С сегодняшнего дня ваша команда может использовать службу Cloudflare Browser Isolation для защиты конфиденциальных данных внутри веб-браузера. Администраторы могут определять политики нулевого доверия, чтобы контролировать, кто может копировать, вставлять и печатать данные в любом веб-приложении.
В марте 2021 года, в рамках Недели безопасности, мы объявили об общедоступности Cloudflare Browser Isolation в качестве надстройки в составе пакета Cloudflare для Teams для доступа к приложениям и сервисов просмотра с нулевым доверием. Изоляция браузера защищает пользователей от вредоносного ПО и угроз нулевого дня, перекладывая риск выполнения ненадежного кода веб-сайта с локального браузера на безопасный браузер, размещенный на нашем периферии.
И в настоящее время мы демократизируем изоляцию браузера для любого бизнеса, включив ее в наш план Teams Enterprise Plan без дополнительной оплаты.1
Другой подход к просмотру с нулевым доверием
Веб-браузеры, тот же инструмент, который соединяет пользователей с критически важными бизнес-приложениями, является одним из наиболее распространенных векторов атак, и контролировать его труднее всего.
Браузеры начинались как простые инструменты, предназначенные для обмена академическими документами через Интернет, и со временем превратились в сложные платформы, которые заменили практически все настольные приложения на рабочем месте. Доминирование веб-приложений на рабочем месте создало проблему для групп безопасности, которые стремятся постоянно исправлять уязвимости нулевого дня и защищать конфиденциальные данные, хранящиеся в автономных приложениях и приложениях на основе SaaS.
Пытаясь защитить пользователей и приложения от сетевых атак, администраторы исторически полагались на проверку DNS или HTTP для предотвращения проникновения угроз в браузер. Эти инструменты, хотя и полезны для защиты от известные угрозы, их сложно настроить без ложных срабатываний (отрицательно влияющих на производительность пользователей и увеличения нагрузки на ИТ-поддержку), и они неэффективны против уязвимостей нулевого дня.
Технологии изоляции браузера снижают риск, перекладывая риск выполнения внешнего кода с конечной точки в безопасную среду. Исторически администраторам приходилось идти на компромисс между представление а также безопасность при принятии такого решения. Они могли либо:
- Расставлять приоритеты безопасность путем выбора решения, основанного на методах выталкивания пикселей для визуального представления пользователей. Это достигается за счет снижения производительности за счет задержки, графических артефактов и интенсивного использования полосы пропускания.
ИЛИ
- Сделайте ставку на производительность выбрав решение, основанное на методах очистки кода для распаковки, проверки и перепаковки веб-страницы. Эта модель хрупка (часто не удается перепаковать, что приводит к поломке веб-страницы) и небезопасна, поскольку позволяет необнаруженным угрозам скомпрометировать пользователей.
В Cloudflare мы знаем, что продукты безопасности не обязательно должны производиться за счет производительности. Мы разработали третий вариант, который обеспечивает удаленный просмотр без ущерба для производительности и безопасности пользователей.
- Приоритет безопасности никогда не отправляя внешний код в конечную точку и не выполняя его в безопасной удаленной среде.
- Расставлять приоритеты представление отправка по сети легких векторных инструкций (а не пикселей) и минимизация удаленной задержки в нашей глобальной пограничной сети.
Этот уникальный подход обеспечивает изолированный браузер без проблем с безопасностью или производительностью, с которыми сталкиваются унаследованные решения.
Контроль данных через браузер
Вредоносные программы и угрозы нулевого дня — не единственные проблемы безопасности, с которыми администраторы сталкиваются при работе с веб-браузерами. Массовое внедрение продуктов SaaS сделало веб-браузер основным инструментом, используемым для доступа к данным. Из-за отсутствия контроля над приложением и браузером администраторы практически не могут контролировать свои данные после их доставки на конечную точку.
