基于远程浏览器隔离的网络安全防御系统研究

吕波

（北京启明星辰信息安全技术有限公司，四川 成都 610213）

0 引 言

互联网无疑给世界带来了革命性的转变，浏览器的易用性为个人和企业带来了前所未有的生产力提高，新兴的数字化业务大多数通过互联网来落地实现，截至2020年12月显示，中国远程办公用户规模达3.46亿，较2020年6月增长1.47亿，受新冠肺炎疫情影响，远程办公市场规模呈现爆发式增长。《2020年中国互联网安全报告》显示，全年捕获恶意程序样本数量超过4 200 万个，日均传播次数为482 万余次，涉及恶意程序家族近34.8 万个，中国境内感染计算机恶意程序的主机约533.82 万台。更多的合作伙伴通过互联网进行数据交互，移动生产，远程办公，IT 外包厂商等通过互联网接入企业内部网络的情况将更加频繁，互联网接入风险增加，Web 服务日益成为网络攻击的重点目标，DNS 攻击、暴力破解、零日漏洞利用、APT 攻击依然让网站弱不禁风，敏感信息泄露等安全事件频繁出现。

用户通过浏览器访问网站，由于Web页面越来越依赖脚本语言，恶意攻击者正在利用脚本作为新的攻击媒介来窃取敏感信息，依靠基于签名的传统应用安全防护系统，存在对Web 请求理解不一致从而导致攻击绕过，在误杀和漏报之间不能很好做出平衡，在面对大量网页中潜在的网络威胁动态变化时难以有效检测，调查发现60% 的企业员工使用终端浏览器浏览网页而直接感染勒索软件、恶意软件或其他威胁导致数据丢失。

2021年5 月，某知名网络安全响应中心监测到一起对国内某化学品生产企业的窃密行动，经分析发现了一个利用互联网软件分发加密货币窃取恶意软件窃取数据的木马活动，该起攻击行动主要通过钓鱼邮件进行传播，将邮件内容伪装成公司客户需求，诱导受害者下载附件并执行解压后的恶意程序，最终导致用户数据被窃取。面对利用用户终端浏览器和互联网网站漏洞进行恶意攻击的行为，导致用户终端数据遭受巨大威胁，本文从几个层面展开研究：第一，分析当前网站面临的各种安全风险；第二，介绍远程浏览器隔离技术背景，发展情况以及核心技术理解；第三，针对网站攻击，提出一种基于远程浏览器隔离技术的网络安全防御系统，并总结其关键能力和应用场景，提出一种基于远程浏览器隔离的新型网络安全防御系统。

1 网站面临的安全威胁分析

1.1 网站原生漏洞威胁

网站大量存在开发人员在Web 代码开发初期考虑不周全，不严谨的配置导致Web 漏洞，如跨站脚本，弱口令，注入攻击，跨站请求伪造等。黑客可以通过精心构建的攻击脚本对企业网站进行篡改，比如针对Web 应用网站发起的弱口令攻击尤为常见，即通过已有的账号字典，快速批量碰撞验证能够访问的账号密码，一旦获取到目标系统的弱口令，进入目标Web 系统，可以扩大攻击范围。

1.2 浏览器漏洞威胁

常见的浏览器是黑客攻击的主要目标。一方面是浏览器功能强大、数据丰富的工具，包括个人地址、电话号码、信用卡数据、电子邮件、ID、密码、浏览历史记录和书签等，由于程序结构的复杂性，浏览器自身存在大量的安全漏洞，很容易被恶意用户利用进入计算机进行执行操作，造成数据泄露；另一方面是94%的网站，90%的浏览器都启用了JavaScript，如果网站被恶意文件感染并混淆于JavaScript中，用户的浏览器开始与网站进行交互的时候，浏览器会立即从网站下载并执行JavaScript 文件，从而破坏用户终端数据。

1.3 加密流量威胁

WatchGuard 公司从客户网络收集到的匿名数据分析研究威胁活动，在2021年第二季度检出的恶意软件中显示，91.5%都涉及通过加密Https 连接投送，目前只有20%的企业设置有解密和扫描Https 流量以发现恶意软件的检测机制，意味着其余80%的企业有可能漏掉九成日常攻击其网络的恶意软件。

