Browserisolierung schützt Nutzer vor nicht vertrauenswürdigen, potenziell böswilligen Websites und Webanwendungen, indem sie die Browseraktivitäten auf eine gesicherte, getrennte Umgebung beschränkt.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Zero Trust-Sicherheit
Secure Web Gateway
URL-Filterung
Sicherheit bei externen Mitarbeitern
Was ist SASE?
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Browserisolierung (auch bekannt als Remote-Browsing) ist der Cybersicherheitsansatz, bei dem die Internet-Browsing-Aktivität vom Prozess des lokalen Ladens und Anzeigens von Webseiten getrennt wird.
Normalerweise lädt ein Web-Besucher den Inhalt und den Code einer Webseite direkt in den Browser, der auf dem lokalen Gerät läuft. Aus der Sicherheitsperspektive macht dies das Surfen im Internet ziemlich riskant, da dieser Inhalt und dieser Code oft aus unbekannten Quellen stammen (z. B. Cloud-Hosting und Webserver). Die Remote-Browserisolierung (RBI) – die Technologie, die der Browserisolierung zugrunde liegt – lädt und führt Webinhalt jedoch in der Cloud aus, also nicht auf lokalen Geräten.
Genauso wie wir Maschinen zur Überwachung gefährlicher Umgebungen einsetzen können, damit Menschen nicht zu Schaden kommen, wird beim Remote-Browsing die Erkennung gefährlichen Webinhalts „ausgelagert“. Auf diese Weise werden Nutzer (und die Netzwerke, mit denen sie verbunden sind) vor riskanten Websites geschützt, die Schadsoftware und andere Bedrohungen enthalten.
Geschäftsprozesse finden nicht mehr vorwiegend innerhalb eines internen Unternehmensnetzwerks statt. Stattdessen verbringen Beschäftigte (egal ob vor Ort, völlig dezentral oder in einem hybriden System) die meiste Zeit damit, auf Websites und cloudbasierte Anwendungen wie E-Mail zuzugreifen, um ihre Arbeit zu erledigen – und sie verlassen sich dabei auf Webbrowser.
Genauso wie Firewalls, VPNs und Netzwerkzugriffskontrolle dazu beitragen, Angriffe auf interne Netzwerke anzuhalten, hilft die Browserisolierung dabei, Angriffe mit Ursprung im Browser anzuhalten.
Die Browserisolierung ist eine wichtige Komponente des Zero Trust-Sicherheitsmodells, bei dem keine Verbindungsanfrage als standardmäßig vertrauenswürdig eingestuft wird. In diesem Fall bedeutet die Anwendung des Zero-Trust-Prinzips auf das Browsing, dass kein Website-Code standardmäßig auf Geräten ausgeführt werden sollte.
*Ein Zero-Day-Exploit ist ein Angriff, der eine Schwachstelle ausnutzt, die noch nicht identifiziert oder gepatcht wurde. Diese Angriffe sind selten, aber ist es fast unmöglich, sie anzuhalten.
Die Technologie der Remote-Browserisolierung (RBI), die auch als „Cloud-gehostete Browserisolierung“ bezeichnet wird, lädt Webseiten und führt den damit verbundenen Code auf einem Cloud-Server aus, weit entfernt von den lokalen Geräten der Nutzer und den internen Netzwerken der Unternehmen. Die Browsersitzung des Nutzers wird nach Beendigung der Sitzung gelöscht, sodass alle böswilligen Cookies oder Downloads, die mit der Sitzung verbunden sind, eliminiert werden.
Die RBI-Technologie hält nicht vertrauenswürdige Browseraktivitäten so weit wie möglich von den Geräten der Nutzer und den Unternehmensnetzwerken fern. Dies geschieht in der Regel durch die Durchführung der Web-Browsing-Aktivitäten eines Nutzers auf einem Cloud-Server, der von einem RBI-Anbieter kontrolliert wird. Der RBI-Dienst überträgt dann die resultierende Ausgabe an das Gerät des Nutzers, sodass der Nutzer wie gewohnt mit den Webseiten interagieren kann, ohne dass die vollständigen Webseiten auf seinem lokalen Browser und Gerät geladen werden. Alle Aktionen des Nutzers, wie z. B. Mausklicks, Tastatureingaben oder das Absenden von Formularen, werden an den Cloud-Server übertragen, wo weitere Kontrollen vorgenommen werden können.
