L'isolation du navigateur protège les utilisateurs contre les sites Web et les applications non fiables et potentiellement malveillants en confinant l'activité de navigation dans un environnement sécurisé, séparé des appareils des utilisateurs et des réseaux organisationnels.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
L'isolation du navigateur est une technologie qui permet de sécuriser l'activité de navigation en séparant le processus de chargement des pages web des appareils des utilisateurs qui affichent les pages web. De cette façon, le code potentiellement malveillant des pages Web ne s'exécute pas sur l'appareil de l'utilisateur, ce qui empêche les infections par logiciels malveillants et d'autres cyberattaques d'avoir un impact sur les appareils des utilisateurs et les réseaux internes.
La visite de sites web et l'utilisation d'applications web impliquent qu'un navigateur web charge du contenu et du code à partir de sources distantes et non fiables (par exemple, des serveurs web éloignés), puis exécute ce code sur l'appareil de l'utilisateur. Du point de vue de la sécurité, cela fait de la navigation sur le web une activité assez dangereuse. L'isolation du navigateur charge et exécute le code loin des utilisateurs, les isolant ainsi des risques, ainsi que les réseaux auxquels ils se connectent, de la même manière que l'utilisation de robots pour effectuer certaines tâches dangereuses dans une usine permet de mieux protéger les ouvriers.
L'isolation du navigateur peut être un élément important du modèle de sécurité Zero Trust, dans lequel aucun utilisateur, application ou site Web n'est digne de confiance par défaut.
L'Internet est devenu incroyablement important pour les opérations commerciales modernes. Autrefois, les processus commerciaux se déroulaient principalement au sein d'un réseau d'entreprise interne, mais ce n'est plus le cas depuis longtemps. Au lieu de cela, les employés accèdent régulièrement à des sites web et à des applications web pour faire leur travail (et pour effectuer des tâches personnelles), et ils le font par le biais d'un navigateur.
Tout comme les pare-feux et le contrôle d'accès au réseau ont permis de stopper les attaques dirigées vers les réseaux internes, l'isolation du navigateur permet de stopper les attaques dirigées vers le navigateur.
*Un exploit de type zero-day est une attaque qui utilise une vulnérabilité qui n'a pas encore été identifiée ou corrigée. Bien que rares, les exploits de type zero-day sont presque impossibles à arrêter.
Il existe trois principaux types d'isolation du navigateur : à distance (ou hébergé sur le cloud), sur site, et chez le client.
Dans ces trois méthodes d'isolation du navigateur, la session de navigation de l'utilisateur est supprimée lorsqu'elle se termine, de sorte que tous les cookies ou téléchargements malveillants associés à la session sont éliminés.
L'isolation du navigateur à distance ou hébergée dans le cloud maintient l'activité du navigateur non fiable aussi loin que possible des appareils des utilisateurs et des réseaux d'entreprise. Pour ce faire, les activités de navigation de l'utilisateur sont effectuées sur un serveur cloud contrôlé par un fournisseur de services cloud. Il transmet ensuite les pages Web résultantes à l'appareil de l'utilisateur afin que ce dernier puisse interagir avec l'Internet comme d'habitude, mais sans charger réellement les pages Web complètes sur son appareil. Toutes les actions de l'utilisateur, telles que les clics de souris ou les soumissions de formulaires, sont transmises au serveur cloud et y sont exécutées.
Il existe plusieurs façons pour un serveur d'isolation de navigateur distant d'envoyer du contenu web à l'appareil d'un utilisateur :
L'isolation du navigateur sur site fonctionne de la même manière que l'isolation du navigateur à distance. Mais au lieu de s'effectuer sur un serveur cloud distant, la navigation s'effectue sur un serveur à l'intérieur du réseau privé de l'organisation. Cela peut réduire la latence par rapport à certains types d'isolation du navigateur à distance.
L'inconvénient de l'isolation sur site est que l'organisation doit fournir ses propres serveurs dédiés à l'isolation du navigateur, ce qui peut être coûteux. En outre, l'isolation doit généralement s'effectuer à l'intérieur du pare-feu de l'entreprise (), et non à l'extérieur (comme c'est le cas lors du processus d'isolation du navigateur à distance). Même si les appareils des utilisateurs restent à l'abri des logiciels et autres codes malveillants, le réseau interne lui-même reste à risque. En outre, l'isolation du navigateur sur site est difficile à étendre à plusieurs installations ou réseaux, et c'est particulièrement vrai pour les travailleurs à distance.
