网站安全隔离-RBI技术
网站安全隔离之-RBI技术分享
网络安全的背景说明
随着越来越多的日常用户活动上网,基于Web 的攻击数量急剧增加。根据2020 年 Sonicwall 网络威胁报告,2019 年Web 应用程序攻击的数量与 2018 年相比增加了 52%。2020 年,网络安全专家指出,由于在 COVID-19 大流行期间全球转向远程工作,此类攻击将进一步增加。
而且另一方面随着新的技术发展,尤其现在企业业务架构由原来的IDC迁移到云上,网络安全的攻击也跟随着变化。
对于所有web类的业务存在的攻击是比较频繁的,比如大家耳熟能详的SQL注入、XSS攻击,CSRF攻击等,那如何更好的防护就是一个新的难题。
基于Web 的攻击使组织面临两个主要威胁来源:基于浏览器的恶意软件和网络钓鱼攻击。当黑客将一段恶意代码注入网站组件或文件时,就会发生基于浏览器的攻击。此代码利用浏览器漏洞或用户错误来传播恶意软件、拦截流量或获取对用户端点的访问权限。因此,攻击者可以:用恶意软件感染用户的设备;窃取或加密敏感数据;滥用计算资源;危害企业网络和连接到它的其他设备
RBI技术到底是什么
所有的技术都是伴随着目的,那远程浏览器技术的目的是什么呢-减少或者说避免web类的攻击,降低暴露面,保护web站点的安全。
远程浏览器隔离就是指RBI技术,RBI的全称是Remote Browser Isolation。简单来说,就是用户不使用本地的浏览器直接上网,而是连接到一个远程服务器上,用服务器上的“远程浏览器”上网。全程数据只落在远程服务器上,不落在本地。
那远程浏览器隔离是怎么工作的呢?
据了解,当用户访问网页时,RBI服务器上会创建一个远程浏览器会话;本地的交互操作同步到远程浏览器;打开的网页代码在远程浏览器中加载,传给用户本地的只有“影像”,网页内容不实际下载到本地。
换个方式理解可以为:A要和B沟通,现在出现了C作为中间人,A无法直接接触到B,通过C代为中转介绍,如果A要刺杀B,或者寄了一瓶有毒的饮料(攻击)给B,那么会在C这里被处理,从而保护了B,甚至该技术通过DOM重建减少了JS,这个作用可以理解为A刺杀B的路被隐藏了或者说改写了,A以为是刺杀B,其实是刺杀C,也就是用户加载的是C的JS。
因此,即使网页中存在恶意代码,也攻击不到用户。这彻底消除了用户受攻击的可能性。此外,远程浏览器隔离(RBI)还有一个好处——数据防泄密。企业的敏感数据也只能存在于远程浏览器上,无法下载到本地。即,数据不落地。
技术原理分析:
RBI服务器作为整个方案实现的载体。Web服务的内容在RBI服务器提供的隔离容器中根据不同的技术进行重建,然后提供给最终用。图中代表客户端到RBI服务之间交互协议根据不同方案这边协议有所不同,现在大部分还是HTTP协议,但也有私有化协议。当然有些方案需要客户端安装特定的client-如cloudflare的全站隔离就是通过客户端部署agent实现的,有些无客户端方案直接使用主流的浏览器即可。
具体是如何实现安全防护的呢-DOM重建技术:
DOM 通过在将内容转发到本地端点浏览器之前对 HTML 和 CSS 等进行清理。通过重建 HTML 和 CSS 等来消除活跃代码、已知漏洞,以及其他潜在的恶意内容。可以解决像素推送方案在延迟、运营成本和用户体验方面的问题,但是确定就是容易导致网站保真度的问题,也就是兼容性问题对于以下内容复杂平凡更改的网站场景不是很合适。但是反过来对于一些简单的门户网站类场景就比较合适了。
初始的web信息如上,改写后的如下:
这就是DOM重建的意义,减少了JS,源码等信息,即是有JS也是C的JS不再是B的JS了,通过这样的防护极大程度上保护了web网站的安全,不需要WAF设备来做防护(成本高+安全策略需要具体分析配置规则)。
当然还有其他的技术如流如何传输,用户如何交互等,因为这里主要讨论安全层面的防护,就不过多赘述。
缺点
1.会增加用户的时延,因为多了个中间人,但是时延可控,不会很敏感。
2,DOM重建一般是自动实现+人工操作,由此也可以分析得出结论,偏静态的网站,简单的网站更容易,网站越复杂,工作量越大,而且如果网站更新频繁那就要再次DOM重建,也是新的工作量,动态业务敏感的业务也不适合该产品来做防护,所以其实RBI的防护和WAF也是一个互补的产品,毕竟尺有所短寸有所长。
3,考虑浏览器兼容性。
总结
有了远程浏览器隔离(RBI)技术之后,IT管理员可以采用更开放的互联网策略,让用户工作更便捷。即使用户访问了一些危险 Web内容,也不会影响到用户设备和企业网络。举个形象的例子,远程浏览器隔离(RBI)技术就像遥控的拆弹机器人。让机器人打开可疑包裹,即使包裹爆炸,也不会伤害到远处的真人。
简言之,远程浏览器隔离(RBI)技术的价值就是——不让好的内容流出去,不让坏的内容流进来。
网站安全隔离-RBI技术相关推荐
- Google的一个代理网站: 仅限技术搜索
Google的一个代理网站: 仅限技术搜索,不要输入账户密码 https://www.osjapan.net https://ipv6.google-api.ac.cn 转载于:https://blo ...
