01/10 什么是远程隔离浏览器

远程隔离浏览器（Remote Browser Isolation，RBI）是一种网络安全措施，通过在远程服务器上托管浏览器活动，将用户设备与互联网浏览过程隔离，确保潜在的恶意代码不不会在本地设备上运行，从而使浏览器活动发生在安全的环境中，防止恶意网站威胁。这种技术有助于阻止零日攻击和其他网络安全威胁，提高在线安全性。

02/10 企业客户，用远程隔离浏览器目的是什么

Web 浏览器是企业里使用最普遍的应用程序，但 IT 部门对它的控制却最少。企业安全部门和 IT 专业人员对 Web 浏览器抱怨最多的方面：

1. 安全性。公共互联网是安全漏洞不断产生的根源，检测和补救成本不断增加，数据泄露导致的声誉损害和经济损失可能会非常严重。

2. 控制性。IT 部门几乎看不到用户活动，运用内容撤防与重建（CDR）和数据丢失防护（DLP）机制（包括何人何时在何处下载/上传了文件）的能力也有限。

3. 合规性。无法跨地区控制数据和活动或采集必要的审计遥测数据，以满足日益严格的法规要求。这会导致遭受处罚和罚款的严重风险。

鉴于日常用户活动（例如电子邮件和 Web 浏览）会暴露漏洞，一些组织试图限制这些活动。由于两者都是合法且重要的业务功能，限制或减少 Web 浏览器使用量的举措不可避免地失败，或给企业生产力和员工士气造成实质性的负面影响。
当前缓解网页浏览中固有安全问题的方法主要基于签名技术，其作用目标是数据文件和可执行文件，以及已知的善意/恶意 URL 和 DNS 地址列表。这些方法面临着难题，无法及时掌握已知的攻击（文件签名、URL 和 DNS 地址），本身也无力抵御零日攻击。

03/10 个人客户，用远程隔离浏览器目的是什么

1. 防病毒木马。防止从恶意网站上下载了病毒木马，导致个人电脑中毒。

2. 去除广告。自动屏蔽网站和搜索引擎上的广告。

3. 匿名上网。在远程临时创建浏览器实例，每次使用结束后自动销毁，隐藏用户的真实 IP 地址，和上网历史记录，达到匿名上网的目的。

04/10 浏览器隔离的方式

浏览器隔离有两种主要架构：(1) 基于客户端的本地隔离，以及(2)基于服务端的远程隔离。
本地浏览器隔离试图使用应用程序级或操作系统级沙箱技术来隔离在本地端点上运行的浏览器。
远程浏览器隔离（RBI）通过将浏览器移至云端的远程服务或企业网络内的独立本地服务器来保护端点。大多数浏览器隔离解决方案都利用基于云的远程隔离。

05/10 本地浏览器隔离

通过在用户设备上实施隔离措施，将浏览器活动与操作系统或应用程序分开，以提高浏览活动的安全性。这种隔离可以采用应用程序级或操作系统级别的沙箱技术，确保恶意网页代码不会对用户设备造成损害。本地浏览器隔离的目标是防止潜在的网络安全威胁在用户的本地设备上执行，从而降低恶意网页的影响。其产品形态，基本上是要独立打造一个专门的浏览器，或者采用其它终端沙箱类的技术把浏览器框进去。

06/10 远程浏览器隔离的技术原理

在典型的基于云型 RBI 系统中，远程浏览器 作为一次性的容器化实例在云端运行，每个用户都有单独的浏览器实例。远程浏览器使用特定协议和数据格式将网页的渲染后内容发送到用户端点设备。用户操作（例如击键、鼠标和滚动命令）通过安全的加密通道发送回服务端，在那里由远程浏览器加以处理，对远程浏览器网页的所有更改则发送回端点设备。