Инструменты предотвращения потери данных обычно полагаются на распознавание образов для частичного или полного исправления передачи значений конфиденциальных данных. Эта модель полезна для защиты от неожиданного взлома данных PII и PCI, таких как местоположение и финансовая информация, но при этом теряется видимость.
Модель редактирования не работает, когда конфиденциальные данные не вписываются в легко узнаваемые шаблоны, а конечным пользователям требуется прозрачность для выполнения своей работы. В таких отраслях, как здравоохранение, редактирование конфиденциальных данных нецелесообразно, поскольку медицинские работники требуют видимости записей пациентов и данных о назначениях.
Как только данные попадают в веб-браузер, пользователю становится просто скопировать-вставить и распечатать конфиденциальные данные на другом веб-сайте, в приложении или на другом физическом месте. Эти, казалось бы, невинные действия могут привести к тому, что данные будут потеряны наивными пользователями, что приведет к утечке данных. У администраторов были ограниченные возможности для защиты данных в браузере, некоторые даже зашли так далеко, что развернули службы виртуальных рабочих столов для управления доступом к инструменту управления взаимоотношениями с клиентами (CRM) на основе SaaS. Это увеличило эксплуатационные расходы и разочаровало пользователей, которым приходилось учиться использовать компьютер-в-компьютере только для того, чтобы использовать веб-сайт.
Один щелчок, чтобы изолировать данные в браузере
Cloudflare Browser Isolation выполняет весь код веб-сайта (включая HTML) в удаленном браузере. Поскольку содержимое страницы остается в удаленном браузере, а инструкции по рисованию отправляются только в браузер, Cloudflare Browser Isolation занимает мощную позицию для защиты конфиденциальных данных на любом веб-сайте или в приложении SaaS.
Теперь администраторы могут управлять функциями копирования-вставки и печати с детализацией для каждого правила одним щелчком мыши на панели инструментов Cloudflare для Teams. Например, теперь администраторы могут создавать правила, не позволяющие пользователям копировать информацию из вашей CRM или запрещающие членам команды печатать данные из вашей ERP, не блокируя их попытки печати с внешних веб-сайтов, печать которых не представляет риска потери данных.
С точки зрения пользователя веб-сайты выглядят и ведут себя нормально, пока пользователь не выполнит ограниченное действие.
Управление копированием-вставкой и печатью можно настроить как для новых, так и для существующих политик HTTP на панели инструментов Teams.
- Перейдите на панель управления Cloudflare для команд.
- Перейдите в Шлюз → Политики → HTTP.
- Создать / обновить политику HTTP с Изолировать действие (документы).
- Настройте параметры политики.
Администраторы обладают гибкостью в управлении защитой данных и могут включать / отключать поведение браузера в зависимости от приложения, имени хоста, идентичности пользователя и угроз безопасности.
Что дальше?
Мы только начинаем работу с элементами управления просмотром с нулевым доверием. Мы усердно работаем над созданием средств управления для защиты от фишинговых атак, дополнительной защиты данных, контролируя загрузку и скачивание файлов без необходимости разрабатывать сложные сетевые политики, а также поддерживаем полностью бесклиентную изоляцию браузера.
Демократизация изоляции браузера для любого бизнеса
Исторически сложилось так, что только крупные предприятия оправдывали затраты на добавление изоляции удаленного браузера к существующим развертываниям безопасности. В результате полученное слабо интегрированное решение не дотянуло до нулевого доверия из-за неудовлетворительного опыта конечных пользователей. Cloudflare уже решила эти проблемы, поэтому предприятия достигают полной безопасности Zero Trust, включая средства управления защитой данных на основе браузера без потери производительности.
Однако этого не всегда достаточно для демократизации изоляции браузера Zero Trust для любого бизнеса, поэтому в настоящее время мы включаем ее в наш корпоративный план Teams без дополнительной оплаты.1 Начни здесь.
…….
1. До 2000 мест до 31 декабря 2021 г.
