远程浏览器隔离 工作已成为一种动态活动—无论是在家里、办公室还是在路上。这种随时随地工作的转变意味着比以往任何时候都有更多的员工通过网络进行连接、创造和协作。然而,对互联网和基于浏览器的生产力应用(如电子邮件、即时消息和云协作工具)的日益依赖也意味着外部攻击面不断扩大,为威胁行为者打开了新的潜在入口点。 与此同时,攻击者已经通过即服务型产品、黑客工具包、先进的社会工程,甚至恶意的生成式人工智能工具来不断完善自己的Web攻击方法,实现更有效、更有针对性的Web攻击。2022年上半年,共创建了超过6,700万个恶意域名1;2023年,74%以上的成功泄露都涉及人为因素2。这种前所未有的体量和社会工程复杂性,再加上面向互联网的攻击面急剧扩张,意味着企业和高价值员工面临着更高的风险。 1.2023年互联网威胁最新趋势-Unit42 2.2023年Verizon数据泄露调查报告 面对零日威胁的隔离防护 远程浏览器隔离(RBI)技术可将用户的Web会话与本地浏览器完全隔离开来,是缓解互联网传播攻击风险的一种强有力方法。通过在完全隔离的环境中执行Web内容—与本地设备和网络分开—企业可以防止未经批准的插件,阻止意外数据丢失,并保护用户免受零日漏洞以及勒索软件、恶意软件和网络钓鱼等Web威胁的侵害。 现有RBI解决方案的缺点 虽然隔离技术可以保护企业免受各种Web攻击,但提供无缝、近乎原生的用户工作流程和畅通无阻的Web应用访问也同样重要。然而,在远离本地设备的地方运行浏览器会话有可能会打乱用户的工作流程,影响工作效率。在整个演变过程中,传统的RBI方法在支配性能和安全性之间的这种紧张关系方面进行了尝试,但效果不佳。 (基第于一像代素)(基第于二D代OM)(基第于三S代KIA)(隔第离四平代台) 图1:远程浏览器隔离技术的演变 •第一代(像素推送):Web内容在远程服务器上渲染和处理,而远程服务器捕获页面的视觉表现并将其逐像素发送到用户的设备。这种方法提供了完全隔离的安全性,但占用大量带宽,从而增加了成本并降低了用户体验。 •第二代(基于DOM):文档对象模型(DOM)方法使用HTML元素重建页面。它会在用户设备上重建页面之前过滤和处理Web内容。这种方法比像素推送反响更好,但会让用户面临潜在的恶意文件和零日威胁。 •第三代(SKIA):开源2D图形库通过SKIA渲染层渲染网页,以解决与基于像素和DOM的方法之间的许多差距。然而,对于O365等低延迟、高动态和交互式实时应用而言,SKIA的通用性有限。 •第四代(隔离平台):与导致高延迟的传统像素推送重建或暴露安全缺口的基于DOM的方法不同,新一代 RBI隔离平台结合了最新的基于矢量和像素的技术,可实现卓越的隔离,同时提供近乎原生的用户体验。 如何解决问题 企业需要从传统的RBI产品向现代隔离平台的模式转变,因为后者采用最先进的技术,可为当今的现代SaaS应用程序提供卓越的安全成果、近乎原生的用户体验和优化的性能。 零信任安全-通过对用户在网上所做的一切增加一层零信任浏览器隔离来消除威胁,从而确保所有或部分用户及其数据的安全。通过简化、集成和精细的控制提高安全性,同时减轻运营负担。 近乎原生的一切-确保网站和应用程序看起来清晰,交互感强,就像用户在本机浏览网站和访问SaaS应用一样。最佳用户体验和性能-提供推流视频和各种应用程序—包括高度交互和实时的应用—具有低延迟交互性,可以无缝过渡进出隔离平台,而不会中断用户工作流程。 3 未来取决于现在。面向StrataAccess的RBI 面向StrataAccess的RBI使用户无论身在何处都可以安全地浏览互联网。它在用户和浏览器之间创建了一个无代码执行的隔离通道,使零日web威胁无法靠近,绝不允许恶意文件在其计算机上执行。与传统隔离产品不同,面向StrataAccess的RBI将最新的隔离技术与专有技术相结合,在不影响安全性的前提下提供近乎原生的用户体验。 