جداسازی اینترنت از شبکه داخلی با تکنولوژی جداسازی مرورگر که تحت عنوان جداسازی وب نیز شناخته می‌شود، یک تکنولوژی‌ است که فعالیت مرور وب را داخل یک محیط ایزوله، مثل یک Sandbox یا ماشین مجازی نگه می‌دارد تا از رایانه‌ها در مقابل هر بدافزاری که ممکن است کاربر با آن مواجه گردد، حفاظت نماید. این جداسازی ممکن است به‌صورت Local روی رایانه یا به‌صورت از راه دور روی یک سرور انجام گیرد. تکنولوژی‌ جداسازی مرورگر از طریق از بین بردن فرصت اینکه بدافزارها به دستگاه کاربر نهایی دسترسی داشته باشند، حفاظت لازم را برای مرور وب به‌صورت روزمره فراهم می‌نماید.

جداسازی  اینترنت از شبکه داخلی با تکنولوژی جداسازی مرورگر، در حقیقت با اجرای تمام فعالیت مرور اینترنت در یک محیط مجازی ایزوله، یک رایانه یا شبکه را از تهدیدات مبتنی بر وب ایمن می‌سازد. تهدیدات احتمالی از این محیط خارج نمی‌شوند و نمی‌توانند به هیچ بخشی از اکوسیستم کاربر، مثل هارد درایو رایانه یا دستگاه‌های دیگر روی شبکه نفوذ کنند. حتی باوجوداینکه جداسازی مرورگر به‌عنوان یک راهکار امنیتی IT توجه زیادی را به خود جلب کرده است، همچنان اطلاعات نادرست زیادی در مورد آن وجود دارد.

جداسازی اینترنت از شبکه داخلی با تکنولوژی Browser Isolaton چگونه شکل گرفت

مرورگرهای وب یکی از متداول‌ترین برنامه‌های کاربردی کسب‌و‌کار هستند که امروز مورداستفاده قرار می‌گیرند. سازمان‌های بزرگ و کوچک در هر صنعتی به شکل‌های مختلف روی اینترنت حساب می‌کنند تا با موفقیت کسب‌و‌کار خود را اجرایی کنند. متأسفانه مرورگرهای وب همچنین به‌عنوان یک نقطه‌ی دسترسی بزرگ برای نفوذ بدافزارها به ماشین‌های کسب‌و‌کار، آسیب‌پذیری امنیتی بزرگی را تشکیل می‌دهند.

در گذشته، سازمان‌ها برای حفاظت مبتنی بر وب در مقابل بدافزار، روی گستره‌ی بزرگی از راهکارهای امنیتی حساب می‌کردند. برخی از راهکارها از الگوریتمی استفاده می‌کنند تا تعیین نمایند که آیا محتوای وبی که وارد شبکه می‌شود خوب است یا بد. راهکارهای دیگر جلوی کاربران را در مقابل ورود به وب‌سایت‌هایی که شاید حاوی کدهای خطرناک باشند، می‌گیرد. مثال‌هایی از این نوع از محصولات امنیتی شامل پراکسی‌های وب و Secure Gateway می‌باشد.

با اینکه این رویکردها کارآمد هستند، ممکن است بدافزارهای Zero-Day را نشناسند و بلاک کردن کاربران از وب‌سایت‌ها می‌تواند تأثیر منفی روی کارآمدی داشته باشد. آمارها و روندهای صنعت امنیت سایبری به ما نشان می‌دهد که هزینه کردن برای امنیت همچنان بالا و رو به افزایش است، زیرا سازمان‌ها به سختی تلاش می‌کنند که اقدامات امنیتی کارآمدی را درمقابل بدافزارها اتخاذ کنند.

