1、什么是瀏覽器隔離？

瀏覽器隔離是一項技術，它通過將加載網頁的過程與顯示網頁的用戶設備分開以此來保持瀏覽活動的安全。這樣，潛在的惡意網頁代碼就不會在用戶的設備上運行，可防止惡意軟件和其他網絡攻擊對用戶設備和內部網絡的影響。

從安全角度來看，訪問網站和使用 Web 應用程序都涉及到 Web 瀏覽器需要加載不受信任的遠程來源（如遙遠的 Web 服務器）的內容和代碼，然后在用戶的設備上執行這些代碼，這使得瀏覽 Web 成為一種相當危險的活動。與之相反，瀏覽器隔離在遠離用戶的地方加載和執行代碼，使用戶設備和所連接的網絡免受風險的影響——這類似于在工廠內使用機器人來執行某些危險任務可以使工廠工人更安全。

瀏覽器隔離是零信任安全模型的重要組成部分，在該模型中，默認不信任任何用戶、應用程序或網站。零信任是一種信息安全方法，默認情況下不信任任何用戶、Web 流量、應用程序或設備。零信任安全模型假設即使用戶已安全加載網站 99 次，該網站也可能在第 100 次被入侵。瀏覽器隔離是在實踐中實現這一假設的一種方式。

1.1、瀏覽器隔離的作用

瀏覽器隔離的作用：

• 刪除危險的下載內容
• 惡意腳本不會在設備上或私人網絡內執行
• 阻止通過瀏覽器進行的零日漏洞（零日漏洞是指利用以前未被發現或未打補丁的漏洞進行的攻擊。雖然很少，但零日漏洞幾乎不可能被阻止。）
• 可以在不阻止整個網站的情況下阻止惡意 Web 內容
• 數據防泄密。可控制企業的敏感數據只能存在于遠程瀏覽器上，無法下載到本地。即數據不落地。（遠程瀏覽器可配置用戶下載數據存放在用戶本地端或者遠程瀏覽器端）

1.2、不同類型的瀏覽器隔離

瀏覽器隔離主要有以下三種：遠程（或云托管）、內部以及客戶端。

• 遠程瀏覽器隔離：遠程瀏覽器隔離技術在遠離用戶設備和組織內部網絡的云服務器上加載網頁并執行任何相關的 JavaScript 代碼。
• 內部瀏覽器隔離：內部瀏覽器隔離所做的工作與此相同，但是在組織內部管理的服務器進行。
• 客戶端瀏覽器隔離：客戶端瀏覽器隔離仍然在用戶設備上加載網頁，但它使用虛擬化或沙盒來將網站代碼和內容與設備的其他部分進行隔離。這會將瀏覽器執行移動到在用戶端點或本地服務器上創建的虛擬機或沙箱（應用程序級別或操作系統級別）。這種類型的隔離不能被認為是完全安全的，因為瀏覽器仍然在用戶的設備上執行。攻擊者有可能突破隔離并訪問用戶的本地文件和網絡。

在所有三種瀏覽器隔離方法中，用戶的瀏覽會話會在瀏覽會話結束時都被刪除，因此與該會話相關的任何惡意 cookie 都會被刪除。

2、遠程瀏覽器隔離（RBI，Romote Browser Isolation）

遠程瀏覽器隔離技術（RBI，Remote Browser Isolation），該技術從另外一種角度提出了解決現階段Web類業務的方案風險。通常利用虛擬化或容器化技術將用戶的Web瀏覽活動與端點設備隔離，借此顯著減少惡意鏈接和文件的攻擊面。

2.1、遠程瀏覽器隔離的工作原理

• cloud server：RBI服務器，作為整個方案實現的載體。
• cloud browsers：Web服務的內容在RBI服務器提供的隔離容器 cloud browsers 中根據不同的技術進行重建，然后提供給最終用 endpoint（用戶終端）
• 客戶端與 RBI 服務器的交互協議：客戶端到RBI服務之間交互協議根據不同方案協議有所不同，現在大部分還是HTTP協議。

有些方案需要客戶端安裝特定的 client，有些無客戶端方案直接使用主流的瀏覽器即可。

遠程或云托管的瀏覽器隔離使不受信任的瀏覽器活動盡可能地遠離用戶設備和企業網絡。它通過在云供應商控制的云服務器上進行用戶的 Web 瀏覽活動來實現。然后，它將產生的網頁傳輸到用戶的設備上，這樣用戶就可以像平常一樣與互聯網互動，但不會在他們的設備上實際加載完整的網頁。鼠標點擊或表格提交之類的任何用戶行為都會被傳輸到云服務器并在那里執行。

