什么是虚拟浏览器?
2023 年推动企业战略的两大趋势是精通安全的董事和监管合规性。这导致整个行业的安全立场取得了令人印象深刻的进步,特别是考虑到新的无边界工作空间的挑战。尽管取得了进展,但仍然存在一个持续的疏忽。网络浏览器在创新和沟通中发挥着至关重要的作用;它提供的对万维网的几乎无限的访问是尖端研究和根深蒂固的漏洞的来源。
对此的一种回应是虚拟浏览器。传统设置直接在本地设备上运行浏览器,而虚拟浏览器将浏览器隔离到虚拟环境。从最终用户的角度来看,似乎没有太大变化;他们的浏览习惯保持畅通无阻,网页加载可靠。然而,在攻击者看来,他们的恶意广告和浏览器托管的有效负载无法再直接投放到用户的操作系统 (OS) 上。这种保护性缓冲区是由设备自身的架构提供的。最简单的虚拟化形式在活动应用程序周围放置一个容器。当用户退出时,此应用程序创建或更改的任何数据都不会保存,并且对于沙箱之外的任何操作系统组件都是不可见的。
当扩展到拥有一千个强大的企业系统时,这种孤立的浏览环境可能会转移到远程计算机上。这可能看起来像企业内的指定服务器,或者采用虚拟桌面基础设施环境的基于云的方法。其实施可能非常复杂,技术团队必须兼顾 VDI基础设施 在努力维持员工在线访问的同时进行设置。大量的客户端访问许可证可能会给年度预算带来更大的压力。最终,尽管虚拟浏览器代表了令人印象深刻的第一步,但浏览器保护解决方案已经发生了一些关键变化。
BUTTON [了解 LayerX 浏览器保护平台。]
虚拟浏览器用例
由于网络浏览器仍然允许秘密恶意软件下载,并且数据泄露成本无法控制地螺旋上升,因此虚拟浏览器可以提供许多关键功能,其中每一项功能都应该进行微调以适合您的组织。
最终用户保护
虚拟浏览器通过破坏恶意软件使用的传统攻击路径来提供保护。通常,最终用户设备经过身份验证,并被假定为同一网络内的其他设备所信任。这种假设的合法性意味着单个恶意 Web 服务器可能会扰乱部门,附带破坏会从单个用户配置文件传播到整个组织。
路过式恶意软件是虚拟浏览器阻止的一项关键攻击。最近的一个例子让科技博客页面 Boing Boing 的访问者印象深刻。当未受保护的浏览器加载该页面时,会出现恶意弹出窗口。虽然看起来与普通弹出广告没有什么不同,但嵌入的 JavaScript 会在广告上创建一个下载链接并自动按下它,无需用户输入。这导致 Anubis 的下载量激增,这是一种专门用于盗窃银行和信用卡凭证的木马。
虚拟浏览器隔离浏览应用程序。这意味着应用程序无法访问(甚至无法查看)底层操作系统和设备。相反,用户虚拟浏览会话的每个实例都会被隔离并在使用后被丢弃。
恒定的兼容性
有时,基于 Web 的应用程序需要特定的浏览器版本才能正常运行。如果没有虚拟化,组织将被迫在放弃此应用程序和在高度脆弱的系统上浏览之间做出选择。但是,虚拟浏览器提供了一种与 Web 托管资源交互的更安全的形式,同时提供了模仿旧版浏览器的配置选项。这种过时的浏览器不再需要在计算机上运行,有助于进一步防御旧版 Web 应用程序漏洞。
项目测试
正如虚拟浏览器可以提供不同版本的浏览应用程序一样,只需按一下按钮即可获得不同浏览器的全新实例。这对于需要快速检查新网站或应用程序与所有主要浏览器的兼容性的网络开发人员来说至关重要。有了虚拟浏览器,他们的设备不再需要杂乱地堆满 Chrome、Edge、Explorer、Firefox 等,也不再需要处理这些浏览器的连续修补。相反,一种解决方案可用于解决不同用户群中的任何错误、优化和怪癖。
虚拟浏览器的类型
浏览器虚拟化提供了很大程度的定制,其各种类型涵盖了大多数企业配置。为浏览器运行虚拟机的过程可以分为两种主要的架构方法。第一种是独立应用方式;设备的管理程序首先用于分割其整体处理能力的一部分。这用于设置一个完全独立的虚拟机,其中包含完整版本的操作系统和浏览器应用程序本身。该虚拟机提供了一个经过净化的浏览环境。一些组织选择其他主要架构——虚拟设备。使用相同的虚拟机结构,但重点是仅运行浏览器应用程序所需的操作系统复制量最少。
