混合辦公資安不是問題! Cloudflare「零信任網路存取」保護企業員工資產

近期 Covid-19 變種病毒再起,包括金融、科技等產業都快速啟動異地備援、混合辦公等模式,長期應戰疫後新常態。現今,混合辦公模式已是企業一大策略趨勢,員工一週幾天居家辦公、幾天回辦公室上班的情形越來越常見,因此,過往辦公室環境的裝置端點安全防護,如 VPN、存取控制列表、白名單等安控機制,在現今安全防護邊界愈趨模糊的時代,早已不敷使用。

隨著分散式管理/IT 架構日益被採納,不僅是員工從不同位置、不同裝置連線存取企業資源,企業資料也被存放於各地,此時,零信任安全(Zero Trust)架構與技術成為當今保護混合工作環境的最佳方案。例如,Cloudflare 近期推出的瀏覽器隔離(Browser isolation),可以說是當今保護使用者與企業網路免受網頁威脅攻擊的最佳方案之一。本文將會從網路瀏覽器弱點,到瀏覽器隔離技術,帶您掌握混合辦公下必備的資安服務。

零信任資安遵循「絶不信任,必須驗證」原則,會先行驗證每一筆網路交易,再予以通關。實際作法包括辨認保護範圍、定義零信任架構、建立安全存取原則等,來降低組織遭受網路威脅的風險。

2022 駭客最愛的攻擊管道之一:瀏覽器弱點

由於瀏覽器上有各式各樣的開源專案,加上各搜尋引擎、廣告商藉由瀏覽器存取使用者的瀏覽行為等,這些演變使得瀏覽器成為駭客網路攻擊最愛使用的管道。

許多瀏覽器的弱點源自於瀏覽器正常功能被用於惡意用途,如原本瀏覽器可用於下載檔案與文件,卻被用來下載含有惡意程式的檔案;在單一網頁上可動態載入來自多個網站的內容,卻被用於跨站指令碼攻擊(Cross-site scripting, XSS);原本瀏覽器可帶動網路廣告生態圈發展,但若無法偵測連結被劫持或轉址至含有惡意程式的網站或釣魚網站,則產生嚴重危害。諸如此類的例子層出不窮。

然而,企業目前用於防禦此類網頁威脅的技術,大多仰賴比對下載檔案或執行檔的特徵碼,以及比對 URL 清單或 DNS 位址,而此類方法的最大問題是很難與最新已知攻擊訊息(檔案特徵碼、URL清單、DNS位址)同步,也無法抵擋零時差攻擊。因為駭客能使用自動工具來產生大量不明特徵碼的檔案,或製造數百萬個臨時網站來對付 URL/DNS 的阻擋清單。

零日漏洞或零時差漏洞(Zero-day vulnerability、0-day vulnerability)通常是指還沒有修補程式的安全漏洞,而零日攻擊或零時差攻擊(Zero-day exploit、zero-day attack)則是指利用這種漏洞進行的攻擊 — 維基百科

 

目前大多數的資安防禦都是針對已知漏洞所設計,而零時差攻擊(zero-day attack)意味著駭客利用尚未修補的漏洞進行攻擊,此時企業如果正在使用含漏洞的系統,將深受影響。

而 Cloudflare 的零信任安全平台 Cloudflare for Teams,除了能對本地端、雲端所有的應用程式提供一致性的存取控制來避免資料外洩,也能透過安全網頁閘道器(SWG)服務保護使用者避免受到惡意軟體或網路釣魚攻擊等各種網路威脅危害,近期更推出瀏覽器隔離(Browser Isolation)服務,進一步保護使用者在瀏覽網頁時不會誤觸陷阱。

在 Cloudflare 零信任安全平台上提供瀏覽器隔離技術,保護各地工作使用者遠離網頁威脅,並搭配零信任網路存取及安全 Web 閘道。
icon/enlarge

瀏覽器隔離技術:需快速、輕量、易管理使用

瀏覽器隔離技術的原理,是讓使用者的網頁瀏覽器不在其終端裝置上執行,兩者透過實體隔離,藉以保護裝置及企業網路免遭漏洞攻擊。

通常瀏覽器隔離可分為用戶端的本地隔離或是遠端隔離兩種架構。本地隔離通常是在 app 層或作業系統層級的沙箱執行瀏覽器,但此類系統相當耗費記憶體及運算資源,且此類系統需要透過特定軟、硬體才能提供支援,不利 IT 人員管理,也難以掌握使用者瀏覽行為,無法滿足稽核與合規需求。因此,在雲端執行瀏覽器的遠端隔離方案,能實際隔離使用者終端裝置與企業網路,同時又滿足 IT 控制管理與合規需求。

「瀏覽器隔離」將執行不可信程式碼的負擔,從使用者裝置轉移到遠端隔離瀏覽器,不讓各種網頁威脅在終端裝置執行。
icon/enlarge

Cloudflare 瀏覽器隔離與一般瀏覽器隔離的不同

儘管遠端瀏覽器隔離技術問世已久,導入普及率卻不是很高,主要原因在於不良的使用體驗與效能問題,因為這些方案往往需要透過大量頻寬來執行像素推,或使用容易讓網頁破碎的內容重建技術。有些企業選擇只讓暴露在高度資安風險的使用者導入此技術,但如此作法防護不夠全面。而 Cloudflare的瀏覽器隔離技術是以 Chromium 為底層基礎(與Google Chrome、微軟Edge、Brave等瀏覽器相同的引擎),結合獨家網路向量轉譯(Network Vector Rendering)技術,即使網站使用複雜的網頁技術,Cloudflare 也能安全且一致地呈現網頁內容。

透過 Cloudflare的全球網路,將遠端瀏覽器放置在最接近每位使用者存取網際網路的節點上,所以不論使用者身在何處都能傳遞快速回應、低延遲的網頁串流內容。透過只傳送極少的繪製指令,只需耗用少量的網路頻寬就能讓使用者擁有暢快的上網體驗。經過實測,在低網速下使用 Cloudflare 瀏覽器隔,相較於一般本地端瀏覽器能更快速完成網頁內容載入。

Cloudflare 的瀏覽器隔離已整合至 Cloudflare for Teams 平台,能提供 IT 管理者一個彙整所有網路流量及隔離流量的檢視及監控模式,且能根據使用者身份、安全威脅或網頁內容來設定網站隔離的政策,就如同在網頁閘道器中根據網站內容或分類設定允許/阻擋連線一樣。不需使用者改變慣用的瀏覽器或 IT 需啟動其他網路設備的附加模組,Cloudflare 的瀏覽器隔離能以最安全、快速且簡便的方式,來保護企業免於瀏覽器帶來的網路威脅。

2022 資安白皮書:疫常時代下的雲端資安防禦首選

彙整 2021 年企業面臨的網路威脅攻擊情形,以及 Cloudflare 如何透過全球雲端及邊緣網路,以統一的架構與平台為企業混合的工作環境以及對外的網站服務,透過自動化的偵測技術立即緩解攻擊,並提供企業絕佳的 IT 掌握度與可視性。

立即下載
訂閱 CloudMile 電子報

所有 CloudMile 最新消息、產品動態、活動資訊和特別優惠,立即掌握。