Comme les autres types d'isolation du navigateur, l'isolation du navigateur côté client virtualise les sessions de navigation ; contrairement à l'isolation du navigateur à distance et sur site, l'isolation du navigateur côté client le fait sur l'appareil de l'utilisateur lui-même. Elle tente de séparer la navigation du reste de l'appareil en utilisant soit la virtualisation, soit le sandboxing.
Virtualisation : La virtualisation est le processus qui consiste à diviser un ordinateur en machines virtuelles distinctes sans modifier physiquement l'ordinateur. Cette opération s'effectue au niveau d'une couche de logiciel située sous le système d'exploitation, appelée « hyperviseur ». En théorie, ce qui se passe sur une machine virtuelle ne devrait pas affecter les machines virtuelles adjacentes, même si elles se trouvent sur le même périphérique. En chargeant les pages web sur une machine virtuelle distincte au sein de l'ordinateur de l'utilisateur, le reste de l'ordinateur reste sécurisé.
Sandboxing : Une sandbox est similaire à une machine virtuelle. Il s'agit d'un environnement virtuel distinct et confiné dans lequel des tests peuvent être effectués en toute sécurité. Le sandboxing est une technique courante de détection des logiciels malveillants : de nombreux outils anti-malware ouvrent et exécutent des fichiers potentiellement malveillants dans un sandbox pour voir ce qu'ils font. Certains produits d'isolation des navigateurs côté client utilisent des bacs à sable pour que l'activité de navigation sur le web soit contenue en toute sécurité dans le bac à sable.
Étant donné que l'isolation du navigateur côté client implique le chargement d'un contenu potentiellement malveillant sur l'appareil de l'utilisateur, elle présente toujours un risque pour les utilisateurs et les réseaux. La séparation physique entre le code nuisible et l'appareil est un concept fondamental des autres types d'isolation du navigateur ; l'isolation du navigateur côté client n'a pas cette séparation.
Toutes les pages et applications Web sont composées de code HTML, CSS et JavaScript. Alors que HTML et CSS sont des langages de balisage, c'est-à-dire qu'ils ne fournissent que des instructions de formatage, JavaScript est un langage de programmation complet. JavaScript est très utile pour permettre la mise en œuvre de nombreuses fonctionnalités des applications web modernes. Toutefois, il peut également être utilisé de manière malveillante. Le JavaScript malveillant est particulièrement dangereux car la plupart des navigateurs Web exécutent automatiquement tout le JavaScript associé à une page.
Plusieurs types d'attaques différentes sont possibles en utilisant JavaScript. Parmi les plus courantes, citons :
Parmi les autres attaques courantes dans le navigateur (qui peuvent ou non impliquer JavaScript), on peut citer :
En isolant les sessions de navigation dans un environnement contrôlé, le contenu et le code malveillants sont tenus à l'écart des appareils des utilisateurs et du réseau de l'organisation. Par exemple, une attaque de type « drive-by download » n'aurait aucun effet sur un utilisateur d'une organisation qui utilise l'isolation du navigateur. Le téléchargement aurait lieu sur un serveur distant ou dans un bac à sable et serait détruit à la fin de la session de navigation.
Zero Trust est une approche de sécurité de l'information dans laquelle aucun utilisateur, trafic web, application ou dispositif n'est fiable par défaut. Un modèle de sécurité Zero Trust part du principe que même si un utilisateur a chargé un site Web en toute sécurité 99 fois, le site Web peut être compromis la 100e fois. L'isolation du navigateur est un moyen de mettre en œuvre cette hypothèse dans la pratique.
Cloudflare intègre une approche de Zero Trust dans sa pile de produits de sécurité réseau. Cloudflare Browser Isolation est un service d'isolation du navigateur à distance conçu pour offrir une expérience utilisateur optimale. Étant donné que Cloudflare Browser Isolation est construit sur le réseau Cloudflare, avec des emplacements mondiaux dans 270 villes, les sessions de navigation Web sont servies aussi près que possible des utilisateurs, ce qui minimise la latence. De plus, Cloudflare Browser Isolation envoie la sortie finale de chaque page Web à l'utilisateur au lieu d'envoyer une image ou un flux, ce qui réduit encore la latence.
Service commercial
À propos de la gestion des accès
À propos du Zero Trust
Ressources VPN
Glossaire
Navigation dans le centre d’apprentissage