Search
Menu

بررسی دقیق ایزوله‌سازی اینترنت با جداسازی مرورگر: مهمترین ویژگی‌های امنیتی

ایزوله‌سازی اینترنت

ایزوله‌سازی اینترنت با جداسازی مرورگر مدلی امنیتی است که به طور فیزیکی فعالیت مرور کاربران اینترنت را از رایانه‌ها، شبکه‌ها و زیرساخت محلی آن­ها جدا می‌کند. در این مدل، نشست مرورگر از سخت‌افزاری که مرورگر روی آن اجرا شده و اتصال اینترنت استفاده می‌شود، جدا می‌گردد و اطمینان حاصل می‌شود که فعالیت‌های مضر فقط می‌توانند بر محیط مرورگر ایزوله­‌شده تأثیر بگذارند. این مدل به عنوان مرورگر مجازی نیز شناخته می­‌شود.

جداسازی اینترنت با تکنولوژی Browser Isolation، تجربه مرور یکباره و غیر دائمی به کاربران ارائه می‌کند که می­توان آن را به روش­‌های مختلفی انجام داد، اما معمولاً شامل مجازی­‌سازی، کانتینر­سازی یا مجازی­‌سازی برنامه‌­های مبتنی بر ابر است. هنگامی که کاربر نشست مرور را می‌­بندد یا زمان نشست به اتمام می‌­رسد، محیط ایزوله­‌شده بازنشانی یا حذف می­‌شود. علاوه بر این، بدافزارها و ترافیک مخرب نیز کنار گذاشته می‌­شوند، بنابراین به دستگاه نقطه پایانی یا شبکه نمی‌­رسند.

انواع مرور ایزوله­‌شده

دو روش اصلی برای کنترل ایزوله‌سازی اینترنت وجود دارد: جداسازی محلی و جداسازی از راه دور.

جداسازی محلی

این روش جداسازی سنتی است که شامل اجرای Sandbox یا ماشین مجازی بر روی رایانه محلی کاربر است که داده‌­های آن را از مرور وب خطرناک جدا می­‌کند.

جداسازی از راه دور

جداسازی اینترنت از شبکه داخلی با جداسازی مرورگر از راه دور به کمک مجازی­‌سازی انجام می­‌پذیرد که به منظور ایجاد محیط ایزوله‌­شده مرورگر روی سرور از راه دور استفاده می­‌شود. کاربر در محیط مجازی از راه دور اینترنت را مرور می­‌کند. سرور از راه دور می‌­تواند در شبکه یک سازمان قرار گیرد یا در فضای ابری میزبانی شود.

در ایزوله‌سازی اینترنت از راه دور، دو راه اصلی برای ایزوله‌­سازی دستگاه محلی کاربر از محتوای وب وجود دارد. DOM mirroring تکنیکی است که انواع خاصی از محتوای وب که خطرناک تلقی می‌شوند را کنار می‌گذارد، در حالی که انواع دیگر محتوای وب را به شکل اصلی‌شان نمایش می‌دهد، اما مرورگر به­‌طور کامل ایزوله نشده است.

تکنیک دیگر پخش بصری است که در آن مرورگر روی سرور از راه دور اجرا می‌­شود و تنها، خروجی بصری آن به دستگاه کاربر منتقل می­‌شود و مشابه با سیستم‌های زیرساخت دسکتاپ مجازی (VDI) کار می­‌کند. این روش میان مرورگر از راه دور و نقاط پایانی، ایزوله­‌سازی کاملی را ایجاد می­‌کند.

ایزوله‌سازی اینترنت با جداسازی مرورگر از چه تهدیداتی جلوگیری می­‌کند؟

اکثر صفحات وب مدرن از جاوا اسکریپت استفاده می­‌کنند و مهاجمان می‌­توانند از کد جاوا اسکریپت برای انجام انواع فعالیت­‌های مخرب در دستگاه­های کاربر استفاده کنند. از آنجا که مرورگرها، کد جاوا اسکریپت را به طور پیش فرض در صفحه وب اجرا می‌­کنند، به محض بازدید کاربر از صفحه، این اسکریپت‌های مخرب اجرا می­‌شوند. اسکریپت‌ها می‌توانند توسط صاحبان سایت‌های مخرب، یا توسط دیگران، بدون اطلاع صاحبان سایت، مانند حملات XSS قرار داده شوند.

این مسئله می‌تواند منجر به حملاتی شود، از جمله: دانلودهای ناخواسته (Drive-by) که در آن مرورگر، فایل‌ها را بدون اجازه کاربر دانلود می‌کند، “تبلیغات مخرب”(malvertising) که در آن کد مخرب هنگام مشاهده تبلیغ توسط کاربر اجرا می‌شود و Clickjacking که کاربران را فریب می­دهد تا ناخواسته بر روی لینک‌­ها کلیک کنند. XSS همچنین می­تواند برای ربودن نشست‌ها و سرقت اعتبار کاربر استفاده شود.

