Большинство организаций имеют базовое решение для предотвращения просмотра проблемных сайтов, таких как азартные игры или порнографии, своими сотрудниками. Однако, согласно отчету Google «The Ghost in the Browser», каждый день выявляется 10 000–30 000 новых вредоносных веб-сайтов. Достаточно одного человека, посещающего любой из них, чтобы подвергнуть риску всю вашу компанию.
Конечно, среднестатистический бизнес-пользователь, вероятно, не склонен посещать сайты, которые он не считает безопасными. Тем не менее, даже если вы просматриваете только легальные сайты, вы никогда не можете быть полностью уверены, что они безопасны.
Хакеры могут манипулировать практически любым сайтом, вставляя код, который заражает ваш браузер в считанные секунды, как только вы загружаете сайт или кликаете куда-нибудь. Прежде чем вы это узнаете, ваше устройство вместе со всей корпоративной сетью будет взломано.
Суть в том, что, если у вас не включена какая-либо форма безопасного просмотра, каждый раз, когда один из ваших сотрудников пользуется интернетом, он подвергает ваш бизнес огромному потенциальному риску. Вредоносное ПО может быть установлено в мгновение ока — включая безфайловые или ранее неизвестные угрозы «нулевого дня», которые могут ускользнуть от большинства решений для защиты от вредоносных программ.
Существует несколько подходов к защите себя и своей компании от веб-вредоносных программ. Традиционный подход основан на таких решениях, как антивирусное программное обеспечение и брандмауэры, для обнаружения и блокирования угроз. Кроме того, есть много шагов, которые вы можете предпринять для защиты обычных браузеров, таких как установка плагинов для отключения скриптов и настройка параметров конфиденциальности. Однако обычного подхода недостаточно: слишком часто что-то непредвиденное может проскользнуть сквозь эти гарантии. Чтобы по-настоящему уверенно выходить в сеть, необходим совершенно другой и более активный метод.
Мы сравним и сопоставим два ведущих подхода к безопасному просмотру, а именно — виртуализация браузера и удаленная изоляция браузера.
При виртуализации браузера веб-браузер работает в виртуальной среде, которая отделена от локальной операционной системы, тем самым обеспечивая буфер между операцией просмотра и конечной точкой. В результате любая вредоносная программа, с которой сталкиваются во время сеанса просмотра, будет заражать только виртуальную среду, в которой фактически работает браузер.
Виртуальные браузеры могут принимать разные формы. На базовом уровне виртуальный браузер может работать на стороне клиента, в «песочнице» или на виртуальной машине для конкретного браузера, которая физически расположена на конечной точке. В качестве альтернативы среда просмотра может находиться на удаленном компьютере, например на назначенном сервере в демилитаризованной зоне организации или даже в облаке. Этот тип виртуального браузера обычно включает в себя настройку выделенной среды RDS (службы удаленных рабочих столов) или VDI (инфраструктуры виртуальных рабочих столов) (обычно на основе Windows) для просмотра веб-страниц. Реализация такой среды включает в себя сложную инфраструктуру RDS / VDI, а также может потребовать приобретения клиентских лицензий Microsoft RDS.
Удаленная изоляция браузера (RBI) начинается с той же базовой концепции виртуального браузера, но продвигается на шаг дальше. Как подразумевается под его именем, изоляция удаленного браузера выполняет действия пользователя по просмотру в удаленном месте, изолированном от локальной сети, в отличие от сценария RDS / VDI, описанного выше. Но на этом сходство заканчивается. Вместо использования полной реализации RDS или виртуального рабочего стола, с RBI удаленный виртуальный браузер запускается в специальном легковесном контейнере Linux, при этом для каждой вкладки браузера выделяется отдельный ресурс. Когда пользователь впервые запускает сессию просмотра, будь то нажатие на ссылку или ввод URL в браузере, один из контейнеров из пула выделяется для этой сессии. Весь активный веб-контент визуализируется в изображения и звук внутри контейнера и передается в режиме реального времени на устройство пользователя для полностью прозрачного и интерактивного просмотра веб-страниц. Поскольку на пользовательском устройстве не запускается веб-код, ваша сеть и конечные точки защищены от любых вредоносных программ или других угроз, которые могут скрываться в исходном коде. Когда пользователь закрывает или скрывает вкладку, соответствующий контейнер выбрасывается вместе с вредоносными программами, которые в противном случае могли бы нарушить безопасность организации.
В то время как оба решения обеспечивают столь необходимый уровень защиты от угроз, исходящих от браузеров, RBI предлагает множество преимуществ с точки зрения накладных расходов, пользовательского опыта и, самое главное, безопасности.
