Cloudflare今天宣布,它已經收購了S2系統公司,這是一家位于西雅圖地區的初創公司,它建立了一種創新的遠程瀏覽器隔離解決方案,與目前市場上的任何其他解決方案都不同。大多數終端危害都涉及Web瀏覽器——通過在用戶設備和Web代碼執行位置之間留出空間,瀏覽器隔離可以使終端安全得多。在這篇博客文章中,我將討論什么是瀏覽器隔離,為什么它如此重要,S2 Systems云瀏覽器如何工作,以及它如何與Cloudflare幫助構建更好的互聯網的使命相契合。

網絡瀏覽有什么問題?

距離蒂姆?伯納斯-李(Tim Berners-Lee)撰寫項目提案已經過去30多年了,該提案定義了我們現在所稱的萬維網的基礎技術。伯納斯-李設想的對“數千人有用,其中許多人非常有創造力,他們都在朝著共同的目標努力”[1] ,已經發展成為商業、商務、全球經濟的基本組成部分,也是世界上超過58%的人口使用的社會的組成部分[2]。

毫無疑問,萬維網和web瀏覽器已經成為人們日常工作(和娛樂)的平臺。然而,隨著網絡的普及,壞人的機會也越來越多。幾乎每天都有新的重大網絡安全漏洞的新聞。幾個促成因素將網絡犯罪推到了前所未有的水平:黑客工具的商業化,惡意軟件即服務(malware-as-a-service)的出現,資金雄厚的國家和有組織犯罪的出現以及加密貨幣的發展(使各種惡意行動者能夠匿名地從活動中獲利)。

為網絡提供動力的結構和底層技術本質上很難得到保護。一些瀏覽器漏洞是由于非法使用合法功能導致的:允許瀏覽器下載文件和文檔是好的,但允許下載受惡意軟件感染的文件是不好的;在一個頁面中跨多個站點動態加載內容是好的,但是跨站點腳本編寫是不好的;建立一個廣泛的廣告生態系統是好事,但無法檢測被劫持鏈接或惡意重定向到惡意軟件或釣魚網站則是壞事:諸如此類。

企業瀏覽器問題

企業在使用傳統瀏覽器時還面臨著其他挑戰。

矛盾的是,IT部門對企業中最常見的應用程序——web瀏覽器的控制最少。企業安全和IT專業人員對web瀏覽器最常見的抱怨是:

  1. 安全性(顯然)。 公共互聯網是安全漏洞不斷產生的根源,并且自2016年以來攻擊次數現已增長了11倍,這個問題正變得日益嚴重(Meeker [7])。檢測和補救的成本在不斷增加,違規造成的聲譽損失和經濟損失可能很大。
  2. 控制。IT部門幾乎不了解用戶活動,利用內容解除和重構(CDR)和數據丟失預防(DLP)機制的能力有限,包括何時、何地由誰下載/上傳文件。
  3. 遵從性。由于無法跨地理區域控制數據和活動,或無法捕獲數據,審計遙測技術必須滿足日益嚴格的法規要求。這將招致大量罰款。

鑒于電子郵件和web瀏覽等日常用戶活動暴露的漏洞,一些組織試圖限制這些活動。由于兩者都是合法的關鍵業務功能,限制或減少web瀏覽器使用的努力不可避免地會失敗,或對業務生產力和員工士氣產生實質性的負面影響。

當前緩解瀏覽網頁固有的安全性問題的方法,主要基于數據文件和可執行文件的簽名技術,以及已知的好/壞URL和DNS地址的列表。這些方法面臨的挑戰是,很難與已知攻擊(文件簽名、url和DNS地址)保持同步,以及它們在零日攻擊面前固有的脆弱性。黑客們設計了自動化的工具來破解基于簽名的方法(例如,生成大量帶有未知簽名的文件),并創建數百萬個臨時網站來破解URL/DNS黑名單。

盡管這些方法肯定可以防止某些攻擊,但是事件的數量和安全漏洞的嚴重性顯然表明需要更有效的替代方法。

什么是瀏覽器隔離?