مسیرهای تهدید مبتنی بر مرورگر دیگری نیز وجود دارند، از جمله تغییر مسیرهای اجباری به URLهای مخرب و سوء استفاده از آسیب‌­پذیری­‌های مرورگر اصلاح نشده.

با جداسازی اینترنت از اینترانت به وسیله جداسازی مرورگر، تقریباً می­‌توان از تمام این تهدیدها جلوگیری کرد، چرا که فعالیت­‌های مخرب مستقیماً در دستگاه کاربر رخ نمی­‌دهند و در محیطی ایزوله‌­شده یا از راه دور اتفاق می­‌افتند. به عنوان مثال، اگر یک اسکریپت مخرب منجر به تغییر مسیر یا دانلود ناخواسته شود، این امر بر کاربر تأثیر نمی‌گذارد، زیرا URL یا فایل در محیطی ایزوله­‌شده اجرا می شوند.

 مهم­ترین ویژگی‌­های امنیتی ایزوله‌سازی اینترنت

در ادامه چند مورد از مهم­ترین ویژگی­‌های امنیتی که ایزوله‌سازی اینترنت با جداسازی مرورگر ارائه می‌­دهند آورده شده است:

  • مسدود کردن بدافزار به کاربران اجازه می­‌دهد بدون اینکه در معرض دانلودها یا اسکریپت‌­های مخرب در وب‌سایت­‌ها قرار بگیرند، وب را مرور کنند.
  • محافظت در برابر فیشینگ: زمانی که کاربران از طریق مرورگری مجزا به ایمیل دسترسی پیدا می‌­کنند، در برابر بدافزار پنهان شده در پیوست­‌های ایمیل یا پیوندها محافظت می­‌شوند که این اقدام می­‌تواند به جلوگیری از اکثر حملات فیشینگ کمک کند.
  • جلوگیری از سرقت اطلاعات اعتباری: ایزوله‌سازی اینترنت می‌­تواند به جلوگیری از سرقت اطلاعات خصوصی کمک کند. مدیران می‌توانند از تایپ اطلاعات حساس کاربران مانند گذرواژه یا جزئیات حساب بانکی، به جز در مکان‌های امن و شناخته شده جلوگیری کنند.
  • جداسازی اسناد: بسیاری از قالب‌های اسناد می‌توانند حاوی بدافزار باشند. در مرورگری که ایزوله شده است، کاربران اسناد را در محیط ایزوله‌­شده مشاهده می­‌کنند، به این معنی که اسکریپت‌­های مخرب، دستگاه Local را تحت تأثیر قرار نمی­‌دهند. پس از اسکن فایل در برابر بدافزار، کاربر می‌تواند آن را در دستگاه شخصی خود دانلود کند.
  • مسدود کردن افزونه‌ها و تکنولوژی­‌های ناامن: اگر کاربران به وب‌سایت‌های ارائه‌شده با تکنولوژی­‌های قدیمی مانند Adobe Flash دسترسی داشته باشند یا افزونه‌هایی را نصب کنند که دارای آسیب‌پذیری‌های امنیتی هستند، از دستگاه شخصی در برابر حملات محافظت می‌شود.
  • گزارش‌گیری و فارنزیک: با ایزوله‌سازی اینترنت، مدیران می‌توانند فعالیت مرور کاربران را نظارت و بازرسی کنند تا ببینند چه زمانی آن­ها به محتوای ناامن دسترسی دارند، و زمانی که حملات در مرورگر ایزوله­‌شده رخ می‌دهند، علت اصلی را تعیین کنند.

اجزای سیستم جداسازی مرورگر

سیستم مرورگر ایزوله‌­شده معمولاً از اجزای زیر ساخته می­‌شود.

کلاینت

کاربران درخواست‌های وب را با استفاده از یک رابط کلاینت که در دستگاه محلی آنها مستقر شده است، آغاز می­‌کنند. کلاینت را می‌­توان بر روی هر دسکتاپ، لپ­تاپ، گوشی هوشمند یا سایر دستگاه‌­های محاسباتی که دارای اتصال اینترنت و مرورگر وب محلی هستند، پیاده‌سازی کرد.

در ایزوله‌سازی اینترنت با جداسازی مرورگر محلی، کلاینت با راهکار جداسازی همزیستی دارد که می‌­تواند مرورگر را جدا از محیط محلی اجرا کند. در راهکار مرورگر از راه دور، کلاینت، خروجی بصری مرورگر از راه دور را نمایش می­‌دهد.