实际上，端点设备正在“遥控”云浏览器。一些 RBI 系统使用安装在本地端点上的专有客户端，其他系统则利用端点上现有的 HTML5 兼容浏览器，被视为“无客户端”。远程浏览器中发生的数据泄露与本地端点和企业网络隔离。每个远程浏览器实例视为已受损来对待，并在每次会话后终止。新的浏览器会话以全新的实例启动。大多数 RBI 系统提供远文件阅读器，免除了下载文件的必要，而且还有检查文件没有恶意软件后再允许下载的功能。
上述架构有一个关键组成部分，即云 RBI 服务采用的特定远程处理技术。远程处理技术对 RBI 服务的运营成本和可扩展性、网站保真度和兼容性、带宽要求、端点硬件/软件要求，乃至用户体验都具有重要影响。远程处理技术还决定了 RBI 系统提供的安全性的有效等级。
当前所有云 RBI 系统都采用以下两种远程处理技术之一。

07/10 像素推送浏览器图像

其实在虚拟化的时代里，还有别的名字，叫做远程应用、虚拟应用、RemoteApp 等等。类比于远程桌面，是把服务端的 Windows 桌面图像传递到客户端来，这里只是用浏览器这个应用的图像换掉 Windows 桌面图像而已。
这是一种基于视频的方法，捕获远程浏览器“窗口”的像素图像，并将图像序列传输到客户端端点浏览器或专有客户端。这与远程桌面和 VNC 系统的工作方式相似。尽管被认为相对安全，但这种方法存在一些固有的难点：

• 连续编码远程网页的视频流并将其传输到用户端点设备，成本非常高昂。将此方法扩展到数百万用户，财务上不被允许，逻辑上也很复杂。

• 需要大量带宽。即使经过高度优化，推送像素也会占用大量带宽。

• 不可避免的延迟会导致用户体验不佳。这些系统往往运行缓慢，而且会引发许多用户投诉。

• 带宽要求高加上连接不一致，导致移动支持能力下降。

• HiDPI 显示可能以较低的分辨率渲染。像素密度随分辨率呈指数增长，这意味着远程浏览器会话在 HiDPI 设备上可能显得模糊或失焦。

市面上大部分的远程隔离浏览器技术方案，均是这一种，因为其实现技术简单，复用传统的 RDP、VNC 等产品虚拟桌面和虚拟应用的技术路线即可。判断标准很简单，只要其产品形态是浏览器里套了个浏览器就是这样的技术路线，比如下面这个：

08/10 DOM 重建技术

DOM 重建。作为对像素推送缺陷的一种响应而诞生，DOM 重建尝试在将内容转发到本地端点浏览器之前对 HTML 和 CSS 等进行清理。通过重建HTML 和 CSS 等来消除活跃代码、已知漏洞，以及其他潜在的恶意内容。尽管解决了像素推送在延迟、运营成本和用户体验方面的问题，但带来了两个新的重大问题：

• 安全性。底层技术（HTML、CSS、Web 字体等）是被黑客用来破坏端点的攻击媒介。试图去除恶意内容或代码就像给蚊子洗澡：您可以尽力清洁它们，但它们仍然是危险和恶意材料的固有载体。即便是借助 RBI 系统，也无法提前识别利用这些技术的所有手段。

• 网站保真度。不可避免地，尝试移除恶意活动代码并重建 HTML、CSS 和现代网站的其他方面会导致页面遭到破坏，无法正常渲染或根本不能渲染。今天可行的网站明天就可能不行，因为网站发布者的日常变更可能会破坏 DOM 重建功能。结果就是像打鼹鼠游戏里那样无休止地遗留需要大量资源的问题。某些 RBI 解决方案难以支持常见的企业级服务，例如 Google G Suite 或 Microsoft Office 365。即使被认为是恶意软件的载体，Web 电子邮件仍然是数据泄露的一大来源。

客户仍然要做出权衡，要么选择用户体验差、运营成本高的安全解决方案，要么选择速度快、安全性低很多、还破坏网站的解决方案。这样的权衡促使一些 RBI 提供商在其产品中同时实施两种远程处理技术。然而，这是让客户饮鸩止渴，不去解决基本的问题。
考虑到当今 RBI 系统的重要权衡，当前客户的一项常见优化是仅向组织里最易受攻击的用户（例如风险较高的高管、财务、业务开发或 HR 员工）部署远程浏览功能。如同给教室里的一半学生接种疫苗，这会导致一种错误的安全感，对保护大型组织来说无济于事。
DOM 重构是一种理论上的技术方案，实际上在市场上现有的所有 RBI 产品中，作者并没有任何一家宣传是基于该方案的。