1.4 勒索软件威胁

最近的网络威胁情报报告，在2021年第一季度发现了来自110 多个不同家族的勒索软件，排名前15 的勒索软件家族仅占案例的52%。其余48%的攻击所涉及的勒索软件的多样性以及所有毒株的快速演变显著降低了依赖于已知勒索软件签名检测的反勒索软件解决方案的有效性，电子邮件仍然是最常见的勒索软件传送机制，在超过80%的案例中，32 位exe 文件是勒索软件的首选文件类型，例如，附加到网络钓鱼电子邮件或从恶意站点链接的Pdf 中的链接可能会导致包含下载程序的Zip 存档，然后该下载程序检索实际的勒索软件，对于勒索软件受害者而言，难以检测和跟踪。

2 远程浏览器隔离技术介绍

2.1 技术背景介绍

2010年美国劳伦斯利弗莫尔国家实验室开发了名为Safeweb 的远程浏览模型，并进行实验和部署，可以说是奠定了远程浏览器隔离技术未来发展的基础。

2017年 Gartner 在《Gartner Identifies the Top Technologies for Security in 2017》报告中确立远程浏览器隔离技术（Remote Browser Isolation, RBI），RBI 是一种网络安全模型，浏览器隔离可以提供不同的技术，但都旨在为企业提供相同的安全目标，即将用户的在线浏览活动与其本地网络隔离在远程网络（或云）容器中，对Web 浏览器的有效隔离防止勒索软件和其他恶意软件传播至用户终端。实际上，这意味着用户可以在终端电脑使用浏览器进行访问网站活动，但实际上用户将完全在另一台机器上浏览。

2018年美国DISA 制定了CBII（基于云的互联网隔离）工程计划，本质是运用了RBI 技术用于防御面向互联网的网站面临的威胁，在过去的2年时间，CBII 依托RBI 供应商不断发展与进化，实现了将Web 浏览活动从终端用户的桌面定向到云的环境，当入侵者试图利用浏览活动时，隔离潜在的恶意代码，降低了网络的风险和攻击面，缓解互联网接入点的拥塞与通常的Web 浏览相比，到达用户终端的网络数据流量减少约25%，对于视频流等带宽消耗型服务减少40%，最重要的是用户从内部终端浏览外部互联网时将被隔离，不必担心黑客的入侵。

2019年Gartner 在《网络安全的未来在云端》报告中，提出安全访问服务边缘的概念，俗称SASE 框架，首次将RBI 列为该框架网络安全核心能力之一，并与安全Web 网关配合使用，以防止恶意软件侵害用户终端系统。

2.2 技术理解

RBI 由“远程浏览器”模式和“浏览器隔离”技术组成，核心设计是在“远程浏览器隔离”空间内，使用特定技术在一定程度上将用户计算机与Web 内容隔离开，过滤掉某些认为恶意的Web 内容，但仍允许某些类型的Web 内容以像素形式发送到用户终端。

远程浏览器是不需要安装在本地终端，而是一种托管在远程网络（或云）容器中的网络浏览器，本地终端安装的浏览器的问题在于用户浏览Web 网站时感染了恶意软件，可能会从本地浏览器传播到本地终端并进行横向移动。

浏览器隔离是一种基于物理隔离安全原则的网络安全模型，该模型使终端能够通过物理隔离他们的浏览活动来物理隔离恶意软件、勒索软件和基于 Web 的网络攻击。浏览器隔离有多种不同的方法，可以基于本地终端的局部隔离，比如采用沙箱或者虚拟机；也可以是远端隔离，即使用远程浏览器隔离，虚拟化和隔离可以在远程服务器上进行，用户的浏览活动被移至远程虚拟环境，并且服务器上正在发生的事件以实时可视流方式发送到用户终端计算机。

3 远程浏览器隔离在网络安全防御的应用

基于RBI 新型技术理念，本文提出一种新型的网络安全防御系统框架，用于网站安全访问的隔离与防御。

3.1 系统框架介绍

基于RBI 技术的网络安全防御系统参考框架，如图1所示，该框架分为隔离平面和控制平面，隔离平面用于用户终端请求访问Web 站点进行网络代理以及物理隔离，并被控制平面指挥，所有隔离虚拟环境都由控制平面的策略管理分配。

