A vállalati hálózatok egyik legnagyobb támadási felülete a webböngészés. A kártékony kódok, drive-by támadások, böngészősebezhetőségek és adatszivárgások jelentős része a felhasználók mindennapi internethasználatából ered. A modern SASE-környezetek egyik fontos védelmi eleme ezért a Remote Browser Isolation (RBI), amely új megközelítést kínál a webalapú fenyegetések kezelésére. A Fortinet a FortiSASE platform részeként integrált, felhőalapú RBI technológiát biztosít, amely lehetővé teszi a felhasználók számára a biztonságos böngészést.
Mi az a Remote Browser Isolation (RBI)?
A Remote Browser Isolation egy olyan biztonsági technológia, amelynek lényege, hogy a felhasználó által megnyitott weboldal nem közvetlenül a helyi eszközön, hanem egy elkülönített, felhőalapú konténerben fut.
A FortiSASE RBI esetében:
- a böngészés egy távoli, Fortinet által biztosított izolált környezetben történik,
- a felhasználó csak a renderelt felületet látja,
- minden aktív tartalom (JavaScript, iframe, reklám, potenciálisan kártékony kód) a konténerből fut,
- a hivatkozások és interakciók továbbra is teljes értékű böngészési élményt biztosítanak.
Ennek köszönhetően még akkor is, ha egy weboldal fertőzött, a rosszindulatú tartalom nem jut el a végpontig.
A FortiSASE RBI működési modellje
A FortiSASE RBI a Secure Web Gateway (SWG) szolgáltatáson belül működik, és három fő komponensből áll.
- Kategória- és policy-alapú aktiválás
Az adminisztrátorok meghatározhatják a megfelelő proxy szabályban, hogy milyen felhasználókra vagy csoportokra vonatkozóan, milyen URL-kategóriák esetén aktiválódjon automatikusan az izolált böngészés. Az SWG szabályokban a hagyományos Accept és Deny műveletek mellett megjelenik az Isolate művelet is.
Példák:
- Kártékony weboldalak (Malicious Websites)
- Frissen regisztrált domainek (Newly Registered Domains)
- Ismeretlen reputációjú oldalak (Unrated)
- Frissen felfedezett domainek (Newly Observed Domains)
- Izolált böngészőkörnyezet (konténeralapú)
A felhasználó által kért weboldal egy távoli konténerben fut. Innen csak a renderelt kép és a felhasználói interakció kerül továbbításra, így a kliens eszköz nem kapcsolódik közvetlenül a céloldalhoz.
A felhasználó böngészőjében egy piros FortiSASE logót helyez el az RBI, így a felhasználó látja, hogy éppen egy távoli konténerben dolgozik.
Példa
Kollégánk egy adathalász e-mailt kap, amelyben arra kérik, hogy változtassa meg a jelszavát egy olyan szolgáltatásnál, amelyet cégünk is használ. Nem veszi észre, hogy a hivatkozás, amelyre kattint, bár kísértetiesen hasonlít a szolgáltatás valódi domain nevére, megtévesztő, speciális karaktereket tartalmaz. Ennek következtében nem a valódi szolgáltatás oldalára jut, hanem egy vizuálisan megtévesztésig hasonló, hamis weboldalra, amelynek URL-je első ránézésre az eredetivel azonosnak tűnik.
A FortiSASE azonban érzékeli az eltérést, és mivel a megtévesztő URL egy frissen regisztrált domain-re mutat, aktiválja az RBI funkciót. A kollégánk számítógépén megjelenő böngészőablakban feltűnik a piros FortiSASE-logó, így – a megfelelő belső képzést követően – tudni fogja, hogy ez a weboldal nem feltétlenül az, aminek látszik.
- Szabályozott forgalom
Az üzemeltetők meghatározhatják:
- a végponti sessionök számát (maximum 5 egyidejű),
- a stream minőségét (alacsony / közepes / magas),
- a végponti böngészőcookie-k engedélyezését vagy tiltását,
- a vágólap-hozzáférést,
- a jobb klikk engedélyezését vagy tiltását,
- a nyomtatás PDF-be engedélyezését vagy tiltását,
- fájltípusok le- és feltöltésének engedélyezését vagy tiltását.
Miért előnyös a FortiSASE RBI?
- Teljes védelem a zero-day fenyegetések ellen
Mivel a tartalom nem a végponton fut, gyakorlatilag minden webalapú támadás hatástalan.
- Biztonságos távoli munkavégzés
A home office és BYOD környezetekben kiemelt előny, hogy a böngészési tartalom nem kerül érintkezésbe a nem menedzselt vagy kevésbé biztonságos eszközökkel.
- Egyszerű üzemeltetés
A FortiSASE platform natívan integrálja az RBI-t, tehát nincs szükség külön agentre vagy böngészőbővítményre.
Licencelés és korlátozások
A FortiSASE RBI funkció eléréséhez az alábbiak szükségesek:
- FortiSASE Advanced vagy Comprehensive licenc
- aktivált Secure Web Gateway funkció.
Az RBI funkció jelenleg az alábbi keretek között érhető el:
- maximum 5 párhuzamos RBI session felhasználónként,
- automatikus session-timeout inaktivitás esetén (10 perc),
- havi izolált adatlimit (100 MB / felhasználó / hó).
Konfiguráció rövid áttekintése
Az RBI aktiválása jellemzően az alábbi lépésekből áll:
- SWG policyk konfigurálása,
- olyan szabályok létrehozása, amelyek meghatározzák, hogy mely forgalom izolálódjon,
- végponti proxybeállítások.
A Fortinet részletes konfigurációs útmutatót is biztosít, beleértve a „Configuring RBI with proxy” példát:
https://docs.fortinet.com/document/fortisase/latest/feature-administration-guide/761922/example-configuring-rbi-with-proxy
Fájlfeltöltés weboldalra RBI nélkül
Fájlfeltöltés RBI-jal – .docx feltöltés tiltással
Fájlfeltöltés RBI-jal – .docx feltöltés engedélyezéssel –„bizonyíték” az interakcióra
Szerző:
Csere István | Presales- / Rendszermérnök – HRP Europe Kft.
Összegzés
A FortiSASE Remote Browser Isolation modern, zero-trust szemléletű védelmet nyújt a webböngészéshez. Az elkülönített futtatási modellnek köszönhetően még a legkifinomultabb webalapú támadások sem jelentenek közvetlen veszélyt a végpontokra. A megoldás különösen hasznos:
- felhőalapú munkakörnyezetben,
- távoli dolgozóknál,
- BYOD eszközök esetén,
- magas biztonsági elvárásokkal rendelkező iparágakban.
A FortiSASE RBI az egyik legfejlettebb böngészésvédelmi technológia, amely teljes mértékben beilleszkedik a vállalati SASE stratégiába.
