订阅以接收新文章的通知:

Cloudflare 浏览器隔离测试版简介

2020-10-15

5 分钟阅读时间
这篇博文也有 English한국어Español日本語版本。

重构浏览器

Web 浏览器既能将用户连接到整个互联网,也将您连接到互联网所有潜在有害部分。这是一扇通向地球上几乎所有联网系统的大门,强大且令人害怕。

我们也比以往任何时候都更加依赖浏览器。我们使用的大部分应用程序都是在浏览器中运行的,其数量将继续增加。对很多组织而言,企业笔记本电脑只是一台受管理的 Web 浏览机器。我们使用的大部分应用程序都是在浏览器中运行的,其数量将继续增加。对越来越多的组织而言,企业笔记本电脑只是一台受管理的 Web 浏览机器。

要保护这些设备及其储存或访问的数据,企业已开始部署“浏览器隔离”服务,浏览器本身不在本机运行,而是运行于云提供商的一台虚拟机上。通过在设备以外运行,来自浏览器的威胁留在云端虚拟机上。

然而,大多数隔离解决方案均采取前两种方法,破坏了网络浏览器的便利性和灵活性:

  • 记录隔离的浏览器,并将其实时流发送给用户,这不仅速度缓慢,而且一些基本的操作(例如向表格输入文本)都很难处理。

  • 将网页解压,检查后再重新打包发送给用户,有时会遗漏一些威胁,更多时候是重新打包的网页根本无法正常工作。

今天,我们为保持网络浏览安全推出了第三种方法的测试版,即 Cloudflare 浏览器隔离。浏览器会话在 Cloudflare 数据中心的沙盒环境中运行,覆盖全球 200 个城市,远程浏览器与用户仅有几毫秒时差,感觉就像在本地浏览网页。

Cloudflare 浏览器隔离不向用户提供像素流,而是发送浏览器网页渲染的最终输出。这种方法意味着只向设备发送一样东西,即渲染网页的绘制命令包,因此,Cloudflare 浏览器隔离能与任何 HTML5 兼容的浏览器兼容。

其结果是一个感觉上像浏览器的浏览器,同时还可保护设备远离威胁。

现在我们将邀请用户报名参加测试,这也是 Cloudflare Zero Trust 周的一项活动。如需立即报名,请转到本文底部。如需进一步了解其工作原理,请继续阅读。

令人喜出望外的通用生产力应用程序

虽然它从未完全成为 Marc Andreessen 在 1995 年预测的替代操作系统,但网络浏览器可能已成为当今终端用户设备上最重要的应用程序。在工作中,许多人大部分工作都是在连接了内部应用程序和外部 SaaS 应用程序与服务的网络浏览器上处理的。因此,浏览器需要变得越来越复杂,才能解决网络中不断增强的丰富性和人们对现代网络应用的需求,例如 Office 365 和 Google Workspace。

然而,尽管网络浏览器的作用举足轻重,需求无处不在,但却是企业中最不受控制的应用。企业只能努力控制用户如何与网络浏览器的互动。用户很容易不小下心载了感染了病毒的文件,安装了恶意扩展程序,上传了敏感的公司数据或点击了电子邮件或网页中的恶意零日漏洞链接。

更糟糕的是,自带设备 (BYOD) 日益盛行,我们很难强制要求使用哪些浏览器、是否正确安装了补丁。移动设备管理 (MDM) 是正确的方向,但正如本地防火墙的补丁周期很长,MDM 往往太慢,无法防止零日漏洞威胁。我收到了 CISO 的许多群发邮件,提醒大家给浏览器安装补丁,而且要立即安装,因为时间“真的很重要”(CVE-2019-5786)。

重构浏览器

这周早些时候,我们宣布推出 Cloudflare One,这是我们对企业网络未来的展望。我们采取的基本方法是一张白纸:将旧模式(例如“城堡与护城河”模式)的所有假设归零,并根据当今企业网络的复杂性建立全新的模式,向 Zero Trust、基于云的网络即服务转变。