- Jenkins+Git+Gitlab+Ansible实现持续集成自动化部署动态网站(二)--技术流ken
项目前言 在上一篇博客<Jenkins+Git+Gitlab+Ansible实现持续化集成一键部署静态网站(一)--技术流ken>中已经详细讲解了如何使用这四个工具来持续集成自动化部署一个 ...
- 光电隔离抗干扰技术及应用
source: click here 光电隔离抗干扰技术及应用 在实际的电子电路系统中,不可避免地存在各种各样的干扰信号,若电路的抗干扰能力差将导致测量.控制准确性的降低,产生误动作,从而带来破坏 ...
- SSM团购网站(4):网站首页及公共技术点
网站首页及公共技术点 首页应该具有的功能: 首页的布局设计: 左上侧显示商品一二级分类及进入分类的链接 主体区域内按分类推荐各8个商品(每行四个,分两行) 每个商品显示摘要信息,点击可进入详情页 动态 ...
- JavaScript 网站加密和混淆技术
1.网站加密和混淆技术简介 随着大数据时代的发展,各个公司的数据保护意识越来越强,大家都在想尽办法保护自家产品的数据不轻易被爬虫爬走.由于网页是提供信息和服务的重要载体,所以对网页上的信息进行保护就成 ...
- 德国SNS交友/视频网站Poppen.de的技术架构分享
Poppen.de是一个德国的 交友/ 聊天/ 视频 的SNS网站, 部分内容NSFW,网站采用了很多我们熟悉的技术,像Nginx ,MySQL,CouchDB,Erlang,Memcached的,R ...
- java旅游网站毕业论文,基于JAVA技术的旅游网站的开发.doc
摘要: 这次毕设主要是为了实现基于JAVA技术的旅游网站的开发,方便人们近距离的出行游玩.网站的开发过程中用到了很多方法技术,最主要的是JAVA技术,用于编写后台的功能实现代码:框架采用的是Sprin ...
- 企业网站服务器负载均衡技术
Internet的快速增长使网络服务器,特别是Web服务器,面对的访问者数量快速增加,网络服务器需要具备提供大量并发访问服务的能力.例如sohu每天会收到数千百万次的访问请求,因此对于提供大负载Web ...
- 程序员养家活口接私活必备网站(顺便用技术改变世界)
程序员接私活的原因很多种(挣钱.养家糊口.提升技术等等).下面整理了一下网站送给最有潜能的你. 提前准备好自己的笔记本和技术呦. 1.码客帮:https://www.make8.com/ 码客帮是一个 ...
最新文章
- 十六、curator recipes之DistributedIdQueue
- Android 让EditText不可编辑
- linux防火墙怎么添加端口,手工添加Linux防火墙端口
- eui加载时间长_面试官:为什么 HashMap 的加载因子是0.75?
- 发布可伸缩超网SCARLET,小米AutoML团队NAS三部曲杀青
- 文件夹修改名字 matlab,matlab用 movefile更改文件夹内文件名字
- SAP CRM WebClient UI Home page里Workflow task retrieve logic
- 深入理解 ajax_xhr 对象
- AS/400开发经验点滴(六)如何制作下拉菜单
- A4双面打印多少钱一张
- java8中lambda的用法(map转list,list转map等等)
- Matplotlib绘制漫威英雄战力图,带你飞起来!
- Echarts 2dMap阴影,多个map分层现象以及飞线飞机航线
- 笔记本设置WiFi热点命令操作
- Codevs3315时空跳跃者的魔法
- simplest_ffmpeg_demuxer_simple(新版ffmpeg函数)
- Pytorch - 弹性训练原理
- 第二届SLAM暑期学校和全国技术论坛有感
- processing作业:画有五角星绕圈的国旗(此例:塔吉克斯坦共和国国旗)
- asynchronous aof fsync is taking too long (disk is busy?)