【兼顧操作與控管的安全上網機制】遠端瀏覽器解決方案大評析：集中控管篇

集中控管1：可限制或允許使用者執行網頁的各式功能

企業想要建置遠端瀏覽器隔離上網系統（Remote Browser Isolation，RBI）這樣的上網防護機制，大在管制使用者上網的功能中，RBI提供的遠端瀏覽器隔離平臺，不只能規定使用者，能夠存取那些網站，也都能在政策的設定中，限制使用者是否能執行進階的操作功能，像是列印、檔案的下載與上傳，或是前述的輸入文字、複製網頁內容等。

而在制訂這些上網規則的做法上，由漢領國際代理的Ericom Shield、達友科技代理的Menlo Security Isolation Platform，以及Symantec買下Fireglass後，推出的Web Isolation這3款RBI防護產品也有所差異，例如，Menlo安全隔離系統與Symantec Web Isolation，它們都提供了以網站類別設定的做法，而後者則是進一步，可另外依據風險等級的高低，套用對應的政策。

至於Ericom Shield，它雖然沒有提供上述的網站群組機制，但卻擁有預設值，以及強制全域規定（Override）等2種規則，減少管理者需對於各式網站逐項設定的情形。

集中控管2：具備內部建置與雲端服務等導入RBI的方式

企業想要建置RBI，大致上可區分為內部建置和雲端服務的選項。而這3款產品中，Menlo的系統平臺的選項較為豐富，同時涵蓋了上述兩種型式，甚至內部建置的做法上，也在建置於虛擬化平臺的純軟體之餘，提供專屬實體設備。

而在Symantec提供的部署方式而言，Web Isolation同時具有純軟體與雲端服務可用。此外，企業若是採用該廠牌雲端版網頁安全閘道Web Security Service，也可選購遠端瀏覽器隔離的功能。

至於Ericom Shield，目前只能以純軟體的型式，建置在企業內部的虛擬化平臺，不過代理商漢領國際表示，原廠也打算推出雲端服務，供企業選購。

若是企業評估要在內部虛擬環境中建置，便要從需要執行這種上網環境的使用者數量，以及這些平臺提供上網時，所運用的處理器和記憶體資源，加以整體評估。

漢領國際指出，根據原廠提供的資料，1個處理器核心可因應5至6位使用者上網，而每個瀏覽器分頁平均會占用約200MB的記憶體，一般而言，若要規畫記憶體的需求，通常是以每個使用者會執行10個分頁計算。根據達友科技提供的資訊，以8個處理器核心、32GB記憶體的環境，Menlo隔離系統約能因應50個使用者同時上網。而從Symantec Web Isolation的建議需求來看，在擁有24個處理器核心與88GB記憶體的環境裡，大約能供500個使用者上網防護。

此外，無論是上述的任何一款產品，也都訴求能與現有上網防護搭配運用，因此，不少企業便會先以網頁安全閘道，先行過濾已知的有害網站，再將灰色地帶網域交由RBI執行。

RBI納入進階輔助設定與診斷工具

可自訂運算資源的分配機制

相較於另外2款產品，Ericom Shield提供了不少能自訂容器耗用資源的政策選項，管理者可因應實際應用的情形，調整容器可使用的記憶體多寡，或是偵測到分頁未使用一段時間後，能夠回收系統資源的間隔。

提供可自訂的封鎖訊息

對於出現使用者瀏覽遭到封鎖的網站，或是限制只能讀取的網頁等情況，Menlo在用戶端瀏覽器所呈現的訊息，管理者可以自行調整，值得一提的是，雖然管理介面只提供英文，但這裡的文字能輸入中文，並可在瀏覽器中正常顯示。

能診斷連線異常來源

若是遇到連線異常的情況時，Symantec Web Isolation提供了檢測工具，只要在網址結尾加入/fgdfag#，便能啟用如圖中的診斷功能，測試後也有利於回報管理者，從有問題之處著手排除網路障礙。

遠端瀏覽器隔離系統不相容舊IE

針對遠端瀏覽器隔離系統中，所用來傳遞畫面的做法，用戶端的瀏覽器也要支援HTML5標準，因此太舊的軟體便無法使用，為此，在Menlo的隔離防護平臺上，便提供了如圖的瀏覽器版本管理政策，若是遇到使用者執行的軟體不夠新，可禁止上網或是停用防護功能。

由於遠端瀏覽器隔離上網系統（Remote Browser Isolation，RBI）這種新興的防護措施中，透過了HTML5標準，將遠端容器裡載入後的畫面，傳送給電腦上的瀏覽器，因此，使用者執行的瀏覽器軟體，也要支援這種規格，才能讀取遠端瀏覽器隔離系統提供的內容。

前述的網頁標準，由全球資訊網協會（World Wide Web Consortium，W3C）在2014年10月完成相關的規格制訂，目前市面上主要的瀏覽器軟體，支援HTML5已是行之有年，因此，遠端瀏覽器隔離系統的廠商，普遍標榜使用者能延用自己熟悉的軟體上網。

然而，對於企業中早期建置的網頁應用系統，必須透過特定版本的IE才能使用，由於IE在第9版正式支援HTML5，仍然執行之前版本的IE，便無法納入遠端瀏覽器的防護範圍。

面臨企業裡可能存在執行舊版IE電腦的情形，各家廠商提供的做法不一。例如，原先提供桌面虛擬化架構的Ericom，他們便在Ericom Shield上，額外提供企業建置IE模式的選用模組，藉由架設額外的Windows終端伺服器，管理者再透過政策設定，讓使用者瀏覽指定的網頁時，自動切換到終端伺服器上的IE，執行載入網頁的工作。

而Menlo的安全隔離防護平臺中，則是內建了主要瀏覽器版本的控管功能，若是低於管理者設定的版本，系統可禁止使用者連上網際網路，或是對該瀏覽器停用相關的防護機制。

 相關報導   用瀏覽器隔離建立上網新防線