Более того. Многие удаленные виртуальные браузеры работают на технологиях RDS/VDI, это означает, что требования к оборудованию и настройка сервера/клиента нетривиальны, а также может потребовать приобретения Microsoft CAL (Client Access Licenses). Аналогичным образом, требования к аппаратной совместимости некоторых решений виртуализации клиентской стороны могут потребовать обновления ПК и могут не поддерживать другие ОС кроме Windows. Напротив, решения RBI, использующие контейнерную архитектуру на базе Linux, требуют значительно меньшей серверной инфраструктуры, чем решения на базе виртуализации, что обеспечивает значительную экономию затрат в долгосрочной перспективе (и делает их более масштабируемыми в геометрической прогрессии).
Пользовательский опыт. Виртуальным браузерам требуется время на запуск — на инициирование сессии RDP может уйти несколько секунд. Контейнерные удаленные браузеры, используемые для решений RBI, запускаются мгновенно. Более того, в связи с ресурсоемкими требованиями типичного решения виртуального браузера, многие виртуальные браузеры используют отдельные браузеры или отдельные вкладки для просмотра внутренних сайтов по сравнению с внешними. В удаленных браузерах вы можете использовать один и тот же браузер или одну и ту же вкладку, при этом трафик для просмотра будет безупречно маршрутизироваться в соответствии с определениями прокси-серверов организации.
Безопасность: Легкие контейнеры, используемые для просмотра в реализации RBI, позволяют запускать новую изолированную среду просмотра для каждой вкладки и сеанса просмотра, и отбрасывать ее, когда вкладка или сеанс больше не используются, тем самым устраняя распространение вредоносного ПО (например, XSS) и его стойкость. Ericom Shield, в частности, предлагает дополнительный уровень безопасности, обеспечивая встроенную дезинфекцию любых загруженных файлов для защиты от скрытых вредоносных программ, которые могут быть встроены внутрь.
Независимо от того, выберите ли вы подход виртуализации браузера или удаленную изоляцию браузера, мы настоятельно рекомендуем вам перейти на по-настоящему безопасную технологию просмотра веб-страниц. Традиционные решения, такие как брандмауэры, антивирусное программное обеспечение и защищенные веб-шлюзы, больше не подходят для защиты от разнообразных угроз, возникающих в результате одного неверного щелчка мыши.
Статья переведена компанией Softprom — официальным дистрибьютором Ericom.
А на нашей платформе можно узнать подробнее об ERICOM Shield Remote Browser Isolation и его основных конкурентах.
Конечно, среднестатистический бизнес-пользователь, вероятно, не склонен посещать сайты, которые он не считает безопасными. Тем не менее, даже если вы просматриваете только легальные сайты, вы никогда не можете быть полностью уверены, что они безопасны.
Хакеры могут манипулировать практически любым сайтом, вставляя код, который заражает ваш браузер в считанные секунды, как только вы загружаете сайт или кликаете куда-нибудь. Прежде чем вы это узнаете, ваше устройство вместе со всей корпоративной сетью будет взломано.
Суть в том, что, если у вас не включена какая-либо форма безопасного просмотра, каждый раз, когда один из ваших сотрудников пользуется интернетом, он подвергает ваш бизнес огромному потенциальному риску. Вредоносное ПО может быть установлено в мгновение ока — включая безфайловые или ранее неизвестные угрозы «нулевого дня», которые могут ускользнуть от большинства решений для защиты от вредоносных программ.
Безопасный просмотр
Существует несколько подходов к защите себя и своей компании от веб-вредоносных программ. Традиционный подход основан на таких решениях, как антивирусное программное обеспечение и брандмауэры, для обнаружения и блокирования угроз. Кроме того, есть много шагов, которые вы можете предпринять для защиты обычных браузеров, таких как установка плагинов для отключения скриптов и настройка параметров конфиденциальности. Однако обычного подхода недостаточно: слишком часто что-то непредвиденное может проскользнуть сквозь эти гарантии. Чтобы по-настоящему уверенно выходить в сеть, необходим совершенно другой и более активный метод.
Мы сравним и сопоставим два ведущих подхода к безопасному просмотру, а именно — виртуализация браузера и удаленная изоляция браузера.
Что такое виртуальный браузер?
При виртуализации браузера веб-браузер работает в виртуальной среде, которая отделена от локальной операционной системы, тем самым обеспечивая буфер между операцией просмотра и конечной точкой. В результате любая вредоносная программа, с которой сталкиваются во время сеанса просмотра, будет заражать только виртуальную среду, в которой фактически работает браузер.