Es gibt drei Wege, wie ein Remote-Server zur Browserisolierung Webinhalte an das Gerät eines Nutzers senden kann:
Gängige Alternativen zur RBI sind die On-Premise- und clientseitige Browserisolierung:
Clientseitige Browserisolierung die Browsersitzungen; im Gegensatz zur Remote-Browserisolierung und der On-Premise-Browserisolierung geschieht dies bei der clientseitigen Browserisolierung direkt auf dem Gerät des Nutzers. Dabei wird versucht, das Surfen vom Rest des Geräts zu trennen, entweder durch Virtualisierung oder durch Sandboxing.
Virtualisierung: Bei der Virtualisierung wird ein Computer in separate virtuelle Maschinen aufgeteilt, ohne den Computer physisch zu verändern. Dies geschieht auf einer Ebene der Software unterhalb des Betriebssystems, dem sogenannten „Hypervisor“. Theoretisch sollte das, was auf einer virtuellen Maschine passiert, keine Auswirkungen auf benachbarte virtuelle Maschinen haben, selbst wenn sie sich auf demselben Gerät befinden. Durch das Laden von Webseiten auf einer separaten virtuellen Maschine innerhalb des Computers des Nutzers bleibt der Rest des Computers sicher.
Sandboxing: Eine Sandbox ist vergleichbar mit einer virtuellen Maschine. Es handelt sich um eine separate, abgeschlossene virtuelle Umgebung, in der Tests sicher durchgeführt werden können. Sandboxing ist eine gängige Technik zur Erkennung von Malware: Viele Anti-Malware-Tools öffnen und führen potenziell böswillige Dateien in einer Sandbox aus, um das Verhalten der Dateien zu prüfen. Einige Produkte zur clientseitigen Browserisolierung verwenden Sandboxen, um die Web-Browsingaktivität sicher in der Sandbox zu halten.
Da bei der clientseitigen Browserisolierung potenziell böswillige Inhalte tatsächlich auf das Gerät des Nutzers geladen werden, besteht weiterhin ein Risiko für Nutzer und Netzwerke. Die physische Trennung des Schadcodes und Geräts ist ein zentrales Konzept der anderen Arten der Browserisolierung; bei der clientseitigen Browserisolierung existiert diese Trennung nicht.
Alle Webseiten und Web-Apps bestehen aus HTML-, CSS- und JavaScript-Code. Während HTML und CSS Markup-Sprachen sind, d. h. nur Formatierungsanweisungen liefern, ist JavaScript eine vollständige Programmiersprache. JavaScript ist zwar sehr nützlich, um viele Features von Webanwendungen zu ermöglichen, kann aber auch böswillig eingesetzt werden.
Über JavaScript sind verschiedene Arten von browserbasierten Angriffen möglich. Einige der häufigsten sind: Zu den häufigsten gehören:
Einige andere häufige Angriffe innerhalb des Browsers (die JavaScript beinhalten können oder auch nicht) lauten:
Die Isolierung von Browsersitzungen in einer kontrollierten Umgebung hält böswillige Inhalte und Schadcode von den Geräten der Nutzer und vom Netzwerk des Unternehmens fern. So hätte beispielsweise ein Drive-by-Download-Angriff keine Auswirkungen auf einen Nutzer in einem Unternehmen, das Browserisolierung verwendet. Der Download findet auf einem Remote-Server oder in einer Sandbox statt und wird am Ende der Browsersitzung zerstört.
Neben dem Anhalten von Angriffen innerhalb des Browsers gibt es weitere Anwendungsfälle für RBI:
Gemäß dem Zero-Trust-Sicherheitsmodell gilt, dass eine Website, die ein Nutzer bereits 99-mal ohne Sicherheitsprobleme aufgerufen hat, beim hundertsten Mal trotzdem noch ein Risiko darstellen kann. Browserisolierung ist eine Möglichkeit, dieses Prinzip in die Tat umzusetzen.
Als Teil der Zero-Trust-Plattform von Cloudflare wendet die Cloudflare Browserisolierung diese „Vertraue niemals“-Mentalität auf das Surfen im Internet an. Zero-Trust-Browsing isoliert Nutzer von nicht vertrauenswürdigem Webinhalt und schützt Daten in Browser-Interaktionen vor nicht vertrauenswürdigen Nutzern und Geräten.
Der RBI-Dienst von Cloudflare wendet NVR an, um sichere Draw-Befehle an das Gerät zu streamen, was die Kompatibilität mit jeder Webseite in jedem Browser gewährleistet, die Übertragung von böswilligem Webseitencode anhält und die Latenz minimiert. Cloudflare Browser Isolation ist Teil von Cloudflare One, einer SASE-Plattform, die Netzwerkkonnektivitätsdienste mit Zero-Trust-Sicherheitsdiensten in einem speziell entwickelten globalen Netzwerk kombiniert.