سرویس امنیت وب

این سرویس نوع ترافیک و محتوایی که برای کاربر مجاز است را تعیین می‌­کند. اکثر راهکارهای ایزوله‌سازی اینترنت دارای سرویس‌­های امنیت وب Built-in هستند که می­‌توانند بر اساس نیازهای تجاری شما پیکربندی شوند. برای مثال، می‌توانید انتخاب کنید که ترافیک از وب‌سایت‌هایی خاص حذف شود، انواع خاصی از محتوا (مانند اجزا Adobe Flash) فیلتر شود، دانلودها در شرایط خاص مسدود شود، و در صورت بروز رفتار مشکوک، هشدارها نمایش داده شوند.

موتور جداسازی تهدید

نوعی موتور تصمیم‌‍­گیری است که می­‌تواند انواع خاصی از محتوا را در مرورگری مجزا، بسته به قوانین امنیتی سرویس امنیت وب، اجرا کند و به کاربران امکان می‌­دهد تا در مرورگری معمولی و ایزوله نشده کار کنند و در صورت نیاز، فعالیت را به مرورگر ایزوله‌شده تغییر دهند.

Containerهای یکبار مصرف

Containerها، بسته­‌های مستقلی هستند که می‌­توانند نرم‌­افزار را مستقل از زیرساخت­‌های محیطی اجرا کنند. Container یکبار مصرف است و راه­‌اندازی می­‌شود تا یک نشست کاربر را در خود جای دهد، و هنگامی که کاربر نشست خود را پایان می‌­دهد، به‌طور ایمن حذف می­‌شود تا اطمینان حاصل شود که هر­گونه بدافزار یا تهدید، از سیستم محلی پاک می­‌شود.

Web Socket

Web Socket کانالی امن برای جریان داده‌­ها میان کلاینت و سرویس امنیتی وب است. Web Socket به کلاینت متصل می‌­شود، دستورالعمل­‌ها را از سرویس امنیتی دریافت می­‌کند و آن­ها را بصورت Real-time در محیط مرورگر اعمال می‌­کند.

محیط Hosting

این محیط زیرساختی است که مرورگر ایزوله­‌شده را اجرا می­‌کند که می­‌تواند به شکل‌های زیر باشد:

  • دستگاه کاربر محلی، که راهکار جداسازی را اجرا می­‌کند
  • سروری که توسط سازمان شما، On-premises مدیریت می­‌شود
  • سروری که در ابر اجرا می­‌شود
  • سرویس شخص ثالثی که به‌­طور کامل مدیریت می­‌شود

وب عمومی

کاربر از کلاینت برای دسترسی به آدرس­‌ها در اینترنت عمومی استفاده می­‌کند. با این حال، بر­خلاف تجارب مرور معمولی، امکان دارد ارتباط میان وب‌سایت‌های عمومی و مرورگر ایزوله­‌شده، در مکانی از راه دور هاست شود. برخی از داده‌­ها ممکن است همانطور که در سرویس امنیتی وب تعریف شده‌­اند مسدود یا فیلتر شوند که در نهایت محتوای حاصل در کلاینت نمایش داده می­‌شود.

محتوا

محتوای اینترنتی بازیابی شده توسط سیستم­‌های جداسازی مرورگر می­تواند مجاز یا مخرب باشد. برخی از راهکارها تا زمانی که الزامات امنیتی اولیه را برآورده کنند، تمام محتوا را همانطور که هستند، نشان می‌دهند. راهکارهای دیگر، لای‌ه­ای از فیلتر محتوا را اضافه می­‌کنند که به شما امکان می‌­دهد محتوای نامناسب را، حتی اگر هیچ خطر امنیتی مستقیمی نداشته باشد، مسدود کنید و از دسترسی کلاینت به آن جلوگیری کنید.

سخن پایانی

با توجه به ساختارهای معرفی شده در راستای ایجاد بستری امن برای کاربران و جلوگیری از انتشار آلودگی در سطح شبکه و همچنین کاهش حملات از سمت کاربران شبکه پیشنهاد می­‌گردد جداسازی اینترنت از اینترانت با جداسازی مرورگر در راستای پیاده‌سازی و بهبود زیرساخت سازمان‌ها قرار داده شود. شرکت امن‌پردازان کویر (APK) پیشرو در ارائه خدمات امنیت سایبری، محصول APKSWAP، سامانه دسترسی امن به اینترنت را با استفاده از فناوری جداسازی مرورگر و تکنولوژی Container-Docker ارایه نموده ­است. این راه‌حل نسبت به راهکارهای جداسازی فیزیکی از نظر هزینه‌­های مالی، منابع انسانی، زیرساختی و همچنین توسعه‌­ای مقرون به صرفه است.

در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.

درخواست دمو و مشاوره

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.