Виртуальные браузеры могут принимать разные формы. На базовом уровне виртуальный браузер может работать на стороне клиента, в «песочнице» или на виртуальной машине для конкретного браузера, которая физически расположена на конечной точке. В качестве альтернативы среда просмотра может находиться на удаленном компьютере, например на назначенном сервере в демилитаризованной зоне организации или даже в облаке. Этот тип виртуального браузера обычно включает в себя настройку выделенной среды RDS (службы удаленных рабочих столов) или VDI (инфраструктуры виртуальных рабочих столов) (обычно на основе Windows) для просмотра веб-страниц. Реализация такой среды включает в себя сложную инфраструктуру RDS / VDI, а также может потребовать приобретения клиентских лицензий Microsoft RDS.
Удаленная изоляция браузера
Удаленная изоляция браузера (RBI) начинается с той же базовой концепции виртуального браузера, но продвигается на шаг дальше. Как подразумевается под его именем, изоляция удаленного браузера выполняет действия пользователя по просмотру в удаленном месте, изолированном от локальной сети, в отличие от сценария RDS / VDI, описанного выше. Но на этом сходство заканчивается. Вместо использования полной реализации RDS или виртуального рабочего стола, с RBI удаленный виртуальный браузер запускается в специальном легковесном контейнере Linux, при этом для каждой вкладки браузера выделяется отдельный ресурс. Когда пользователь впервые запускает сессию просмотра, будь то нажатие на ссылку или ввод URL в браузере, один из контейнеров из пула выделяется для этой сессии. Весь активный веб-контент визуализируется в изображения и звук внутри контейнера и передается в режиме реального времени на устройство пользователя для полностью прозрачного и интерактивного просмотра веб-страниц. Поскольку на пользовательском устройстве не запускается веб-код, ваша сеть и конечные точки защищены от любых вредоносных программ или других угроз, которые могут скрываться в исходном коде. Когда пользователь закрывает или скрывает вкладку, соответствующий контейнер выбрасывается вместе с вредоносными программами, которые в противном случае могли бы нарушить безопасность организации.
Виртуальный браузер VS Удаленный изолированный браузер.
В то время как оба решения обеспечивают столь необходимый уровень защиты от угроз, исходящих от браузеров, RBI предлагает множество преимуществ с точки зрения накладных расходов, пользовательского опыта и, самое главное, безопасности.
Более того. Многие удаленные виртуальные браузеры работают на технологиях RDS/VDI, это означает, что требования к оборудованию и настройка сервера/клиента нетривиальны, а также может потребовать приобретения Microsoft CAL (Client Access Licenses). Аналогичным образом, требования к аппаратной совместимости некоторых решений виртуализации клиентской стороны могут потребовать обновления ПК и могут не поддерживать другие ОС кроме Windows. Напротив, решения RBI, использующие контейнерную архитектуру на базе Linux, требуют значительно меньшей серверной инфраструктуры, чем решения на базе виртуализации, что обеспечивает значительную экономию затрат в долгосрочной перспективе (и делает их более масштабируемыми в геометрической прогрессии).
Пользовательский опыт. Виртуальным браузерам требуется время на запуск — на инициирование сессии RDP может уйти несколько секунд. Контейнерные удаленные браузеры, используемые для решений RBI, запускаются мгновенно. Более того, в связи с ресурсоемкими требованиями типичного решения виртуального браузера, многие виртуальные браузеры используют отдельные браузеры или отдельные вкладки для просмотра внутренних сайтов по сравнению с внешними. В удаленных браузерах вы можете использовать один и тот же браузер или одну и ту же вкладку, при этом трафик для просмотра будет безупречно маршрутизироваться в соответствии с определениями прокси-серверов организации.
Безопасность: Легкие контейнеры, используемые для просмотра в реализации RBI, позволяют запускать новую изолированную среду просмотра для каждой вкладки и сеанса просмотра, и отбрасывать ее, когда вкладка или сеанс больше не используются, тем самым устраняя распространение вредоносного ПО (например, XSS) и его стойкость. Ericom Shield, в частности, предлагает дополнительный уровень безопасности, обеспечивая встроенную дезинфекцию любых загруженных файлов для защиты от скрытых вредоносных программ, которые могут быть встроены внутрь.
Независимо от того, выберите ли вы подход виртуализации браузера или удаленную изоляцию браузера, мы настоятельно рекомендуем вам перейти на по-настоящему безопасную технологию просмотра веб-страниц. Традиционные решения, такие как брандмауэры, антивирусное программное обеспечение и защищенные веб-шлюзы, больше не подходят для защиты от разнообразных угроз, возникающих в результате одного неверного щелчка мыши.
Статья переведена компанией Softprom — официальным дистрибьютором Ericom.
А на нашей платформе можно узнать подробнее об ERICOM Shield Remote Browser Isolation и его основных конкурентах.
rtkprg2
И не только хакеры, но и Ростелеком этим занимается. :)