真正的隔离浏览：保护网络的关键

已发表: 2022-05-25

有许多用于隔离浏览的解决方案，例如：广告拦截、分隔和专有浏览器。但是这些还不足以实现真正的隔离浏览。这就是为什么远程浏览器隔离是答案。

自从 1990 年代后期第一个弹出式广告开始出现在 tripod.com 上以来，用户不得不考虑一个令人不安的事实：他们在互联网上看到的东西可以触摸到他们的电脑。

起初，这很麻烦。有一天，您访问了一个网站，突然间，您尝试阅读的内容被一个您没有打开的窗口遮住了，该窗口为您不感兴趣的产品做广告。很烦人，但不必惊慌。

到 2008 年，这些弹出窗口已经演变成一种威胁。恶意广告，通常通过弹出窗口传递，在这个时代首次出现在互联网上。除了在您的浏览器上显示广告外，恶意广告还会利用其机制将广告软件和间谍软件下载到您的计算机上。从那时起，恶意广告和其他基于浏览器的攻击已成为巨大的经济威胁。

大约在这个时候，人们开始认真考虑隔离浏览。您如何运行浏览器以确保恶意文件不会从 Internet 传输到用户的硬盘？已经提出了许多想法，但直到现在，它们都没有提供完整的保护以及用户需要的便利。

在隔离浏览方面已经尝试过什么？

您会惊讶于已经尝试将浏览器与整个操作系统断开连接的想法的数量。例如，广告拦截——是的，你现在可能正在运行的免费扩展——是一种浏览器隔离形式。广告拦截和其他形式的浏览器隔离在一定程度上都是有效的，但通常它们越有效，它们就越不方便。

广告拦截

尽管那里有许多广告提供商，但大多数都已编目。广告拦截器将这些提供商列入黑名单。当网站上的脚本试图从属于广告公司的主机加载内容时，广告拦截器会阻止它。

这种技术在去除广告方面相对有效，任何去除广告的技术也会阻止恶意广告。然而，广告并不是唯一基于浏览器的危险。此外，广告提供商和黑客都是顽固的。像 Facebook 这样的公司不断改变他们的平台，使广告与常规内容无法区分，从而愚弄广告拦截器。其他广告公司通过多个匿名 CDN 拆分他们的广告，以使他们的广告更难被屏蔽。这些技术也可以激发黑客的灵感。一个名为 Rough Ted 的恶意广告活动最近通过使用不同的流量类型绕过广告拦截器黑名单感染了数千名用户。

站点隔离

本地选项卡隔离（有时称为站点隔离）是自 2018 年以来已内置到每个版本的 Chrome 浏览器中的功能。此过程在单独的浏览器进程中运行浏览器的每个选项卡。这意味着恶意网站无法感染您的浏览器，然后使用其会话数据窥探您其他选项卡的内容。换句话说，攻击者无法渗透您最喜欢的体育通讯，以便在您下次登录您的银行帐户时抓住您。

这种方法比广告拦截更有效，但也有一些缺点。例如，为浏览器中的每个选项卡运行一个新进程最多会增加 15% 的额外内存使用量——换句话说，这会降低浏览器和计算机的速度。

标签隔离并非万无一失。它旨在阻止诸如 Meltdown 和 Spectre 之类的惊天动地的攻击，因此此安全功能可以忽略诸如恶意广告和驱动下载等攻击。更重要的是，即使标签被隔离，您的浏览器仍然存在于您的计算机上。您的计算机和浏览器本身之间没有障碍，这意味着恶意软件仍然可以泄漏到您的操作系统中。

区隔

这涉及在容器、虚拟机或单独的硬盘驱动器分区中运行浏览器。理论上，即使病毒进入浏览器，它也会发现自己位于本质上是 Potemkin 计算机的内部——一个无法直接访问计算机上文件的操作系统片段。

不幸的是，这种方法有两个问题。首先，这比下载广告拦截器或运行浏览器扩展程序更难设置。设置它需要 IT。虽然这本身还不错，但 IT 部门付出的努力应该可以保证浏览器保持安全。然而，情况并非完全如此——由于虚拟机和容器软件中的潜在漏洞，病毒可以而且经常会爆发并感染底层主机。

专有浏览器

供应商偶尔会启动他们自己的专有浏览器，据说这些浏览器比普通浏览器更安全。我们不会花太多时间来解决这些问题——我们只会注意到，即使这些浏览器吹捧的安全功能有效，它们也总是包含导致一线用户反抗的 UI 和 UX 错误。在用户将自己的设备带到办公室的情况下尤其如此——您实际上是在要求他们不要在他们自己购买的机器上使用他们喜欢的浏览器。

为什么远程浏览器隔离是答案

保护您的计算机免受浏览器的影响似乎是一种失败的情况——但并非所有方法都已尝试过。远程浏览器隔离 (RBI) 采用浏览器隔离的概念并将其发挥到最有效的极致。

使用 RBI，您可以像往常一样打开浏览器上网。在幕后，您的浏览器会联系一个远程应用程序——它恰好是另一个位于云端的浏览器。您的浏览器显示远程浏览器呈现的所有内容，具有完全的交互性，但远程浏览器中的任何内容都不会下载到您的计算机上。

这是一个很好的安全浏览系统。尽管远程浏览器仍有机会下载恶意软件，但该恶意软件最终会出现在一个甚至不在您的网络上的容器中。即使恶意软件从其容器或虚拟机中逃脱并感染主机，您仍然没有问题——主机仍然不在您的网络上，并且不包含您的任何数据。在 SaaS 应用程序的责任共担模型下，保护主机甚至不是您需要担心的问题。

RBI 为您提供了隔离浏览的所有优势而没有任何风险——它还消除了在本地安装和维护隔离浏览实施的工作和费用。用户可以继续使用他们想要的浏览器，他们不必在他们的设备上安装任何硬件或软件，并且无论他们访问什么网站，他们都可以保持受到保护。简而言之，在保护日常用户免受混乱的互联网影响时，隔离浏览是有意义的。