图1 基于RBI 技术的网络安全防御系统参考框架

3.1.1 代理模块

代理模块工作于隔离平面，接收和执行控制平面的代理管理和授权决策，在用户终端和Web 站点进行流量的重定向和访问控制策略执行、流量加密，对用户终端访问Web站点进行请求和响应，提供WebSocket 通讯协议，并通过该协议发送用户终端的键盘、鼠标事件到隔离虚拟区域，以确保隔离虚拟环境中的工作模块能正常工作。

3.1.2 隔离虚拟环境

隔离虚拟环境工作于隔离平面，为每一个用户终端请求访问Web 站点代理通过后，采用容器技术分配独立且与彼此隔离的微型区域，让用户终端无感知的到达隔离环境，为用户分配独立环境下的远程浏览器，用于访问Web 站点，由三大模块组成：

远程浏览器模块承担用户到达隔离虚拟环境中后用户访问Web 站点的浏览介质，与用户终端浏览器功能一致，针对不同的用户需求可选择不同类型的浏览器，如火狐，谷歌浏览器。

Web 内容渲染模块在安全方面，对文档对象模型 （DOM）过滤或隐藏Web 站点服务器端代码层面不安全的元素，创建实时流，仅重构网页的可视内容所需的原始图形操作发送到用户终端；在用户体验方面，具备跨平台的图形引擎，将远程浏览器窗口中可见的所有内容均通过渲染模块进行渲染，包括应用程序窗口（例如标签页、地址栏等），透明地拦截绘图层输出，进行令牌化和压缩，在网络上安全高效地传输绘图命令到终端，然后在本地终端浏览器的窗口中重新绘制。

文件内容重组模块用于处理用户在隔离虚拟环境与Web站点交互的文件，对其进行解构，并删除与文件类型标准或设置策略不匹配的元素，将文件重建为干净无毒的文件，按预期发送给用户终端。

3.1.3 策略管理

策略管理工作于控制平面，向下为隔离平面代理模块提供身份与控制服务，对用户终端等进行身份认证，在用户操作Web 站点过程中，实时监控Web 访问行为的变化，进行威胁状态评判，实时做出访问权限控制并下发到代理模块进行执行。在特定场景下支持通过API 接口等形式与其他网络安全设备的联动，即做出无需对用户终端身份认证即可通过隔离虚拟环境达到Web 站点。

3.1.4 外部网络安全设施

本系统可以独立工作，但在特定场景下需要结合其他网络安全设备，如上网行为管理，网络防火墙，邮件网关等边界设备，将用户访问Web 站点的HTTP（S）访问流量重定向到本系统，使访问终端能顺利进入“隔离”区域进行访问流程。

3.2 系统框架优势

本系统基于Gartner 提出的RBI 网络安全模型思路进行调整改进，使其具备通用和可落地性，并且符合物理隔离安全原则，其优势体现如下：

系统采用完全的物理隔离模式，为每个远程浏览会话分配独立的容器，封锁恶意攻击，这与本地终端隔离有本质的区别。

系统划分为控制平面和隔离平面，将管理员与访问者分离，最大限度缩小系统自身的暴露面，无论从私有化部署或者云化部署，该方式具备弹性扩展的能力。

系统在隔离平面Web 内容渲染模块采用DOM 重建方式，用以尝试删除恶意内容或代码。早期RBI 模型推荐像素推送方式在现在网络环境下会直接影响用户体验，本系统跨平台的图形引擎避免远程网页的视频流连续编码带来的延迟，和降低传输到用户终端设备所需的带宽，因为这是直接影响用户体验的重要环节。

系统充分考虑用户使用和数据安全的平衡，采用零信任思路，默认不信任用户在隔离区访问网页操作的文件，即对下载和上传的文件内容进行解构，去除不必要或者潜在的威胁元素，还原一个干净可用的文件，防止恶意文件导致的攻击。

3.3 系统关键能力

从本系统框架结构以及对应的业务流程，提炼其关键能力如下：

3.3.1 无客户端化

用户不需要安装额外的客户端软件，只需借助用户终端基于HTML5 的浏览器即可通过本系统隔离区域环境访问Web 站点，大大简化和解放用户终端，让用户不必为终端操作系统的适配带来苦恼。

