网站安全隔离-RBI技术

网站安全隔离之-RBI技术分享

网络安全的背景说明

随着越来越多的日常用户活动上网，基于Web 的攻击数量急剧增加。根据2020 年 Sonicwall 网络威胁报告，2019 年Web 应用程序攻击的数量与 2018 年相比增加了 52%。2020 年，网络安全专家指出，由于在 COVID-19 大流行期间全球转向远程工作，此类攻击将进一步增加。
而且另一方面随着新的技术发展，尤其现在企业业务架构由原来的IDC迁移到云上，网络安全的攻击也跟随着变化。
对于所有web类的业务存在的攻击是比较频繁的，比如大家耳熟能详的SQL注入、XSS攻击，CSRF攻击等，那如何更好的防护就是一个新的难题。
基于Web 的攻击使组织面临两个主要威胁来源：基于浏览器的恶意软件和网络钓鱼攻击。当黑客将一段恶意代码注入网站组件或文件时，就会发生基于浏览器的攻击。此代码利用浏览器漏洞或用户错误来传播恶意软件、拦截流量或获取对用户端点的访问权限。因此，攻击者可以：用恶意软件感染用户的设备；窃取或加密敏感数据；滥用计算资源；危害企业网络和连接到它的其他设备

RBI技术到底是什么

所有的技术都是伴随着目的，那远程浏览器技术的目的是什么呢-减少或者说避免web类的攻击，降低暴露面，保护web站点的安全。
远程浏览器隔离就是指RBI技术，RBI的全称是Remote Browser Isolation。简单来说，就是用户不使用本地的浏览器直接上网，而是连接到一个远程服务器上，用服务器上的“远程浏览器”上网。全程数据只落在远程服务器上，不落在本地。
那远程浏览器隔离是怎么工作的呢？
据了解，当用户访问网页时，RBI服务器上会创建一个远程浏览器会话；本地的交互操作同步到远程浏览器；打开的网页代码在远程浏览器中加载，传给用户本地的只有“影像”，网页内容不实际下载到本地。
换个方式理解可以为：A要和B沟通，现在出现了C作为中间人，A无法直接接触到B，通过C代为中转介绍，如果A要刺杀B，或者寄了一瓶有毒的饮料（攻击）给B，那么会在C这里被处理，从而保护了B，甚至该技术通过DOM重建减少了JS，这个作用可以理解为A刺杀B的路被隐藏了或者说改写了，A以为是刺杀B，其实是刺杀C，也就是用户加载的是C的JS。

因此，即使网页中存在恶意代码，也攻击不到用户。这彻底消除了用户受攻击的可能性。此外，远程浏览器隔离（RBI）还有一个好处——数据防泄密。企业的敏感数据也只能存在于远程浏览器上，无法下载到本地。即，数据不落地。
技术原理分析：

RBI服务器作为整个方案实现的载体。Web服务的内容在RBI服务器提供的隔离容器中根据不同的技术进行重建，然后提供给最终用。图中代表客户端到RBI服务之间交互协议根据不同方案这边协议有所不同，现在大部分还是HTTP协议，但也有私有化协议。当然有些方案需要客户端安装特定的client-如cloudflare的全站隔离就是通过客户端部署agent实现的，有些无客户端方案直接使用主流的浏览器即可。
具体是如何实现安全防护的呢-DOM重建技术：
DOM 通过在将内容转发到本地端点浏览器之前对 HTML 和 CSS 等进行清理。通过重建 HTML 和 CSS 等来消除活跃代码、已知漏洞，以及其他潜在的恶意内容。可以解决像素推送方案在延迟、运营成本和用户体验方面的问题，但是确定就是容易导致网站保真度的问题，也就是兼容性问题对于以下内容复杂平凡更改的网站场景不是很合适。但是反过来对于一些简单的门户网站类场景就比较合适了。

初始的web信息如上，改写后的如下：

这就是DOM重建的意义，减少了JS，源码等信息，即是有JS也是C的JS不再是B的JS了，通过这样的防护极大程度上保护了web网站的安全，不需要WAF设备来做防护（成本高+安全策略需要具体分析配置规则）。
当然还有其他的技术如流如何传输，用户如何交互等，因为这里主要讨论安全层面的防护，就不过多赘述。

缺点

1.会增加用户的时延，因为多了个中间人，但是时延可控，不会很敏感。
2，DOM重建一般是自动实现+人工操作，由此也可以分析得出结论，偏静态的网站，简单的网站更容易，网站越复杂，工作量越大，而且如果网站更新频繁那就要再次DOM重建，也是新的工作量，动态业务敏感的业务也不适合该产品来做防护，所以其实RBI的防护和WAF也是一个互补的产品，毕竟尺有所短寸有所长。
3，考虑浏览器兼容性。

总结

有了远程浏览器隔离（RBI）技术之后，IT管理员可以采用更开放的互联网策略，让用户工作更便捷。即使用户访问了一些危险 Web内容，也不会影响到用户设备和企业网络。举个形象的例子，远程浏览器隔离（RBI）技术就像遥控的拆弹机器人。让机器人打开可疑包裹，即使包裹爆炸，也不会伤害到远处的真人。
简言之，远程浏览器隔离（RBI）技术的价值就是——不让好的内容流出去，不让坏的内容流进来。