关键用例 隔离所有未知和有风险的Web内容 阻止浏览器漏洞、第一感染源感染、勒索软件、网络钓鱼以及隐藏在未知或有风险的Web内容中的其他零日攻击。 保护高价值用户 为经常成为威胁行为者目标的高价值用户和群体增加一层安全保护。此外,防止高价值用户意外泄露敏感数据。 工作原理 RBI与StrataAccess原生集成,将隔离配置文件应用于现有安全策略。隔离配置文件可用于限制用户控制,如复制/粘贴操作、键盘输入和共享选项(如电子邮件、打印等),从而防止数据丢失。RBI还通过阻止代码(HTML、CSS或JS)直接在最终用户的计算机上执行,在最终用户与其远程浏览器之间创建一个隔离的图形流;将任何恶意代码有效保留和隔离在封闭的RBI环境中。 允许的流量拦截的流量 1 隔离的流量 (重设定置流向) CDSS 互联网 2 受保护的用户 一个统一策略 SaaS RBI 高级图形流 (无HTML/CSS/JS) 图2:PaloAltoNetworksRBI解决方案架构 特性和功能 浏览器和平台 RBI支持主流浏览器,例如Windows上的Chrome和Edge,以及MacOS上的Chrome和Safari。 灵活部署 RBI支持所有接入,包括GlobalProtect、显式代理和远程网络。RBI利用最接近最终用户地理位置的StrataAccess计算位置来最大限度地消灭延迟。 云交付的安全服务 所有安全配置文件–AdvancedThreatPrevention、AdvancedURLFiltering、AdvancedWildFire®、SaaSSecurity和数据丢失防护–都支持用于从RBI到目的地的网络流量。RBI支持精细的数据泄漏控制,包括剪切、复制、粘贴、打印、键盘输入和文件的远程渲染。新一代隔离结合了多种技术和定制转换器,可在需要低延迟交互性的高度动态和实时的应用程序上实现近乎原生的用户体验。与StrataAccess的原生集成提供了单一视窗的监控、集中的策略实施和动态的安全态势管理。将流量重定向到RBI是由策略驱动的,并已原生集成到StrataAccess策略中。 数据丢失防护用户体验单一视窗 主要优势 •强力防御零日Web攻击,采用最先进的隔离技术,防止数据泄露和第一感染源。 •实现劳动力和数字化转型,将RBI解决方案无缝嵌入现有工作流程中,提供近乎原生的Web浏览和用户体验。 •维护RBI的成本低、工作量少、复杂度低,统一策略、集中执行和单视窗管理,全部与StrataAccess原生集成。 全球客户服务 全球客户服务提供必要的指导、专业知识和资源,使您的RBI投资价值最大化。专业服务、客户成功、支持、持续教育和采用工具可确保您在网络安全之旅的每个阶段免受入侵者的攻击。请联系您的PaloAltoNetworks客户经理以获得适合自身需求的服务。 PaloAltoNetworks代表。 部署一致且集成的RBI解决方案—作为SSE或SASE架构的一部分—不仅可以阻止复杂的网络攻击,还可以精简运营并改善用户体验。无论用户身在何处,都能以最高级别的安全性将用户安全地连接到互联网和所有关键业务SaaS应用,而不会影响用户体验。 要您了的解有关PaloAltoNetworksRBI的更多信息,请访问我们的网页或者联系 免费咨询热线:4009911194 网址:www.paloaltonetworks.cn 邮箱:contact_salesAPAC@paloaltonetworks.com ©注册20商23标P。a本lo公Al司to的N商et标w列or表ks可,I在nc以.P下a网lo址Al找to到N:etworks是PaloAltoNetworks的 https://www.paloaltonetworks. c司o的m商/c标om。pany/trademarks.html。此文档中提及的所有其他商标可能是各相应公 关注派拓网络官方微信公众号