2.2、用戶設備上的操作如何同步到遠程瀏覽器

對于用戶，RBI 是這樣工作的：

1. 用戶在遠程瀏覽器隔離服務中進行連接和身份驗證。
2. RBI 服務創建一個虛擬實例并為用戶提供對遠程瀏覽器的訪問。
3. 用戶像往常一樣通過本地瀏覽器與網絡內容交互。 （捕獲用戶瀏覽器中的事件（點擊、鼠標移動、擊鍵等））
   1. 如360遠程瀏覽器，能捕捉到用戶終端設備上的鼠標和鍵盤的具體事件（包括鼠標具體點擊的位置等），然后再傳輸給遠程瀏覽器重現。捕捉的是硬件設備的事件，不是瀏覽器 JS 事件?！　?/li>
4. 遠程瀏覽器將 Web 內容（以視頻流或經過處理的 HTML 代碼的形式）傳遞到用戶的本地瀏覽器。
5. 當用戶會話結束時，包含遠程瀏覽器的實例將終止。

2.3、遠程瀏覽器隔離如何將web內容發送到用戶設備上

遠程瀏覽器隔離服務器有以下幾種方式可以將 Web 內容發送到用戶的設備上：

2.3.1、像素推送

像素推送比較好理解，通過捕獲遠程瀏覽器“窗口”的像素圖像，并將圖像序列傳輸到客戶端端點瀏覽器或專有客戶端。將瀏覽器流式傳輸到用戶，用戶查看其瀏覽活動的視頻或映像，這種技術就稱為“像素推送”。

像素推送捕獲用戶瀏覽器中的事件（點擊、鼠標移動、擊鍵等），將它們傳輸到遠程瀏覽器，并以一系列屏幕截圖或視頻流的形式返回響應。通過這種方式，用戶的端點不會接收任何 Web 應用程序代碼，并且用戶僅與圖像或視頻渲染進行交互。

像素推送技術與遠程桌面的工作方式相似。通過像素推送，用戶可能會遇到延遲，因為流式視頻和音頻內容可能會滯后。此外，用戶端點上顯示的視頻可能會模糊，因為 Web 內容以遠程實例上設置的分辨率流式傳輸。并且使用體驗差、帶寬占用高、成本高這些都是比較可見的明顯缺點。

（360遠程瀏覽器使用該方式來推送web內容）

2.3.2、DOM 重寫

打開、檢查和重寫每個網頁，刪除惡意內容，然后發送到本地用戶瀏覽器，這種方法稱為 DOM 重寫。

使用這種方法，將在一個隔離的環境中加載并重寫網頁以刪除潛在的攻擊，在內容安全后，它將被發送到用戶的設備上，在那里網頁代碼會被第二次加載和執行。DOM 重建從網頁中刪除所有可疑或動態代碼，這意味著用戶可能不會收到頁面的重要塊。我們可以將安全的 Web 應用程序列入白名單，以降低丟失重要信息的風險。

該方案對于一些內容比較復雜的網站場景不是很合適，但是反過來對于一些簡單的門戶網站類場景就比較合適了。

2.3.3、網絡矢量渲染（NVR）

NVR相較于前兩種技術比較難以理解?？梢岳斫鉃槭腔跒g覽器底層功能的復制將遠端瀏覽器的一些渲染工作流程截取后同步到本地，然后在本地進行復現。

NVR工作原理如下：

（首先要清楚一點，瀏覽器窗口中可見的所有內容均通過 Skia 渲染層進行渲染。這包括應用程序窗口 UI（如菜單），但更重要的是，網頁窗口的整個內容均通過 Skia 渲染。）

1. NVR 技術截獲遠程Chromium 瀏覽器的Skia 繪制命令 ?，對其進行令牌化和壓縮，然后加密并通過網絡 ? 傳輸到在用戶端點桌面或移動設備本地運行的任何 HTML5 兼容 Web 瀏覽器 ?（Chrome、Firefox 和 Safari 等）。
2. 首次使用時，S2 RBI 服務將 NVR WebAssembly（Wasm）庫 ? 透明地推送到端點設備上的本地 HTML5 Web 瀏覽器，并在那里緩存以備日后使用。NVR Wasm 代碼包含一個嵌入式 Skia 庫和必要的代碼，用于解壓縮、解密和“重演”從遠程 RBI 服務器到本地瀏覽器窗口的 Skia繪制命令。
3. 通過獲取的繪圖命令，在本地 HTML5 瀏覽器的窗口中重新繪制它們。

（這種技術在 cloudfare（一家美國的關于內容交付網絡(CDN) 和安全公司）收購網絡矢量渲染（NVR）的 S2 專利技術后歸其所有，所以被cloudfare大力推廣）

