零信任的终端安全闭环

零信任理念有一个基本假设——威胁是始终存在的。所以，在零信任架构中，没有默认的信任。任何东西都默认存在威胁，在经过持续验证，达到一定可信等级前，不能接触企业资源。

零信任架构在保护服务端和保护客户端的时候，都遵守这个原则。

保护服务端的时候，默认所有用户都是存在威胁的，零信任网关会把用户跟服务端完全隔离开。

保护客户端的时候，默认所有网站都是存在威胁的，需要一种技术把网站内容跟客户端隔离开。如果不隔离的话，互联网上的病毒木马等威胁很容易入侵用户电脑，造成数据丢失或账号窃取。

零信任的标准白皮书中，没有详细描述过客户端的隔离技术。不过，实际市场上，已经存在解决方案。

目前，很多国外零信任厂商都在采用RBI技术（远程浏览器隔离）来解决客户端的安全问题。其中，最著名的Zscaler公司就通过收购Appsolate公司，在自己的零信任接入方案中融入了RBI技术。

RBI的全称是Remote Browser Isolation，即远程浏览器隔离。简单来说，就是用户不使用本地的浏览器直接上网，而是连接到一个远程服务器上，用服务器上的“远程浏览器”上网。全程数据只落在远程服务器上，不落在本地。

（1）当用户访问网页时，RBI服务器上会创建一个远程浏览器会话。

（2）本地的交互操作同步到远程浏览器

（3）打开的网页代码在远程浏览器中加载，传给用户本地的只有“影像”，网页内容不实际下载到本地。

因此，即使网页中存在恶意代码，也攻击不到用户。这彻底消除了用户受攻击的可能性。

此外，RBI还有一个好处——数据防泄密。企业的敏感数据也只能存在于远程浏览器上，无法下载到本地。

（1）VDI虚拟桌面

常见的VDI架构包括客户端和服务端两部分。用户实际上操作的是VDI服务端上的虚拟桌面，VDI客户端收到的只是服务端传回来的影像。

RBI与VDI相比，功能不同，各有适用的场景。RBI只支持远程浏览器操作，更轻量级。而VDI是基于整个操作系统桌面的，支持远程操作各种桌面应用程序。

从安全性上看，VDI和RBI区别并不太大。两者最主要的区别是成本和体验。

从成本角度看，VDI一般需要给每个用户配一台专用的瘦终端硬件，而RBI是基于web的，用户不用装客户端。另外，RBI方案常常是基于云提供的，成本和维护压力都小很多。

从用户体验看，RBI不受设备限制，用户可以用自己的电脑或者iPad访问，使用起来更便捷。

（2）本地沙箱

本地沙箱产品一般包括客户端和网关两部分。网关负责过滤客户端的请求，只允许用户下载有授权的文件。客户端会在用户电脑上建立一个虚拟的安全区。用户只能把公司的敏感文件下载到安全区里。

安全区相当于一个受管控的运行环境。用户可以在本地编辑安全区中的文件，但无法右键复制文件内容，或者另存到电脑的其他目录下。

从安全性上看，本地沙箱产品本质上还是会把文件落在用户电脑上，虽说会加密，但是还是存在一定的被窃取的可能。

从成本角度看，本地沙箱需要给用户安装一个客户端软件，比RBI重，但比VDI轻。

从用户体验看，本地沙箱是有一定的用户学习成本的，安全区的操作比较复杂，跟平时正常使用电脑是存在差别的。

另外，本地沙箱一般是用虚拟化技术实现的，会占用较高的CPU和内存，对用户电脑配置有一定要求。

（3）各种技术适合的场景和人群

VDI需要使用指定的瘦终端，RBI和本地沙箱可以使用用户自带设备。所以，像“呼叫中心”这类对电脑要求不高的场景，比较适合VDI。像“程序员、学者”这类对电脑要求比较高的办公场景更适合RBI和本地沙箱。

RBI只支持web应用，本地沙箱支持c/s架构的应用。所以程序员写代码，代码防泄密这种场景，更适合用本地沙箱。其他的轻度日常办公场景，如在网站系统里办理业务，在线编辑文档等等场景更适合用RBI。

由于RBI不需要本地安装任何软件，对于兼职人员、外包人员、第三方人员这些变动比较大的人来说，RBI更灵活，更方便。

另外，有些不让上网的单位，可以考虑用RBI技术，保证合规性的同时，允许员工在远程隔离环境下上网。帮助员工更好地完成工作和开展业务。

RBI技术的价值就是——不让好的内容流出去，不让坏的内容流进来。

之所以会产生数据泄密，中病毒等问题，都是因为web上的内容能落到终端设备上。RBI技术把用户跟web内容隔离开，用户接触不到web内容，就保证了用户无法泄密，病毒也无法进入用户设备。