در پاسخ به این مشکلات، با تفکر درباره اینکه چه کاری به طور کامل از نفوذ بدافزارهای مبتنی بر وب به یک شبکه جلوگیری می‌کند، مفهوم جداسازی مرورگر شکل گرفت. جداسازی اینترنت از شبکه داخلی با تکنولوژی جداسازی مرورگر، به جای سعی در دور نگه داشتن کاربران از وب‌سایت‌های غیرایمن، به کاربران این توانایی را می‌دهد که به‌طور ایمن به هر وب‌سایتی دسترسی داشته باشند، حتی اگر آن وب‌سایت مخرب باشد. تکنولوژی‌ جداسازی مرورگر یک رویکرد Zero Trust را اتخاذ کرده و فرض را بر این می‌گذارد که هیچ محتوای وبی ایمن نیست. تمام فعالیت مرورگر کاربر به محیطی جداسازی‌شده از رایانه‌ی کاربر منتقل می‌گردد. ازآنجایی‌که هیچ محتوای وبی به رایانه‌ی کاربر نمی‌رسد، بدافزارها نقطه‌ای برای ورود به سیستم نخواهند داشت.

تفاوت بین جداسازی مرورگر و جداسازی مرورگر از راه دور چیست؟

جداسازی مرورگر از راه دور یک نوع پیاده‌سازی به‌خصوص از جداسازی مرورگر است که از راه دور و از طریق انتقال اجرای تمام فعالیت‌های مرورگر از رایانه‌ی کاربر به یک سرور از راه دور رخ می‌دهد. این سرور از راه دور قابلیت Host شدن در Cloud یا قرار گرفتن در On-Premise در چارچوب شبکه‌ی یک سازمان را دارد. اما در صنعت امنیت سایبری، وقتی کسی از جداسازی مرورگر حرف می‌زند، درواقع منظورش جداسازی مرورگر از راه دور است.

مزیت انجام این جداسازی از راه دور این است که درمقایسه با انجام جداسازی به‌صورت Local در رایانه‌ی کاربر، امنیت بیشتری را ارائه داده و نیازمند منابع کمتری از سوی مشتری است.

جداسازی اینترنت از شبکه داخلی با تکنولوژی‌ جداسازی مرورگر چطور کار می‌کند؟

جزئیاتی وجود دارند که در پیاده‌سازی جداسازی مرورگر برای هر Vendor متفاوت هستند، اما معمولاً نحوه‌ی کار جداسازی مرورگر بدین صورت است:

• حذف فعالیت مرورگر از رایانه‌ی کاربر و اجرای آن در یک محیط مجازی.
• از بین بردن خودکار محیط مرورگر در انتهای هر بار استفاده تا اگر کاربر با هر چیز مخربی مواجه شد، در انتهای استفاده پاک شود. وقتی که کاربر دوباره به مرورگر مجازی ایمن متصل می‌شود، یک تصویر تازه و عاری از هر گونه بدافزار را خواهد دید. بااینکه این امر برای کار کردن جداسازی مرورگر ضروری نیست، در راهکارهای مختلف متداول می‌باشد.

می‌توان برای درک جداسازی مرورگر تفاوت بین خلبان جنگنده و خلبان هواپیمای بدون سرنشین را مدنظر قرار داد. خلبان هواپیمای بدون سرنشین می‌تواند تقریباً هرکاری را که خلبان جنگنده انجام می‌دهد، انجام دهد، اما هرگز نیازی نیست که به منقطه‌ی جنگی رفته و جان خود را به خطر بیندازد.

استفاده از جداسازی مرورگر مثل کار خلبان هواپیمای بدون سرنشین است. می‌توان از راه دور وب را مرور کرد و شبکه را از خطر دور نگه داشت، اما فرقی با مرور واقعی ندارد.

انواع جداسازی اینترنت از شبکه داخلی با تکنولوژی جداسازی مرورگر

دو نوع کلی از تکنولوژی‌ جداسازی وجود دارد: جداسازی Local و جداسازی از راه دور

جداسازی Local

اکثر افراد از جداسازی Local مطلع هستند که شیوه‌ی قدیمی جداسازی است. این نوع از جداسازی شامل استفاده از یک Sandbox یا ماشین مجازی روی رایانه‌ی Local کاربر است تا داده‌ها روی رایانه‌های آن‌ها از خطرهای مرور وب جداسازی گردد.

جداسازی از راه دور

در جداسازی مرورگر از راه دور، مجازی‌سازی و جداسازی روی یک سرور از راه دور رخ می‌دهند. فعالیت مرورگر کاربر به یک محیط مجازی منتقل می‌شود و فقط یک جریان بصری Real-Time از اتفاقاتی که در سرور رخ می‌دهد به رایانه‌ی کاربر ارسال می‌گردد. سرور از راه دور قابلیت Host شدن در Cloud را دارد و یا می‌تواند به‌صورت On-Premise در چارچوب شبکه‌ی یک سازمان قرار گیرد.