瀏覽器隔離背后的核心概念是通過物理隔離在用戶的web瀏覽器和終端設備之間創造“間隙”,從而保護設備(和企業網絡)免受攻擊。與依靠已知威脅模式或特征的安全Web網關,防病毒軟件或防火墻不同,這是一種零信任方法。

有兩種主要的瀏覽器隔離架構:(1)基于客戶端的本地隔離和(2)遠程隔離。

本地瀏覽器隔離嘗試使用應用程序級或操作系統級沙盒隔離運行在本地終端上的瀏覽器。不僅在隔離失敗時終端將處于風險中,這些系統還需要大量的終端資源(內存+計算性能),這些資源往往很脆弱,而且很難管理,因為它們依賴于特定硬件和軟件組件的支持。

此外,本地瀏覽器隔離并不能解決上述控制和合規性問題。

遠程瀏覽器隔離(RBI)通過將瀏覽器移至云中的遠程服務或企業網絡內的單獨的本地服務器來保護終端:

  • 內部隔離只是將風險從終端重新定位到企業內的另一個位置,而沒有實際消除風險。
  • 基于云的遠程瀏覽將最終用戶設備與企業網絡隔離開,同時完全啟用了IT控制和合規性解決方案。

鑒于其固有的優勢,大多數瀏覽器隔離解決方案(包括S2 Systems)都利用了基于云的遠程隔離。正確實施的遠程瀏覽器隔離可以保護組織免受瀏覽器利用,插件,零日漏洞,惡意軟件和嵌入在web內容中的其他攻擊。

遠程瀏覽器隔離(RBI)如何運作?

在典型的基于云的RBI系統(下面的藍色虛線框?)中,單個遠程瀏覽器?作為一次性容器化實例在云中運行——通常,每個用戶一個實例。遠程瀏覽器使用特定協議和數據格式?將網頁呈現的內容發送到用戶端點設備?。用戶的操作(如按鍵、鼠標和滾動命令)通過安全加密的通道發送回隔離服務,遠程瀏覽器在通道中處理這些操作,對遠程瀏覽器頁面的任何更改都將發送回終端設備。

實際上,終端設備是在“遠程控制”云瀏覽器。一些RBI系統使用安裝在本地終端上的私有客戶端,而另一些則利用終端上現有的html5兼容瀏覽器,被認為是“無客戶端”的。

遠程瀏覽器中發生的數據泄露與本地終端和企業網絡隔離。在每個會話之后,每個遠程瀏覽器實例都被視為受到感染并終止。新的瀏覽器會話從一個新的實例開始。顯然,RBI服務必須防止瀏覽器漏洞從瀏覽器容器外泄漏到服務本身。大多數RBI系統提供遠程文件查看器,從而消除了下載文件的需要,但是也能夠在允許下載之前檢查文件中的惡意軟件。

上述架構中的關鍵組件是云RBI服務采用的特定遠程處理技術。遠程處理技術對RBI服務的運營成本和可擴展性,網站保真度和兼容性,帶寬要求,終端硬件/軟件要求甚至用戶體驗都具有重大影響。遠程技術還決定了RBI系統提供的有效安全級別。

當前所有的云RBI系統都采用以下兩種遠程技術之一:

(1)像素推送是一種基于視頻的方法,可捕獲遠程瀏覽器“窗口”的像素圖像,并將圖像序列傳輸到客戶端終端瀏覽器或專有客戶端。這類似于遠程桌面和VNC系統的工作方式。盡管被認為是相對安全的,但是這種方法存在一些固有的挑戰:

  • 持續編碼和向用戶終端設備傳輸遠程網頁視頻流的成本非常高。將這種方法擴展到數百萬用戶在財力上是非常困難的,在邏輯上也很復雜。
  • 需要大量帶寬。即使在高度優化的情況下,推動像素也是帶寬密集型的。
  • 不可避免的延遲會導致不滿意的用戶體驗。這些系統往往運行緩慢,并會產生大量用戶投訴。
  • 高帶寬要求加上連接不一致會降低移動支持性。
  • HiDPI顯示可能以較低的分辨率渲染。像素密度隨分辨率呈指數增長,這意味著HiDPI設備上的遠程瀏覽器會話(尤其是字體)可能顯得模糊或失焦。

(2)DOM重構應運而生,以應對像素推送的缺點。DOM重構嘗試在將內容轉發到本地終端瀏覽器之前清除網頁HTML、CSS等。對底層HTML、CSS等進行重構,以消除活動代碼、已知的攻擊和其他潛在的惡意內容。在解決像素推送的延遲、運營成本和用戶體驗問題的同時,也引入了兩個重要的新問題:

  • 安全性。底層技術——HTML、CSS、web字體等——是黑客用來攻破端點的攻擊載體。試圖刪除惡意內容或代碼就像清除蚊子:您可以嘗試清除它們,但它們仍然是危險和惡意內容的固有載體。即使通過RBI系統,也不可能預先確定利用這些技術的所有手段。
  • 網站保真度。不可避免地,嘗試刪除惡意活動代碼,重建HTML,CSS和現代網站的其他方面會導致頁面無法正常渲染或根本無法渲染。今天能運作的網站明天可能無法運作,因為網站發布者進行的每日更改可能會破壞DOM重建功能。其結果是,在一場無休無止的打地鼠游戲中,需要大量資源的問題層出不窮。盡管帶有惡意軟件的網絡電子郵件仍然是漏洞的重要來源,但某些RBI解決方案仍在努力支持通用的企業范圍服務,例如Google G Suite或Microsoft Office 365。

客戶只能在一個安全的解決方案和一個更快、更不安全的解決方案之間做出選擇。這些折衷條件促使一些RBI供應商在其產品中均包含有這兩種遠程技術。但是,這無異于讓客戶在沒有解決基本問題的情況下自行挑選毒藥。

考慮到目前RBI系統中存在的重大權衡,對當前客戶進行的一個常見優化是,僅將遠程瀏覽功能部署到組織中最脆弱的用戶,如高風險高管、財務人員、業務開發人員或HR員工。就像在教室里為一半的學生接種疫苗一樣,這導致了一種錯誤的安全感,而這種安全感對保護更大的組織作用甚微。

不幸的是,當前遠程瀏覽器隔離系統造成的最大“缺口”是底層隔離概念的潛力與當前可用RBI系統的實現現實之間的空白。

S2系統遠程瀏覽器隔離

S2系統遠程瀏覽器隔離是一種基于S2專利技術的完全不同的方法,這種技術稱為網絡矢量渲染(NVR)。

S2遠程瀏覽器基于構建Google Chrome的開源Chromium引擎。除了為擁有約70%市場份額[8]的Google Chrome提供支持之外,Chromium還為其他21種網絡瀏覽器(包括新的Microsoft Edge瀏覽器[9])提供支持。[9]結果,對Chromium引擎的大量持續投資確保了最高水平的網站支持,兼容性和持續不斷的改進。

Chromium瀏覽器的一個關鍵架構特性是它對Skia圖形庫的使用。Skia是一個廣泛使用的跨平臺圖形引擎,適用于Android、谷歌Chrome、Chrome OS、Mozilla Firefox、Firefox OS、FitbitOS、Flutter、Electron應用框架等產品。與Chromium一樣,Skia的廣泛性確保了廣泛的硬件和平臺支持。

Skia代碼片段

在Chromium瀏覽器窗口中可見的所有內容均通過Skia渲染層進行渲染。這包括應用程序窗口UI(例如菜單),但更重要的是,網頁窗口的整個內容都是通過Skia呈現的。Chromium的合成、布局和渲染非常復雜,有多個并行路徑,針對不同的內容類型、設備上下文等進行了優化。下圖為說明S2的工作方式提供了極大簡化(對Chromium專家表示歉意):

S2 Systems NVR技術截獲遠程Chromium瀏覽器的Skia繪制命令?,對其進行令牌化和壓縮,然后將其加密并有線傳輸?到任何在用戶本地運行的HTML5兼容Web瀏覽器?(Chrome,Firefox,Safari等)——于本地運行在用戶終端電腦或移動設備。NVR捕獲的Skia API命令是預柵格化的,這意味著它們非常緊湊。

首次使用時,S2 RBI服務將NVR WebAssembly(Wasm)庫透明地推送到終端設備上的本地HTML5 Web瀏覽器,并在該Web瀏覽器中對其進行緩存以備后用。NVR Wasm代碼包含一個嵌入式Skia庫和必要的代碼——用于解壓縮,解密和“重放”從遠程RBI服務器到本地瀏覽器窗口的Skia繪制命令。WebAssembly能夠“通過利用各種平臺上可用的通用硬件功能” [10],以接近本機繪圖性能運行。