要实现这些,不可能不考虑浏览器。一段时间以来,远程计算技术似乎可以修复浏览器的各大问题——未来,任何人都将受益于个人设备上云计算的安全性和规模。这只是听起来简单,事实上,要获得一个性能普遍良好的解决方案非常困难。它需要发送用户在互联网上输入的内容并进行计算,从网络上检索资源,然后将它们流回给用户。这一切必须在几毫秒内完成,让人觉得就是在使用本地软件。

目前的大众体验非常糟糕,许多实施方案没有解决任何问题,只是让 IT 人员收到了许多表达愤怒的电子邮件和咨询工单。

这是一个棘手的问题,也是我们一直在努力解决的问题。通过提供可在任何显示屏尺寸上扩展的基于矢量的流,不需要高带宽的网络连接,便能远程重现本地浏览器的体验。用户体验与网站的本来意图一样,而且不存在因刷新 HTML、CSS 和 JavaScript 而引起的所有兼容性问题。而且,托管浏览器与我们的网络仅有几毫秒的时差,性能问题大为改进。

安全远程浏览如何与 Cloudflare for Teams 适配

在 Cloudflare 浏览器隔离推出之前,Cloudflare for Teams 包括两项核心服务:

Cloudflare Access 创建了一个 Zero Trust 网络边界,让用户可以访问企业应用程序,而无需使用传统的 VPN 设备在其内部网络上打洞。

Cloudflare Gateway 创建了一个安全 Web 网关,保护用户免受网站上的任何威胁。

在保护私人互联网财产免遭未经授权的访问和已知恶意网站的网络浏览活动方面,这些工具的表现非常出色。但对于未知和不可预见的威胁呢?

Cloudflare 浏览器隔离的解决方案是,在远程容器中将网络浏览器沙盒化,且远程容器在用户的浏览会话结束或破坏时可轻松处置。

如有未知的威胁(例如零日漏洞或恶意网站)利用了数百个网络 API 中的任何一个 API,它也只能攻击这个在受监督的云环境中运行的浏览器,而不会影响最终用户的设备。

The Network is the Computer®

网络浏览器是向云端转变的基础。只是它们始终在错误的地方运行。

正如让开发人员运行和维护其应用程序所运行的硬件是没有意义的,这也适用于云方程式的另一边:浏览器。有趣的是,解决方案也完全相同:和开发人员的应用程序一样,浏览器也需要迁移到云。但和所有颠覆性技术一样,新技术需要时间和投资才能赶上旧技术的性能。2006 年首次推出 AWS 时,其固有的局限性意味着,对大多数开发人员来说,继续运行本地解决方案是合理的。

但当技术改进到某个时候,就可以让颠覆性技术开始取代以前的旧模式。

直到今天,基于云的浏览器的限制因素往往还是用户体验。用户的体验受光速限制;它限制了将用户的输入传输到远程数据中心再返回到其显示屏所需的时间。在理想情况下,这必须在几毫秒内完成,才能实现实时体验。

Cloudflare 在解决这个问题上具有极大优势。

为了提供实时的远程计算体验,我们建立了 200 多个数据中心,每个数据中心都能在瞬间为几乎所有联网人员提供远程浏览会话。因此,我们能够提供低延迟、快速响应的网页流,无论您身在何处。

接下来?

我们已经讨论得很详细了。欢迎您前来试用!请在此填表注册,成为这项新技术的首批用户。准备向更多用户开放测试版时,我们将会与您联系。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
产品新闻Zero TrustZero Trust WeekZero Day ThreatsCloudflare OneRemote Browser Isolation

在 X 上关注

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

相关帖子

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年9月27日 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

2024年9月26日 13:00

Making Workers AI faster and more efficient: Performance optimization with KV cache compression and speculative decoding

With a new generation of data center accelerator hardware and using optimization techniques such as KV cache compression and speculative decoding, we’ve made large language model (LLM) inference lightning-fast on the Cloudflare Workers AI platform....

2024年9月26日 13:00

Zero-latency SQLite storage in every Durable Object

Traditional cloud storage is inherently slow because it is accessed over a network and must synchronize many clients. But what if we could instead put your application code deep into the storage layer, such that your code runs where the data is stored? Durable Objects with SQLite do just that. ...