2.4、Skia 圖形引擎

Skia 是一款用 C++ 開發的、性能彪悍的 2D 圖像繪制引擎，其前身是一個向量繪圖軟件。2005 年被 Google 公司收購后，因為其出色的繪制表現被廣泛應用在 Chrome 和 Android 等核心產品上。Skia 在圖形轉換、文字渲染、位圖渲染方面都表現卓越，并提供了開發者友好的 API。

Skia 是使用廣泛的跨平臺圖形引擎，用于 Android、Google Chrome、Chrome OS、Mozilla Firefox、Firefox OS、FitbitOS、Flutter、Electron 應用程序框架和許多其他產品。

Chromium 瀏覽器窗口中可見的所有內容均通過 Skia 渲染層進行渲染。這包括應用程序窗口 UI（如菜單），但更重要的是，網頁窗口的整個內容均通過 Skia 渲染。Chromium 合成、布局和渲染極其復雜，具有針對不同內容類型、設備環境等進行了優化的多個并行路徑。

2.5、RBI技術的好處

1.  能夠抵御網絡釣魚攻擊。當用戶單擊網絡釣魚電子郵件或文件時，RBI 解決方案會顯示經過清理的電子郵件文本、掃描附件，并能在電子郵件包含指向惡意網站的 URL 時隔離網絡釣魚網頁。這樣，用戶與釣魚網站的交互是完全安全的。
2. 防止泄露機密數據。系統管理員可以更改 RBI 設置，以只讀模式顯示可疑 URL。這允許用戶訪問此類網頁，但不允許他們輸入任何憑據?；蛘撸芾韱T可以只允許用戶訪問受信任的網站。
3. 對下載的文件進行隔離清理。如果用戶想要下載一個文件，它也在遠程實例中被隔離。RBI 系統提供遠程查看此內容的工具（例如 PDF 或圖像查看器）。如果軟件無法讀取下載的文件，它會清理遠程服務器上的內容并將其發送到用戶的端點。通過這種方式，RBI 解決方案降低了下載惡意和可疑文件的風險。
4. 詳細的用戶活動日志。RBI 系統記錄遠程實例上的所有事件以及與最終用戶的通信。如果發生攻擊或安全違規，系統管理員可以查看這些日志以清楚了解網絡安全事件、報告事件、提出安全改進建議以防止類似問題、為取證活動收集數據等。
5. 能安全訪問有風險的內容。RBI 系統可以允許用戶訪問任何網站并下載他們需要的數據，并且同時會消除存在的威脅。

10、其他的瀏覽器隔離

10.1、內部瀏覽器隔離的工作原理

內部瀏覽器隔離的工作原理與遠程瀏覽器隔離類似。但瀏覽不是發生在遠程云服務器上，而是發生在組織的私有網絡內的服務器上。與某些類型的遠程瀏覽器隔離相比，這可以減少延時。

內部隔離的缺點是，組織必須為瀏覽器隔離配置自己的專用服務器，這可能很昂貴。隔離通常還必須發生在組織的防火墻內，而不是在它之外（就像在遠程瀏覽器隔離過程中那樣）。即使用戶設備保持安全，不受惡意軟件和其他惡意代碼的影響，內部網絡本身仍然存在風險。此外，內部瀏覽器隔離很難擴展到多個設施或網絡，對于遠程員工來說尤其如此。

10.2、客戶端瀏覽器隔離的工作原理

與其他類型的瀏覽器隔離一樣，客戶端瀏覽器隔離對瀏覽器會話進行虛擬化；與遠程和內部瀏覽器隔離不同，客戶端瀏覽器隔離是在用戶設備本身進行的。它試圖通過虛擬化或沙盒化將瀏覽與設備的其他部分分開。

• 虛擬化：虛擬化是將一臺計算機劃分為獨立的虛擬機而不對計算機進行物理改變的過程。這是在稱為“虛擬機管理程序”的操作系統下面的一層軟件上完成。理論上，在一個虛擬機上發生的事情不應該影響相鄰的虛擬機，即使它們在同一設備上也是如此。在用戶計算機內一個單獨的虛擬機上加載網頁，則可保證計算機其他部分的安全。
• 沙盒：沙盒與虛擬機相似。它是一個獨立的、封閉的虛擬環境，可以安全地進行測試。沙盒是一種常見的惡意軟件檢測技術：許多反惡意軟件工具在沙盒中打開并執行潛在的惡意文件，看看它們是做什么的。一些客戶端瀏覽器隔離產品使用沙盒來使 Web 瀏覽活動安全地包含在沙盒中。

由于客戶端瀏覽器隔離涉及到在用戶設備上實際加載潛在的惡意內容，它仍然對用戶和網絡構成風險。將有害代碼與設備進行物理隔離是其他類型的瀏覽器隔離的核心概念，而客戶端瀏覽器隔離則沒有這種隔離。