（1）威胁

根据Gartner的调研，对用户及用户所在的企业网络的“成功攻击”几乎都源自公共互联网，并且许多攻击都是基于Web的。

只要用户访问了受感染的网站，恶意代码就可以通过浏览器进行攻击。恶意网站、钓鱼网站提供恶意广告，用户点击诱饵就会下发恶意内容、浏览器木马等等。只要浏览器连接到恶意站点，就会为网络犯罪分子打开通向用户设备以及企业网络的大门。

没打补丁的浏览器和插件非常容易受到攻击。而且用户特别不爱打补丁升级，很多漏洞甚至会在一年之后才被修复。而且现在的勒索病毒总是更新特别快，补丁防御永远不及时。

（2）防护

远程浏览器把用户跟企业网络隔离开，即使远程浏览器中了病毒，也传不到用户电脑上，没法对用户电脑造成损害。攻击者没有立足点，没法横向攻击企业网络内其他资源。

而且每次远程浏览器会话结束之后，都会进行重置，恢复为已知的良好状态。即使中了病毒，也会被及时清除，消除潜在的威胁。当然，可以保留部分可信网站的cookie和用户收藏夹，以提升用户体验。

如果用户必须要下载一些文件到本地的话，文件必须进行严格的安全检测。

有些厂商的RBI产品中，会集成CDR技术（内容解除和重建），保证下载的文件都是安全的。

CDR技术会在文件下载时，去除文件里的不安全的东西。CDR首先解构所有传入文件，删除与文件的类型结构规范不匹配的元素，再重建文件，保证源文件能正常可用。

CDR方法对文档特别有效，如果是其他文件的话，可以用杀毒软件进行病毒扫描，或者尝试在网络沙箱中引爆恶意软件。

举个形象的例子，RBI技术就像遥控的拆弹机器人。让机器人打开可疑包裹，即使包裹爆炸，也不会伤害到远处的真人。

（3）好处

有了RBI技术之后，IT管理员可以采用更开放的互联网策略，让用户工作更便捷。即使用户访问了一些危险的web内容，也不会影响到用户设备和企业网络。

（1）威胁

企业常常会面临数据“最后一公里”的安全问题。数据在服务器上是安全的，在传输过程中是安全的，但落到用户设备上之后可能会发生泄露。

数据是企业最贵的资产，重要的图纸、大量客户信息如果发生了泄露，会造成企业严重的经济损失，甚至会导致企业面临法律风险。

（2）防护

RBI技术可以做到“文件不落地”。用户在远程浏览器中下载的文件，可以限制只能保存在RBI服务器上，不能存到用户电脑上。

如果搭配了文档在线编辑技术，用户可以在线打开RBI服务器上下载的文档，进行编辑。

RBI技术可以限制文件的上传。例如用户想通过邮箱或网盘把文件传走，点击上传附件的时候，系统就会进行拦截，并弹出报警。

远程浏览器上还可以设置一些浏览器策略，例如把某个网站设为只读模式，这个网站就完全禁用复制、剪切等操作了。还可以在某个网站页面上增加水印，防止用户拍照、截图泄密。

（3）好处

RBI技术可以帮助企业达到数据防泄密的合规要求。一些重要的业务系统，例如财务系统，适合用RBI技术来保护。用户完全不能从系统里下载、复制机密信息。

（1）RBI技术的一个风险点是性能。网页是远程呈现的，因此操作效率受限于网络延迟。一个应对方案是选择基于云来提供的RBI服务。并且云端要部署分散在多个地理位置的分布式服务器，使远程浏览器尽可能地靠近用户，以此来减少延迟。

（2）RBI服务可能会成为用户访问Internet的单点故障，因此RBI服务必须具备高可用架构。

（3）如果业务系统对浏览器插件有要求的话，需要提前在远程浏览器上部署相应的插件。

（4）RBI服务器很可能是基于Linux的，因此可能无法兼容IE浏览器，互联网上要求必须用IE访问的网站已经非常少见了。不过，企业内的老旧系统，可能需要进行兼容适配。

（5）Web网站无法获取用户的位置，只能获取RBI服务器的位置。

（6）有些远程浏览器可能无法访问用户本地的麦克风和摄像头，远程会议可能会受到影响。

远程浏览器产品尚处于萌芽状态，当今企业采用率还不到1％。不过不少零信任厂商已经开始收购或自己开发这种技术。相信未来RBI技术一定会成为零信任架构的必备组件。

现阶段企业可以考虑优先将高风险场景纳入RBI技术的保护，打造零信任的终端安全闭环。

声明：除发布的文章无法追溯到作者并获得授权外，我们均会注明作者和文章来源。如涉及版权问题请及时联系我们，我们会在第一时间删改，谢谢！文章来源： 白话零信任 。