در فضای جداسازی مرورگر از راه دور، درجات مختلفی از جداسازی رایانه‌ی کاربر از محتوای وب توسط تکنولوژی‌های مختلف وجود دارد:

• DOM Mirroring انواع بخصوصی از محتوای وب را که خطرناک به نظر می‌رسند، فیلتر می‌کند اما همچنان اجازه می‌دهد که انواعی از محتوای وب از اینترنت مستقیماً در شکل اصلی خود به رایانه‌ی کاربر برسند. این نوع، جداسازی حقیقی نیست.
• Isolation یا همان جداسازی هیچ محتوای وبی را به رایانه‌ی کاربر نمی‌فرستد. بلکه تنها یک جریان بصری را به شکل پیکسل ارسال می‌نماید.

دلایل نیاز سازمان‌ها به جداسازی اینترنت از شبکه داخلی

برخلاف باور عموم، سازمان‌ها به هر بزرگی یا کوچکی می‌توانند به‌طور جدی تحت تأثیر بدافزارهای مبتنی بر وب قرار بگیرند، به این دلیل که:

مرور وب خطرناک است

مرورگر وب متداول‌ترین برنامه کاربردی کسب‌و‌کار امروز است و ایمن‌سازی آن به دلیل پیچیدگی بسیار دشوار است. این مرورگرها خطرناک‌ترین برنامه‌ی کامپیوتری موجود را اجرا می‌کنند، یعنی دانلود کدهای غیرقابل اعتماد و اجرای آن به‌طور مستقیم روی رایانه‌ی کاربر. تعجبی ندارد که حملات مبتنی بر مرورگر مسیر حمله‌ی اصلی برای مهاجمانی هستند که کاربران را هدف قرار می‌دهند.

براساس یک گزارش از موسسه‌ی Osterman Research، ۶۰ درصد از سازمان‌ها در نتیجه‌ی مرور وب به بدافزار آلوده شده‌اند.

بلاک کردن سایت‌ها روی بهره‌وری تأثیرگذار است

جداسازی مرورگر از راه دور با فعال‌سازی دسترسی ایمن به وب‌سایت‌هایی که هنوز توسط Gateway  Secure دسته‌بندی نشده‌اند، بعنوان مکمل Secure Gateway عمل می‌نماید. سازمان‌ها معمولاً دسترسی را به وب‌سایت‌هایی که دسته‌بندی نشده‌اند بلاک می‌نمایند تا از شبکه در مقابل بدافزارهای مبتنی بر وب حفاظت کنند. بااین‌حال، بلاک کردن شدید دسترسی به وب‌سایت‌ها منجر می‌شود به کاهش بهره‌وری هم برای کاربر نهایی و هم تیم IT که مسئولیت پیگیری درخواست‌های کاربر نهایی را برای آزاد کردن وب‌سایت‌ها دارند. جداسازی اینترنت از شبکه داخلی با تکنولوژی جداسازی مرورگر از راه دور به کاربران و تیم‌های IT این توانایی را می‌دهد که با استفاده از وب مثل همیشه، بدون تأثیر منفی روی تجربه‌ی کاربری یا کاهش سرعت آن کارآمدتر باشند و در همین حال کاملاً از تهدیدات مبتنی بر وب در امان بمانند.

کاربران ریسک بزرگی هستند

اکثر کاربران دقت لازم را ندارند و از طریق تاکتیک‌های مهندسی اجتماعی به سادگی فریب خورده و روی لینک مخربی کلیک می‌کنند. سازمان‌ها منابع بودجه‌ای هنگفتی را صرف دفاع‌ از محیط خود می‌کنند، اما یک کارمند بی‌دقت می‌تواند با کلیک روی یک لینک مخرب و باز کردن در ورودی برای یک مهاجم، همه‌ی این هزینه‌ها را بی‌ثمر کند.

