,額外提供企業建置IE模式的選用模組,藉由架設額外的Windows終端伺服器,管理者再透過政策設定,讓使用者瀏覽指定的網頁時,自動切換到終端伺服器上的IE,執行載入網頁的工作。

而Menlo的安全隔離防護平臺中,則是內建了主要瀏覽器版本的控管功能,若是低於管理者設定的版本,系統可禁止使用者連上網際網路,或是對該瀏覽器停用相關的防護機制。

 相關報導   用瀏覽器隔離建立上網新防線


Advertisement

更多 iThome相關內容