КиберБезОскара
КиберБезОскара
Читать в Telegram

Удалённая изоляция браузера (RBI)

КиберБезОскара

Я - Оскар, эксперт в ИБ. Пишу о рынке кибербезопасности с техническими деталями, средствах защиты и управлении командой в ИБ. Более 15 лет опыта, MBA CSO. Канал отражает личное мнение. Для связи @goscars

Открыть в TelegramДругие публикации
rbiизоляция браузераremote browser isolation

Удаленная изоляция браузера (Remote Browser Isolation, RBI) позволяет реализовать модель воздушного зазора при доступе пользователей в Интернет.

С помощью RBI весь контент с веб-сайтов обрабатывается на удаленных серверах, а пользователю отображается только безвредная «картинка». Такой подход гарантирует, что даже если сайт содержит вредоносный код, он не сможет нанести вред компьютеру пользователя.

  1. Клиентское приложение RBI на рабочей станции передает все действия пользователя (движения мыши, нажатия клавиатуры) на сервер RBI.
  2. Сервер RBI получает запрос и действует как посредник, направляя запросы в Интернет от своего имени. Контент веб-страниц выполняется в изолированной среде на сервере, что предотвращает влияние вредоносных сценариев на устройство пользователя. Каждый новый сеанс виртуальная среда создается с чистыми параметрами без следов заражения.
  3. Сервер преобразует контент в безопасный визуальный формат (например, передача пикселей), а затем клиентское приложение RBI отображает его, как если бы к нему обращались напрямую из браузера.

Для организации файлового обмена, скачиваемый пользователем контент дополнительно проверяется как минимум потоковым антивирусом и опционально отправляется в средства защиты — песочницу, DLP и т. п. События доступа отправляются в SIEM.

  • ➕Решения данного класса позволяют существенно повысить безопасность, при этом оказывают минимальное влияние на производительность устройств пользователя – вся рабочая нагрузка по проверке и обработке данных ложится на удаленные серверы.
  • ➖Есть и минусы. Всё прекрасно, пока речь о простом серфинге интернета, но множество нюансов возникает, как только необходимо обратиться к специализированным порталам (например, интернет-банкам) с пробросом токенов, сертификатов, ГОСТ-шифрованием, расширениями браузера и т. д. Хотя большинство современных сервисов имеют веб-версии, всё же остается необходимость использования отдельных приложений с выходом в Интернет — тут RBI в чистом виде уже не подходит и на сервере RBI придётся публиковать специфичные приложения.

*️⃣Если рассматривать RBI не как продукт, а как модель в кибербезопасности, то её можно реализовать комплексом мер, взяв за основу терминальный сервер, VDI или доставку приложений (например, Citrix XenApp). 

❗️Почему же я вдруг вспомнил про RBI? Западных решений существует достаточно много, но мне впервые попался российский продукт этого класса Ankey RBI (видимо, он же DARBI). Реализовано на базе Docker-контейнеров с изолированными браузерами и протокола SPICE. Выглядит интересно.

#решенияИБ@oscar_cybersec

Схема RBI: клиент, сервер с изолированными контейнерами и браузерами, прокси в интернет и проверка скачиваемых файлов
Блок-схема работы RBI: удалённая обработка веб-контента и передача безопасного визуального потока.

Дискуссия

Александр Комиссаров
Вот бы ещё и с почтой в такой же изоляции работать! А ещё и с другими приложениями! Вообще весь рабочий стол изолировать! Вероятно, так придумали VDI☺️
Александр Комиссаров
Не понял, зачем в DLP отправлять скачиваемый контент?
КиберБезОскара
Александр Комиссаров
Не понял, зачем в DLP отправлять скачиваемый контент?
В DLP отправлять файлы, которые пользователь закачивает в Интернет через промежуточное файловое хранилище (если это разрешено).
Присоединиться к обсуждению →
Читать больше интересных статей