什么是浏览器隔离？

什么是浏览器隔离？

浏览器隔离（也称为远程浏览）是一种网络安全方法，它将互联网浏览活动与本地加载和显示网页的过程分离开来。

通常情况下，网站访问者是直接在本地设备上运行的浏览器中加载网页内容和代码。但从安全角度来说，这使访问者的互联网浏览存在相当大的风险，因为这些内容和代码往往来历不明（例如，云托管和 Web 服务器）。然而，远程浏览器隔离 (RBI)，也就是浏览器隔离的基础技术，会在云中加载并执行 Web 内容，而不是本地设备上。

正如机器可以用来监控危险环境，让人类远离伤害一样，远程浏览“外包”了对危险 Web 内容的检测。这样一来，互联网用户（以及他们所连接的网络）就不会受到有风险的网站的影响，此类网站可能携带恶意软件和其他威胁。

为什么组织要使用浏览器隔离？

业务流程不再主要在企业内部网络中执行。事实上，员工（无论是现场办公、完全远程还是混合型）的大部分时间都用于访问网站和云应用程序（例如电子邮件）以完成工作，他们依赖于 Web 浏览器来完成日常工作。

正如防火墙、VPN 和网络访问控制有助于阻止针对内部网络的攻击一样，浏览器隔离也有助于阻止源自浏览器的攻击。

浏览器隔离是 Zero Trust 安全模型的一个重要组成部分，该模型默认不信任任何连接请求。在这种情况下，将 Zero Trust 原则应用于网页浏览，即意味着它默认不信任设备上运行的任何网站代码。

浏览器隔离的主要优势：

• 防止本地下载或执行恶意软件、勒索软件，以及其他恶意脚本
• 阻止恶意 Web 内容，无需阻止整个网站
• 最大限度地降低浏览器 Zero Day* 漏洞风险

*Zero Day 漏洞是指利用以前未被发现或未打补丁的漏洞进行的攻击。虽然很少，但 Zero Day 漏洞几乎不可能被阻止。

什么是远程浏览器隔离（RBI）？

远程浏览器隔离 (RBI) 技术也称为“云托管浏览器隔离”，它可以在云服务器上加载网页并执行相关代码，远离用户的本地设备以及企业的内部网络。在结束网页浏览后会删除用户浏览会话记录，因此，与会话相关的恶意 cookie 或下载内容都会被清除。

远程浏览器隔离（RBI）如何工作？

RBI 技术可以将不受信任的浏览器活动尽可能地隔离在用户设备和企业网络之外。为此，它通常在 RBI 供应商控制的云服务器上执行用户的 Web 浏览活动。然后，RBI 服务会将输出结果传输到用户的设备上，让用户可以像平常一样与网页进行交互，但实际上无需在本地浏览器和用户设备上加载完整的网页。用户的所有操作，例如点击鼠标、键盘输入或点击表单，都会传输到云服务器，并在那里得到进一步的控制。

远程浏览器隔离服务器可以采用三种方式，将 Web 内容发送到用户设备上：

• 从云端流传输浏览器内容：这种方法也称为“像素推送”，它会在远程服务器，而不是用户设备上，渲染和处理 Web 内容。然后，服务器会将网页的可视化内容，以交互式图像或视频的形式流传输到用户设备。其所需的高网络带宽可能会给最终用户的浏览体验带来延迟；但是，这种方法有助于确保恶意内容仅存在于远程服务器上。
• 在云端重写每个网页，以删除恶意内容，然后，发送到用户的本地浏览器。这种方法被称为“文档对象模型”(DOM) 重构，可以在一个隔离的环境中加载网页，并重写网页内容，以消除潜在的攻击风险。内容经过清理之后，将其发送到用户设备，且在设备上第二次加载并执行网页代码。虽然这种方法仍然会向本地设备发送不受信任的第三方代码，但它在保持原始网页体验方面比像素推送更好。
• 流传输“提取”命令，而不是实际的网站代码。Skia 是一个图形引擎，它可在 Android、Google Chrome、Chrome OS、Mozilla Firefox 浏览器，以及许多其他硬件和软件平台上运行。在一种名为网络矢量渲染 (NVR) 的远程浏览器隔离技术中，Skia 的“提取”命令会被拦截、加密，然后流传输到在用户的本地设备上运行的 Web 浏览器。由于 NVR 流传输的是提取命令而不是实际的网站代码，因此，它比像素推送和文档对象模型重构更快速、更安全。

还有哪些其他类型的浏览器隔离？

远程浏览器隔离的常见替代方法包括本地和客户端浏览器隔离：

• 本地浏览器隔离会执行与远程浏览器隔离相同的活动，但它是在企业内部完全自主管理的服务器上执行。
• 客户端浏览器隔离会在已安装特殊软件的用户设备上加载网页。特殊软件采用了虚拟化或沙盒技术来将所有浏览活动保留在虚拟机上。

客户端浏览器隔离如何工作？

客户端浏览器隔离会虚拟化浏览器会话；与远程和本地浏览器隔离不同，客户端浏览器隔离是在用户设备上进行。它试图利用虚拟化或沙盒技术，将内容浏览与设备的其他部分分离开来。

