用新隔離架構阻止威脅入侵，Ericom推出安全網頁瀏覽方案 @ ofi564yw的部落格

201804200242

關於上網安全防護，近年興起遠端瀏覽器隔離的新技術，是在使用者與網站之間，建構虛擬的瀏覽隔離環境，以避免用戶在上網時，遭受惡意威脅入侵，許多資安業者將此隔離架構簡稱為Web Isolation。以遠端存取應用知名的Ericom，在去年也跨入資安領域推出這樣的新產品線Ericom Shield。簡單來說，企業可將Ericom Shield部署在DMZ或雲端，讓使用者在瀏覽網站時，將可能遭受的威脅阻絕於外部。在Ericom Shield的防護之下，當使用者透過瀏覽器開啟網站時，其實是在遠端暫存容器（Container）環境中，執行一個虛擬瀏覽器，目的是讓網站的原始碼在此虛擬瀏覽器執行，而不影響使用者本機。同時，用戶端看到的上網畫面，是經Ericom Shield過濾，並傳送至用戶端的安全虛擬網站內容，讓用戶端可以正常檢視網頁內容與操作。基本上，每個瀏覽器連線階段或分頁，均分別隔離在獨立容器之內，只要分頁關閉或連線中斷，該虛擬環境就會被清除，因此可帶來阻絕惡意程式、勒索軟體等威脅的效果。一般而言，我們透過瀏覽器檢視網站原始碼，可能看到包含許多的JavaScript、CSS與外部連結，而透過Ericom Shield的防護，這些內容幾乎都不存在於本機瀏覽器中，因為實際執行都是在遠端暫存容器中。因此，也有資安業者將此技術應用，稱之為網頁瀏覽無害化。目前，Ericom Shield所支援的瀏覽器，已經涵蓋多種平臺，例如，任何基於HTML5的瀏覽器，像是IE10、Chrome、Firefox、Safari與Opera等。值得一提的是，若要進一步降低使用者從網站下載檔案及文件的風險，Ericom Shield本身也整合了Votiro的CDR（Content Disarm and Reconstruction）技術，可讓下載的檔案在傳送至用戶端之前，經過無害化處理，例如讓用戶取得的Office、PDF文件與圖檔，可以不會帶有惡意指令碼。簡單而言，在運作方式上，Ericom Shield是透過遠端瀏覽器隔離（Remote Browser Isolation）的方式，並可整合CDR技術，提供網頁瀏覽與檔案下載的安全防護。當我們透過瀏覽器檢視網頁原始碼時，通常可能看到網頁包含許多的JavaScript、CSS與外部連結，而在Ericom Shield防護機制下，這些內容的實際執行都是在遠端暫存容器中。透過Admin Console管理介面，企業管理者可以制訂Ericom Shield的管控原則，當中也能夠指定特定網站，利用黑白名單方式，決定是否需要經過Ericom Shield防護，或是直接阻擋。此外，對於下載、上傳、剪貼簿、Cookies、檔案與存取等，也都能有細部的設定。除了Ericom Shield，目前市面上還有其他這類型解決方案的廠商，像是賽門鐵克收購的Fireglass、Menlo Security、Light Point Security與Authentic8 International等。更廣泛地以Brower Isolation概念來看，在上述廠商之外，還有像是一家廠商Bromium，是採端點隔離方式來運作，之前我們在HP在中高階商務電腦上，已經看到他們將Bromium的技術整合其中，提供瀏覽器安全防護的功能，可透過CPU支援的虛擬化技術，讓瀏覽器執行於獨立的微型虛擬機中。產品資訊 Ericom Shield ●原廠：Ericom ●建議售價：廠商未提供 ●Ericom Shield伺服器作業系統需求：Ubuntu 16.04 ●CDR伺服器作業系統需求：Windows Server 2012R2 ●支援用戶端瀏覽器：IE10、Chrome、Firefox、Safari與Opera ●支援終端裝置類型：Windows、Mac OS、Linux、iOS與Android裝置【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】