مزایای تکنولوژی‌ جداسازی مرورگر

جداسازی مرورگر از طریق جداسازی تمام فعالیت‌های مرورگر در یک محیط مجازی از راه دور، اطمینان حاصل می‌کند که هیچ محتوای وب مخربی به شبکه‌ی سازمانی نرسد. تکنولوژی‌ جداسازی اینترنت از شبکه داخلی از کاربران در مقابل تمام تهدیدات مبتنی بر وب حفاظت می‌نماید.

مزایای کلیدی این رویکرد عبارت‌اند از:

• حفاظت در مقابل وب‌سایت‌های مخرب: ازآنجایی‌که هیچ اجرای کد Localی روی رایانه‌ی کاربر رخ نمی‌دهد، کاربران از تمام وب‌سایت‌های مخرب در امان هستند.
• حفاظت در مقابل لینک‌های مخرب: ازآنجایی‌که URLها به‌طور خودکار در مرورگر وب جداسازی‌شده باز می‌شوند، چه در صفحات وب باشند، چه ایمیل، اسناد، Skype و غیره، فارغ از مبدأ، کاربران تحت حفاظت قرار خواهند گرفت.
• حفاظت در مقابل ایمیل‌های مخرب: با جداسازی وب، تمام ایمیل‌های مبتنی بر وب بدون هیچ آسیبی در سرور از راه دور ارائه می‌شوند و لینک‌ها در Clientهای ایمیل نیز به‌طور خودکار در سرور از راه دور باز می‌شوند.
• حفاظت در مقابل دانلودهای مخرب: ادمین‌ها می‌توانند به‌طور دقیق کنترل کنند که کدام کاربران فایل‌ اجازه‌ی دانلود را دارند و تمام دانلودهای مجاز در ابتدا اسکن می‌شوند تا تهدیدات از بین بروند.
• حفاظت در مقابل تبلیغات مخرب: تبلیغات و ردیاب‌ها به‌طور خودکار بلاک می‌شوند. اگر هر تهدیدی نمایش داده شود، از راه دور باز می‌گردد و در مقابل محتوای مخرب از کاربر حفاظت می‌نماید.
• مرور ناشناس: قابلیت‌های مرور ناشناس پیشرفته هویت حقیقی کاربران را می‌پوشاند.
• پیشگیری از از دست رفتن داده: قابلیت‌های DLP به‌صورت Built-In، از اینکه داده‌های سازمانی به‌طور تصادفی یا عامدانه استخراج شوند، پیشگیری می‌نمایند. این قابلیت‌ها به ادمین این توانایی را می‌دهد که فایل‌هایی را که یک کاربر در اینترنت آپلود می‌کند، محدود نماید.
• تجزیه‌و‌تحلیل رفتار کاربر: سازمان‌ها می‌توانند در مورد فعالیت‌های وب کاربران تجزیه‌و‌تحلیل انجام دهند که ممکن است برای مانیتورینگ تطبیق‌پذیری و شناسایی تهدیدات داخلی و کارمندان ناکارآمد مورداستفاده قرار گیرد.
• کاهش تعداد هشدارهای امنیتی: جداسازی کل محتوای وب روی یک سرور از راه دور منجر می‌شود به کاهش هشدارهای امنیتی و مثبت‌های کاذبی که باید مورد بررسی قرار گیرند.
• حذف هزینه‌ی بدافزارهای مبتنی بر وب: تأثیرات آلودگی به بدافزار می‌تواند شدید باشد و برطرف نمودن آن نیاز به مقدار زیادی هزینه و زمان داشته باشد. جداسازی مرورگر به‌طور کامل از شبکه در مقابل بدافزارهای مبتنی بر وب حفاظت می‌نماید.

شرکت امن‌پردازان کویر(APK) با بهر‌ه گیری از تجارب کسب شده در حوزه امنیت اطلاعات، در راستای جداسازی اینترنت از شبکه داخلی و مرتفع نمودن نیازهای امنیتی، راهکار متناسب با نیاز کارفرما جهت دسترسی امن به اینترنت را با عنوان APKSWAP طراحی نموده است که با بهره‌گیری از سرویس‌های نرم‌افزاری، امنیتی و مدیریتی و وجود پیش‌نیازهای پیاده‌سازی راهکار تحقق یافته است. برای آشنایی بیشتر و مشاوره در خصوص راهکار APKSWAP با شماره ۷۳ ۴۲۲ -۰۲۱ تماس بگیرید.