虚拟化：虚拟化是将一台计算机划分为独立的虚拟机而不对计算机进行物理改变的过程。这是在称为“虚拟机管理程序”的操作系统下面的一层软件上完成。理论上，在一个虚拟机上发生的事情不应该影响相邻的虚拟机，即使它们在同一设备上也是如此。在用户计算机内一个单独的虚拟机上加载网页，则可保证计算机其他部分的安全。

沙盒：沙盒与虚拟机相似。它是一个独立的、封闭的虚拟环境，可以安全地进行测试。沙盒是一种常见的恶意软件检测技术：许多反恶意软件工具在沙盒中打开并执行潜在的恶意文件，看看它们是做什么的。一些客户端浏览器隔离产品使用沙盒来使 Web 浏览活动安全地包含在沙盒中。

由于客户端浏览器隔离涉及到在用户设备上实际加载潜在的恶意内容，它仍然对用户和网络构成风险。将有害代码与设备进行物理隔离是其他类型的浏览器隔离的核心概念；而客户端浏览器隔离则没有这种隔离。

远程浏览器隔离能够抵御哪些威胁？

所有网页和 Web 应用程序都包含 HTML、CSS 和 JavaScript 代码。HTML 和 CSS 都是标记语言，意味着它们只提供格式设置指令，而 JavaScript 则是完整的编程语言。虽然 JavaScript 对于启用多项 Web 应用程序功能非常有用，但它也可能遭到恶意利用。

使用 JavaScript 可以进行多种不同类型的基于浏览器的攻击。一些最常见的攻击示例包括：

• 路过式下载（drive-by download，又称“网页挂马”）：只要加载一个网页，就会开始下载一个恶意的有效负载。路过式下载通常利用浏览器中未修补的漏洞。
• 恶意广告：在合法广告和网络中注入恶意代码。显示这些广告时，执行恶意代码。结果，访问者被重定向到恶意网站。
• 点击劫持：网页被设计成欺骗用户点击他们本不打算点击的内容。点击劫持可以用来产生虚假广告收入、将用户送到一个不安全的网站，甚至启动恶意软件下载。

其他一些常见的浏览器内攻击（可能涉及或不涉及 JavaScript）包括：

• 重定向攻击：用户试图加载一个合法 URL，但随后被重定向到一个由攻击者控制的 URL。
• 在途浏览器攻击：途中的攻击者利用浏览器漏洞来入侵用户的浏览器，这时他们可以改变显示给用户的 Web 内容，甚至冒充用户。
• Cross-site scripting：将恶意代码注入到网站或 Web 应用程序中。这让攻击者能够执行各种恶意活动，包括窃取会话 cookie 或登录令牌，然后冒充合法用户。

通过在受控环境中隔离浏览器会话，恶意内容和代码将远离用户设备和组织网络。例如，路过式下载攻击对使用浏览器隔离的组织内的用户没有影响。下载将在远程服务器或沙箱中进行，并在浏览会话结束时被销毁。

远程浏览器隔离能否阻止不包含恶意 Web 脚本的威胁？

除了阻止浏览器内攻击，远程浏览器隔离的其他新兴用例还包括：

• 让用户远离恶意软件：远程浏览器隔离与 HTTPS 检查、安全 Web 网关 (SWG) 和其他 Zero Trust 安全服务集成，可以阻止病毒、蠕虫、特洛伊木马、勒索软件以及其他恶意软件的传播。
• 阻止多渠道网络钓鱼攻击：攻击者通常使用嵌入式电子邮件链接作为初始手段，使用户面临帐户被盗用或数据外泄的风险。如果与 Zero Trust 云电子邮件安全集成，远程浏览器隔离可以消除这些“多渠道”网络钓鱼攻击的风险。
• 管理第三方权限：远程浏览器隔离与基于云的身份和访问管理( IAM) 解决方案集成，可以针对风险较高的第三方用户自动实施远程浏览器隔离策略（例如阻止承包商在某些网页上输入凭据）。

Cloudflare 浏览器隔离提供哪些助益？

Zero Trust 模型假设，即使某用户已安全加载某个网站 99 次，在其第 100 次访问该网站时，也可能遭到入侵。如果现实中发生这种情况，浏览器隔离便是一种有效应对方式。

作为 Cloudflare Zero Trust 平台的组成部分，Cloudflare 浏览器隔离将这种“绝不信任”原则应用于互联网网页浏览。Zero Trust 浏览功能可让用户免受不可信的 Web 内容的影响，并保护浏览器交互中的数据免受不可信的用户和设备的影响。

Cloudflare 的远程浏览器隔离 (RBI) 服务运用网络矢量渲染 (NVR) 技术，将安全提取命令流传输到设备，从而确保响应内容与浏览器中的网页兼容，阻止恶意网页代码传输，并最大限度地缩短延迟。Cloudflare 浏览器隔离随附在 Cloudflare One 中，这是一个 SASE 平台，它将网络连接服务与 Zero Trust 安全服务整合在一个专门构建的全球网络上。