09/10 网络矢量渲染技术

Cloudflare 收购的 S2 Systems 远程浏览器隔离采用一种截然不同的方法，它基于称为网络矢量渲染（NVR）的 S2 专利技术。

远程浏览器基于开源的 Chromium 引擎，Chromium 浏览器的一个关键架构特征是使用 Skia 图形库。Skia 是使用广泛的跨平台图形引擎，用于 Android、Google Chrome、Chrome OS、Mozilla Firefox、Firefox OS、FitbitOS、Flutter、Electron应用程序框架和许多其他产品。与Chromium 一样，Skia 的普及性确保了持续拥有广泛的硬件和平台。
Chromium 浏览器窗口中可见的所有内容均通过 Skia 渲染层进行渲染。这包括应用程序窗口 UI（如菜单），但更重要的是，网页窗口的整个内容均通过 Skia 渲染。
Chromium 合成、布局和渲染极其复杂，具有针对不同内容类型、设备环境等进行了优化的多个并行路径，下图为说明 S2 的工作原理而进行简化：S2 Systems NVR 技术截获远程 Chromium 浏览器的 Skia 绘制命令

❶对其进行令牌化和压缩，然后加密并通过网络

❷ 传输到在用户端点桌面或移动设备本地运行的任何 HTML5 兼容 Web 浏览器

❸（Chrome、Firefox 和 Safari 等）。NVR 捕获的 Skia API 命令是预先光栅化的，这意味着它们非常紧凑。首次使用时，S2 RBI 服务将 NVR WebAssembly（Wasm）库

❹ 透明地推送到端点设备上的本地 HTML5 Web 浏览器，并在那里缓存以备日后使用。NVR Wasm 代码包含一个嵌入式 Skia 库和必要的代码，用于解压缩、解密和“重演”从远程 RBI 服务器到本地浏览器窗口的 Skia绘制命令。WebAssembly 可以“通过利用广泛平台上可用的通用硬件功能来以本机速度执行，从而达到接近于本机的绘图性能。S2 远程浏览器隔离服务使用云端基于 Chromium 的无头浏览器，透明地截获绘图层输出，通过网络安全、高效地传输绘图命令，然后在本地 HTML5 浏览器的窗口中重新绘制它们。这种架构具有诸多技术优势：
(1) 安全性：底层数据传输不是现有的攻击媒介，客户也不会被迫在安全性和性能之间进行取舍。

(2) 网站兼容性：没有网站兼容性问题，也没有追逐不断发展的Web 技术或新生漏洞的麻烦。

(3) 性能：系统速度非常快，通常要胜于本地浏览（日后某篇博文的主题）。

(4) 透明用户体验：S2 远程浏览的感受如同本机浏览；用户通常不会意识到他们正在远程浏览。

(5)对于大多数网站来说，所需的带宽比本地浏览少。实现高级缓存，以及 Web 浏览器以及 Web 内容和技术性质所特有的其他专有优化。

(6) 无客户端：利用已安装在用户端点桌面和移动设备上的现有HTML5 兼容浏览器。

(7) 具有成本效益的可扩展性：尽管细节不在本文讨论范畴，但S2 后端和 NVR 技术的运营成本大大低于现有的 RBI 技术。运营成本直接转化为客户成本。S2 系统旨在促进部署到整个企业而非仅针对目标用户（即，为一半学生接种疫苗），使它不仅可行又对客户有吸引力。

(8) RBI 即平台：实现相关/相邻服务的实施，例如 DLP、内容撤防与重建（CDR）、网络钓鱼检测和预防，等等。

10/10 国内浏览器隔离可选产品

国内为数不多的隔离浏览器产品，甚至某度都搜索不到，一家是北京的钛星数安，另一家是杭州的数影星球。

往期回顾：

1. 在国产替代的路上，什么时候才能甩掉 IE 这个尾巴
2. 各色各样的企业安全浏览器，各自捍卫一片商业疆土
3. 以色列企业浏览器 Talon，成立 2 年卖了 45 亿，国内安全浏览器看到曙光了？
4. 中国企业出海，面对的第一个安全难题，是海外员工的个人隐私

参考内容：https://blog.cloudflare.com/cloudflare-and-remote-browser-isolation