S2遠程瀏覽器隔離服務在云中使用無請求頭Chromium基礎的瀏覽器,透明地截取繪制層輸出,在web上高效安全地傳輸繪制命令,并在本地HTML5瀏覽器的窗口中重新繪制。這種架構具有許多技術優勢:

(1)安全性:底層數據傳輸不再使用現有的攻擊媒介,并且不會迫使客戶在安全性和性能之間進行權衡。

(2)網站兼容性:沒有網站兼容性問題,也沒有追逐不斷發展的Web技術或新出現的漏洞的麻煩。

(3)性能:該系統非???,通常比本地瀏覽器要快(這是以后要發布的博客中的項目)。

(4)透明的用戶體驗:S2遠程瀏覽感覺像在本機瀏覽;用戶通常不知道他們在遠程瀏覽。

(5)與大多數網站的本地瀏覽相比,所需帶寬更少。支持高級緩存和web瀏覽器以及Web內容和技術的性質所獨有的其他專有優化。

(6)無客戶端:利用已經安裝在用戶終端桌面和移動設備上的現有HTML5兼容瀏覽器。

(7)具有成本效益的可擴展性:盡管這一細節不在本文討論范圍之內,但S2后端和NVR技術的運營成本大大低于現有的RBI技術。運營成本會直接轉化為客戶成本。S2系統的設計目的是讓整個企業都可以部署,而不僅僅是針對用戶(也即為半個班級接種疫苗),這對客戶來說既可行又有吸引力。

(8)RBI-as-a-platform:可實現相關/相鄰服務,例如DLP,內容撤除和重建(CDR),網絡釣魚檢測和預防等。

S2系統遠程瀏覽器隔離服務和底層NVR技術消除了瀏覽器隔離的概念潛力和前景與當前RBI技術不令人滿意的現實之間的矛盾。

Cloudflare + S2 Systems遠程瀏覽器隔離

Cloudflare的全球云平臺非常適合遠程瀏覽隔離。與我們的云原生性能、可靠性和先進的安全產品和服務的無縫集成為我們的客戶提供了強大的功能。

我們的Cloudflare Workers架構能夠在90多個國家的200個城市實現邊緣計算,并將瀏覽器部署在發達國家99%的互聯網連接人口可在百毫秒內連接到的地方。Cloudflare有超過2000萬個互聯網屬性直接連接到我們的網絡,Cloudflare遠程瀏覽器隔離將受益于本地緩存的數據,并建立在我們網絡令人印象深刻的連通性和性能之上。我們的Argo智能路由充分利用了我們的通信骨干網,在更快速、更可靠的網絡路徑上路由流量,從而使訪問web資產的速度平均提高了30%。

一旦它集成到我們的Cloudflare團隊高級安全產品套件中,遠程瀏覽器隔離將提供保護,防止瀏覽器漏洞、零日漏洞、惡意軟件和嵌入在web內容中的其他攻擊。企業將能夠保護所有員工的瀏覽器,而不必在安全性和用戶體驗之間進行權衡。該服務將使IT能夠控制瀏覽器傳輸的企業數據和遵從性監督。我們的產品和服務之間的無縫集成將使用戶和企業能夠毫無顧慮地瀏覽網頁。

Cloudflare的使命是幫助建立一個更好的互聯網。這意味著在用戶和企業在互聯網上工作和娛樂時對其進行保護;這意味著使互聯網訪問快速,可靠和透明。對web瀏覽器的工作方式進行重新設計和使其變得現代化是幫助構建更好的互聯網的重要組成部分。


[1] https://www.w3.org/History/1989/proposal.html

[2] “Internet World Stats,”https://www.internetworldstats.com/, retrieved 12/21/2019.

[6] “2019 Webroot Threat Report: Forty Percent of Malicious URLs Found on Good Domains”, February 28, 2019

[7] “Kleiner Perkins 2018 Internet Trends”, Mary Meeker.

[8] https://www.statista.com/statistics/544400/market-share-of-internet-browsers-desktop/, retrieved December 21, 2019

[9] https://en.wikipedia.org/wiki/Chromium_(web_browser), retrieved December 29, 2019

[10] https://webassembly.org/, retrieved December 30, 2019