3.3.2 物理隔离

本系统关注物理隔离技术，首先隔离区域与用户终端物理分离，为每个用户分配独立且相互隔离的环境，确保访问Web 站点的远程浏览器会话满足操作浏览需求，每个浏览会话结束时自动物理销毁隔离区域环境数据，因此，如果用户遇到任何恶意文件，则在远程会话结束时将其清除，确保恶意文件不能够达到用户终端计算机环境。

3.3.3 自适应渲染

Web 渲染模块确保只有安全的渲染数据才会以像素流式传输到用户浏览器，用户可以像与实际Web 站点一样交互，不需要为了安全而牺牲方便与改变用户使用习惯。

不需要任何终端软件或插件，并提供完全本地的用户体验，使用一个通用框架来描述Web页面上的元素（包括文本、图形、视频等），当Web 内容在用户的浏览器中正常执行时，生成文档对象模型（DOM）元素和一个相关的呈现树，告诉浏览器如何创建用户的显示，通过代理协议优化并同步可信JavaScript，选择最佳的编码和传输机制来传递给到用户终端的浏览器，因此即使Web 站点有被植入恶意或背景挖矿的程序，也无法感染用户终端桌面的浏览器或计算机。

3.3.4 自适应控制

远程浏览器具备浏览器原生功能如地址栏，复制、剪切、粘贴和打印功能，在隔离虚拟机环境只接受键盘和鼠标输入，防止Web 站点文件泄露，通过自动监测用户浏览活动机制来防止用户违规上传文件、复制或打印页面，隔离的Web会话不会在浏览器的缓存中留下任何数据信息，这有助于降低来自Web 和基于云的应用程序的敏感数据丢失的风险。

3.3.5 内容解除与重建

用户访问Web 站点时候，通常因为业务的需求会进行上传、下载文件到Web 站点，这是一个恶意文件传播的重要渠道，因此在隔离虚拟环境中，需要采用主动防御的思维，将任意格式的文件进行分解成最基本的组件，清除可能嵌入的恶意代码，并强制执行严格的“合规”格式来有效地阻止恶意文件传播到Web 站点或者用户终端。

3.4 系统应用场景

将用户分为外部互联网用户和企业内部员工，本系统可针对以下应用场景进行有效的安全隔离防御：

场景1：当企业提供网站对外给外部互联网用户访问的时候。

场景2：当企业针对内部员工办公时访问互联网公众网站（如163.com，sina.com 等）的时候。

场景3：当企业针对内部员工办公时访问企业内部应用网站的时候。

三种应用场景，如图2所示，在用户访问Web 站点前实施该系统进行远程隔离，能为企业的网络安全纵深防御策略添加强大的安全隔离层，确保浏览器访问Web 站点使用的安全，由于大多数攻击都来自互联网或内部员工的无意识操作，因此将浏览过程从终端转移到隔离虚拟环境的举措极大的减少了攻击面，同时降低了员工的风险，成本和操作负担，利用隔离功能来提供安全的浏览并保护企业网络。

图2 基于RBI 技术的网络安全防御系统应用场景图

4 结 论

RBI 是基于“隔离”思维延伸的一种用于主动防御Web攻击的新型技术理念，本文所描述的基于RBI 技术的网络安全防御系统正是运用了这个技术理念。毫无疑问，该技术给企业带来安全上的收益更加直接而有效，因为可以消除恶意代码甚至接触用户终端设备的机会，将防御平面延伸到最受威胁的互联网，并为用户提供隔离虚拟环境，且不会影响用户浏览活动的体验，同时有助于实现传统终端防病毒和反恶意软件产品试图提供的威胁预防承诺，因为会阻止绝大多数的恶意软件和网络威胁入侵终端操作系统，可以认为是终端安全的未来。

本文给出了基于RBI 技术的网络安全防御系统实现框架和应用场景，未来需要在以下两个方面进行深入研究和验证，才能有效融入企业安全建设中。

对于隔离区域访问的用户，访问的响应速度是非常重要的，尤其是用户养成了高速访问的习惯，无法接受因各种安全机制带来的工作效率下降，如何做到速度与安全的平衡是首先考虑的问题。

可以使用某种虚拟化技术在物理服务器上隔离用户的浏览活动，用户大规模地进行隔离浏览活动，一次打开十几个标签页是常事，需要考虑隔离区域自身的伸缩性和自适应，降低企业安全运营的费用负担、计算资源和维护成本。