这两种虚拟浏览方法也可以部署在两种不同的配置中。本地部署看到虚拟化过程发生在最终用户的设备上,特别是在连接到企业网络时。云部署将其抽象到第三方云服务器,使虚拟浏览器在线;所有网络搜索都通过此云虚拟浏览器进行。最后,用户与浏览器交互的具体模式也可以从匿名到完全身份验证。
匿名浏览提供与普通浏览器的隐身模式相同的功能。通过这种方法,虚拟浏览会话的临时性质反映在每个用户配置文件中。 Cookie、浏览历史记录和设置都是临时的,每个会话都会更新和丢弃每个元素。经过身份验证的浏览提供了稍微更友好的用户体验,因为浏览是根据每个用户的帐户量身定制的。这可以保存浏览会话之间的 cookie 和历史记录,并且可以为生产力提供更高的好处。
虚拟浏览器的局限性
尽管虚拟浏览器具有诸多优势,但仍存在一些重大弱点,削弱了该解决方案消除浏览器安全缺陷的能力。
零碎的保护
虚拟浏览器仅隔离网站及其中提供的内容。最终用户设备仍然面临着大量其他 Web 应用程序漏洞以及发送到其电子邮件收件箱的不受信任文件的风险。为了解决这个问题,虚拟浏览器可以与其他电子邮件和下载安全解决方案一起实施,尽管这种方法可能会导致技术堆栈过于复杂,并迅速超出可管理的规模。
用户体验受损
除了零散的保护之外,虚拟浏览器还会降低用户体验。由于在将用户连接到网络时采取了额外的步骤,这对于基于云的虚拟网络浏览器来说通常是一个更大的问题。数据包现在必须传输得更远,而本来就很弱的宽带连接可能真的很困难。当员工在工作通话中需要实时视频流时,这种情况会被放大;这种滞后有时会造成严重破坏,以至于员工必须在生产力和安全性之间做出双输的选择。
引入新漏洞
最后,虚拟浏览器可能会导致全新的安全漏洞。理论上,恶意软件能够从虚拟机跳转到主机自己的设备是不可能的。不幸的是,这个理论天真地假设虚拟机的虚拟机管理程序不受所有软件错误的影响。去年出现的大量漏洞显示了相反的情况,例如 VMware 的 ESXi Hypervisor,它包含的缺陷不仅可能危害主机驱动器,还可能危害服务器上运行的任何其他计算机。对于基于云的浏览器,由于这些浏览器将敏感信息存储在企业本身之外,因此流量也变得更加难以监控。根据云提供商所在的位置,这甚至可能会对法规遵从性产生影响。
虚拟浏览器与远程 Web 浏览器
虚拟浏览器在外观上与远程 Web 浏览器相似;两者都旨在将最终用户的设备与公共互联网的不可信服务器分开。虚拟浏览器在虚拟机上运行,虚拟机本质上是完全独立的机器,使用一台设备的资源运行。另一方面,远程网络浏览器提供基于云的容器——在使用时,最终用户的设备只需将可视数据流转发到其分配的容器或从中转发出来。而虚拟浏览器重构了整个可交互的浏览平台, 远程浏览器隔离 (RBI) 在第三方云服务器上运行代码,仅生成用户行为的图形表示。
远程网页浏览的技术强度较低,使其成为一种本质上更具可扩展性和灵活性的安全浏览方法。虚拟浏览器需要大量的启动时间,繁重的进程会增加等待时间。而 RBI 代表了相对于虚拟浏览的一些关键优势,浏览器安全的下一个时代 进化就在这里。
使用 LayerX 保护您的浏览
LayerX 以轻量级浏览器扩展的形式提供了一个具有凝聚力、用户至上的安全平台。提供的深度粒度 这个端点方法 为浏览器安全提供比以往更高的可视性 - 查看每个事件、操作和威胁。实时用户和网站行为被输入 Plexus 引擎,该引擎将传统攻击识别与尖端英特尔相结合,进行实时威胁分析。此分析返回到扩展,其中强制执行器脚本可以消除任何预期的浏览器攻击,而不影响最终用户体验。
最后在管理控制台查看所有事件分析。推动企业范围内的政策响应实地情报,并朝着未来的网络浏览器安全迈进。
