保持距離，以策安全

不論是行車，或是人際溝通，懂得保持距離，的確是預防彼此受到傷害的有效方式，不過，就當前資訊系統的使用方式而言，不論是透過個人電腦或智慧型手機，存取各種企業內部和外部的網路應用服務時，所面臨的危險性已經與日俱增，我們需要的防護配備越來越多，例如防毒軟體、網路防火牆、郵件過濾系統、網站安全閘道、APT防護方案，但又無法百分之百保證不會受到惡意軟體的感染，難以倖免於形形色色的網路攻擊手法。

除了擔憂所使用連網設備會因此破壞，而無法上網，同時，我們也害怕敏感、機密的資料外洩，導致個人隱私、企業智慧財產受到損害。而過去企業也投入許多資源，建置了資料外洩防護系統、文件安全控管系統。甚至，有些公司大費周章地導入了虛擬桌面基礎架構（VDI），將原本分散在多臺個人端電腦的作業環境，透過遠端桌面服務（RDS）、桌面虛擬化（Desktop Virtualization）、應用程式虛擬化（Application Virtualization）等形式的軟體平臺，全部集中到幾臺伺服器來執行；而使用者僅透過精簡型用戶端電腦（Thin Client）連接企業應用系統的網頁入口，並且僅能執行企業配置好的個人端桌面模擬環境，或是允許員工使用的應用程式，以及存取位於內部網路的檔案伺服器，而營造出所謂的雙網隔離環境。

其實，在這之前，針對這樣的遠端存取需求，最早是歸類在VPN加密網路連線的應用之中，尤其是當SSL VPN崛起之際，網頁應用程式也在企業IT環境當中日益普及，而促成了這類遠端安全存取應用。在這樣的環境之下，使用者可透過瀏覽器登入對應的企業網站入口，即能在SSL加密連線的保護之前，存取位於企業內部的網站應用系統，甚至是檔案伺服器、網路芳鄰，而不需手動設定、安裝專屬的VPN用戶端程式；同時，使用者在連線期間的環境，形同一種沙箱（Sandbox），過程當中產生或用到的暫存資料，也會在連線中斷後消除，不會遺落到使用者當時所操作的個人電腦上。

然而，單靠這樣的機制，僅能確保使用者在連線過程的安全性，對於所存取的每一個網站、網頁應用程式，基本上，都是不設防的，若需要強化相關防護，仍須想辦法在當中，搭配網頁安全閘道等解決方案來提供防護，而且，此時，同樣會面臨無法判斷未知威脅的風險。

所幸，從今年開始，我們發現有新的資安產品類型進入臺灣市場，能夠因應上述的防護與管控需求，而這就是本周封面故事所要探討的主題：遠端瀏覽器隔離系統（RBI）。

其實，之所以報導這個議題，有好幾個緣起。首先，4月初，我們的技術編輯周峻佑以此為題，先介紹了Ericom Shield；到了7月，我們在製作《零信任！重新定義資訊安全模式》的封面故事時，也聯繫到Symantec，得知他們有一套Web Isolation，可以提供類似的功能；在7月底、8月初舉行的iThome資安焦點論壇，代理Menlo Security的代理商達友科技也在北、高兩地，介紹他們的RBI產品。

不過，在接觸這類型產品之初，令我們感到困惑，因為，關於隔離的技術，先前大家比較熟知的是網路隔離（Network Isolation）或是網路存取控制，看到廠商打著「瀏覽器隔離」、「網頁隔離」，甚至誤以為是用沙箱模式執行的瀏覽器，但其實不然。遠端瀏覽器隔離系統可涵蓋的防護與管理層面更為廣泛，同時應用到遠端存取、檔案掃描與重組、集中控管等功能，以「後市可期」來形容這類型產品的未來發展性，並不為過。