【兼顧操作與控管的安全上網機制】遠端瀏覽器解決方案大評析：防護能力篇

防護能力1：下載位於企業外部的檔案，整合檔案無害化等檢測應用

有別於桌面虛擬化訴求的資料不落地，無可避免的，遠端瀏覽器隔離上網系統（Remote Browser Isolation，RBI）的運作過程中，雖然將實際存取網頁的過程，都透過使用者電腦外部的環境執行，但對於想要存放到電腦上的檔案或是資料，便可能成為駭客用來滲透的管道，為此，由漢領國際代理的Ericom Shield、達友科技代理的Menlo Security Isolation Platform，以及Symantec買下Fireglass後，推出的Web Isolation這3款RBI防護產品提供了各式的檢測機制，或是支援與其他防護系統整合。

以Ericom Shield來說，對於使用者下載的檔案，它內建了Votiro的檔案內容消毒與重組（Content Disarm and Reconstruction，CDR）機制，藉此重組微軟Office文件、PDF檔案，以及圖片內容，並去除可能有害的巨集或指令碼。而最近的新版本18.07，支援Check Point SandBlast Cloud雲端檢測服務，因此企業也可選擇這項服務，與Ericom Shield搭配，檢查使用者下載的檔案。

而Menlo安全隔離上網系統中，則是內建了3項檢查流程，並且能夠結合外部沙箱的措施。這項檢查的進行，先是與VirusTotal特徵碼比對，再交由Sophos Intercept X掃描，最後送到Sophos Sandstorm雲端沙箱。若是企業內部已經建置了沙箱檢測設備，像是Palo Alto WildFire，Menlo也能連接，執行第4種檔案檢測機制。不過，這款產品尚未支援檔案內容消毒與重組，代理商達友科技表示，原廠計畫未來整合Opswat的解決方案，不過，尚未有明確的時程。

至於Symantec Web Isolation的部分，在支援檔案掃描的防護系統上，包含類型算是最多元，有沙箱、防毒檢測，以及Google威脅情資（Safe Browsing），也能運用Votiro和Opswat檔案內容與重組系統，讓使用者在存取網站而下載文件或是圖片時，也能得以藉此消除其中有害程式碼。

不過，在檔案下載的處理中，這3套產品的做法也有所不同。Menlo與Symantec推出的系統裡，對於文件、圖片、壓縮檔案等，提供了預覽的機制，相較之下，Ericom Shield只有顯示執行檢測的進度，使用者無法利用前述的預覽機制，確認下載檔案的內容。

再者，則是對於採用密碼保護的文件與壓縮檔案，Menlo與Symantec的RBI產品，支援使用者手動輸入密碼後，再行預覽內容。而在Ericom Shield當中，管理者僅能採取直接放行或是封鎖，比起另外2款系統的處理方式，較缺乏彈性。

除了能夠針對下載的檔案進行檢查，Ericom Shield與Symantec Web Isolation等2款系統中，也對於使用者端電腦剪貼簿的內容，提供相關管制功能，避免使用者將網頁上可能有害的內容，複製到電腦中。其中，前者主要是限制指定使用者瀏覽特定的網域時，無法使用複製和貼上的功能。

相較之下，Symantec Web Isolation所具備的管制措施，便豐富許多，像是能指定禁用的類型，例如能允許使用者複製頁面上的文字，但無法取得網頁中的圖片，或是網頁中的HTML內容等。附帶一提，對於敏感資料的複製和取用，這套系統也可記錄當下複製的內容，管理者日後若是想要從Web Isolation裡，找尋攻擊事件的蛛絲馬跡，這些記錄就能做為佐證的資料。

防護機制2：提供唯讀管制，網頁仍可存取，但禁止輸入任何內容

由於這種遠端瀏覽器隔離的上網防護系統，訴求即使網頁中出現了有害內容，也不會直接波及使用者的電腦，因此，在存取網頁的策略上，普遍盡可能讓使用者能檢視想要存取的網站。相較於現有的上網防護機制，像是次世代防火牆，或是網頁安全閘道而言，我們前面提到的3款隔離上網產品，都額外提供前述防護系統中，所沒有的管制政策。例如，只能檢視網頁的唯讀模式（Read-Only），換言之，設置這種管制政策後，使用者還是能夠瀏覽網頁，但是無法在頁面上的對話框，輸入任何內容。

當然，這種唯讀模式的目的，主要便是在放行和禁止之間，提供能夠檢視網頁的彈性，但禁止使用者輸入任何內容，以避免產生資料外洩的風險。而當管理者啟用了這樣的政策之後，使用者若是存取被限制只能讀取的網頁時，防護系統便會在瀏覽器的下方，以訊息視窗顯示，這個網頁受到管制，目前以唯讀模式執行。

雖然，市面上可取得的3款RBI產品中，管理者都能針對特定類型或是網域的網頁，採取頁面唯讀的管制政策，不過，做法上還是有些差異。

像是Symantec Web Isolation中，便增加了可由使用者確認後，暫時解除唯讀模式的按鈕。對於部分需要批準才能使用的線上電子郵件信箱，或是協作平臺等網站，員工便能在知會主管並取得許可的前提下，能夠輸入文字、剪貼內容到這些網站上。

而對於防範使用者隱私資料外洩的風險，Symantec Web Isolation也整合了自家的威脅情資，在系統與情資比對下，若是發現疑似不安全的連線時，自動禁止使用者送出已輸入在網頁上的內容。

RBI可讓管理者快速得知運作狀態和威脅態勢

以維運狀態為主軸的儀表板

對於Ericom Shield系統的資源控制，是這套產品著重的功能之一。從它的儀表板中，優先顯示與負載有關的資訊，便可見一斑。圖中的儀表板上，呈現了處理器、記憶體，以及儲存空間等資源的使用情形，並列出系統中各個伺服器的基本資訊。

以詳細的分析結果列出各項訊息

面對網頁防護的情勢，Symantec Web Isolation雖然也採用了多種圖表，但與前述Menlo儀表板不同之處，在於Symantec加入了許多進階功能，像是與網路環境有關的統計數據，而左側也提供事件型態的篩選機制，讓管理者能鎖定特定的目標，得知上網所出現的威脅。

統整流量與威脅情勢的儀表板

在Menlo的管理界面首頁中，儀表板列出了來自上網流量與電子郵件的威脅情勢，並針對流量和威脅提供有關的分析圖表。而管理者也可向下追蹤，對於單一圖表檢視較為詳細的資訊。

 相關報導   用瀏覽器隔離建立上網新防線