重塑浏览器:Cloudflare浏览器隔离测试版简介

2020-10-15 23:20:33

网络浏览器是70%终端安全漏洞背后的罪魁祸首。将用户连接到整个Internet的同一应用程序也将您连接到Internet的所有潜在有害部分。这是一扇通往地球上几乎所有相连系统的大门,这是强大而可怕的。

我们也比以往任何时候都更加依赖浏览器。我们使用的大多数应用程序都在浏览器中运行,而且还会继续增加。对于越来越多的组织来说,公司笔记本电脑只是一台托管的Web浏览器机器。

为了确保这些设备及其持有或访问的数据的安全,企业已经开始在浏览器本身不在机器上运行的情况下部署“浏览器隔离”服务。取而代之的是,浏览器运行在云提供商某处的虚拟机上。通过逃离设备,来自浏览器的威胁会停留在云中的某个虚拟机上。

但是,大多数隔离解决方案采用两种方法中的一种,这两种方法都会破坏Web浏览器的便利性和灵活性:

录制隔离的浏览器并将其实况流发送给用户,这会很慢,并且很难执行诸如向表单输入文本之类的基本操作。

对网页进行解包、检查、重新打包并将其发送给用户-有时会丢失威胁,或者更常见的情况是无法以仍然正常工作的方式重新打包网页。

今天,我们很兴奋地开启了第三种方法的测试版,通过Cloudflare浏览器隔离来保证网络浏览的安全。浏览器会话在全球200个城市的Cloudflare数据中心的沙箱环境中运行,使远程浏览器距离用户几毫秒,感觉就像本地Web浏览。

Cloudflare浏览器隔离不是将像素流式传输给用户,而是将浏览器的网页渲染的最终输出发送给用户。这种方法意味着,唯一发送到该设备的是一个绘制命令包来呈现网页,这也使得Cloudflare浏览器隔离与任何兼容HTML5的浏览器兼容。

其结果是,浏览器感觉就像一个浏览器,同时将威胁远离设备。

作为Cloudflare零信任周的一部分,我们今天邀请用户注册测试版。如果您现在有兴趣注册,请访问此帖子的底部。如果您想了解它是如何工作的,请继续阅读。

虽然它从来没有完全成为Marc Andreessen在1995年预测的替代操作系统,但Web浏览器可能是当今终端用户设备上最重要的应用程序。在工作场所,许多人将大部分工作计算机时间完全花在连接到内部应用程序和外部SaaS应用程序和服务的Web浏览器中。随着这种情况的发生,浏览器需要变得越来越复杂-以满足Web日益丰富的需求和现代Web应用程序(如Office365和Google Workplace)的需求。

然而,尽管Web浏览器扮演着举足轻重和无处不在的角色,但它们是企业中控制最少的应用程序。企业很难控制用户与网络浏览器的交互方式。用户很容易无意中下载受感染的文件,安装恶意扩展,上传敏感的公司数据,或者点击电子邮件或网页上的恶意零日链接。

使问题变得更糟的是日益盛行的自带设备。这使得很难强制要求使用哪些浏览器,或者是否正确修补了这些浏览器。移动设备管理(MDM)是朝着正确方向迈出的一步,但就像本地防火墙的缓慢修补周期一样,MDM通常速度太慢,无法抵御零日威胁。我收到了许多来自CISO的大量电子邮件,提醒每个人现在就给浏览器打补丁,因为这一次“真的很重要”(CVE-2019-5786)。

本周早些时候,我们发布了Cloudflare One,这是我们对企业网络未来的展望。我们采取的基本方法是一张白纸:摒弃旧模式(如城堡和护城河)的所有假设,引入基于当今企业网络的复杂性和向零信任、基于云的网络即服务转变的新模式。

如果不考虑浏览器,就不可能做到这一点。远程计算技术提供了修复浏览器问题的承诺已有一段时间-在未来,任何人都可以从个人设备上的云计算的安全性和规模中受益。现实情况是,获得一个总体性能良好的解决方案比听起来要困难得多。它需要通过互联网发送用户的输入,计算该输入,从网络上检索资源,然后将它们流式传输给用户。这一切都必须在毫秒内发生,才能创造出使用本地软件的错觉。

一般的体验都很糟糕,许多实现只会给IT人员带来愤怒的电子邮件和服务台罚单。

这是一个棘手的问题,也是我们一直在努力解决的问题。通过提供基于矢量的流,无需高带宽连接即可扩展到任何显示尺寸,我们能够远程重现原生浏览器体验。用户可以体验到网站的原意,而不会因为清理HTML、CSS和JavaScript而带来所有的兼容性问题。托管浏览器仅在几毫秒之外托管在我们的网络上,这极大地帮助了性能问题。

CloudFlare Access创建零信任网络边界,允许用户访问公司应用程序,而无需使用传统VPN设备在其内部网络中穿孔。

CloudFlare Gateway创建了一个安全的Web网关,可保护用户免受任何网站上的威胁。

这些工具非常适用于保护私有互联网财产免受来自已知恶意网站的未经授权的访问和Web浏览活动。但是,未知和不可预见的威胁怎么办?

CloudFlare浏览器隔离通过将Web浏览器沙箱放在远程容器中来回答这个问题,该容器可以在用户浏览会话结束时或受到危害时轻松处理。

如果诸如零日漏洞或恶意网站之类的未知威胁利用数百个Web API中的任何一个,则攻击仅限于在受监管的云环境中运行的浏览器,而最终用户的设备不受影响。

网络浏览器是向云计算转移的基础。只是他们总是跑错地方。

正如开发人员运行和维护其应用程序所在的硬件没有意义一样,同样的情况也适用于云等式的另一边:浏览器。有趣的是,解决方案完全相同:与开发人员的应用程序一样,浏览器需要迁移到云。然而,就像所有的颠覆一样,新技术的性能要赶上旧技术需要时间和投资。当AWS在2006年首次推出时,固有的限制意味着对于大多数开发人员来说,继续运行内部部署解决方案是有意义的。

不过,在某种程度上,这项技术改进到了可以开始从以前的范式中取代颠覆的地步。

到目前为止,基于云的浏览器的限制因素通常是使用体验。用户的体验受到光速的限制;它限制了用户输入传输到远程数据中心并返回到他们的显示器所需的时间。在完美的世界中,这需要在毫秒内发生,才能提供实时体验。

为了提供实时远程计算体验,我们的200多个数据中心都能够在几乎所有连接到互联网的人眨眼之间提供远程浏览会话。这使我们能够提供低延迟、响应速度快的网页流,无论您身处何处。

不过,说到这里就够了。我们很想请您尝尝!请在此处填写表格,注册成为我们网络中这项新技术的首批用户之一。当我们将测试版扩展到更多的用户时,我们会保持联系。

产品新闻零信任零信任周浏览器隔离零日威胁