รู้จักกับเทคโนโลยี Remote Browser Isolation ใหม่ของ Cloudflare

Cloudflare ได้ประกาศเข้าซื้อกิจการ S2 Systems Corporation เจ้าของเทคโนโลยี Remote Browser Isolation ที่แตกต่างกับผลิตภัณฑ์อื่นในตลาดทาง Cloudflare จึงได้เขียนอธิบายถึงเทคโนโลยีนี้ว่าเป็นอย่างไร

ปัจจุบันความเสี่ยงที่เกิดขึ้นบน Endpoint ในองค์กรหลายสาเหตุเกิดจาก Browser ทั้งนั้นเช่น เปิดลิงก์ Phishing ดาวน์โหลดไฟล์ที่ติดมัลแวร์เข้ามา แม้กระทั่ง Cross-site Script (XSS) เป็นต้น อย่างไรก็ตามโซลูชันที่องค์กรมีส่วนใหญ่ยังพึ่งพาการใช้งาน Signature ของไฟล์ URL หรือ DNS เท่านั้น ที่เราทราบกันดีว่าคงไม่เพียงพอ ด้วยเหตุนี้เององค์กรจึงกำลังพบอุปสรรคที่เกิดจากการ Browsing ใน 3 ด้าน

• Security – เหตุการณ์ด้านความมั่นคงปลอดภัยและข้อมูลรั่วไหล ทำให้เกิดค่าใช้จ่ายในการกู้คืนหรือเสียชื่อเสียงและมีผลกระทบกับการดำเนินธุรกิจ
• Control – ไม่สามารถควบคุมการใช้งานว่าใคร ดาวน์โหลดอะไร อย่างไร ได้อย่างมีประสิทธิภาพ 
• Compliance – โดนลงโทษหรือปรับเมื่อไม่ผ่านมาตรฐานการตรวจสอบ

นอกจากนี้ยังไม่นับปัญหาที่เกิดขึ้นกับ User Experience เมื่อถูกควบคุมด้วยโซลูชัน ดังนั้นจึงเป็นที่มาของโซลูชัน Browser Isolation โดยไอเดียก็คือการสร้างช่องว่างระหว่างส่วน Web Browser และอุปกรณ์ Endpoint ไม่ให้การโจมตีลามมาจาก Browser ซึ่งเป็นไปได้ 2 รูปแบบคือ

• Local Browser Isolation – เป็นการแบ่งแยก Browser ขึ้นในระดับแอปพลิเคชันหรือ OS เช่นการทำ Sandboxing แต่ข้อเสียคือกินทรัพยากรสูง รวมถึงยังไม่ตอบโจทย์เรื่อง Control และ Compliance ได้อยู่ดี
• Remote Browser Isolation – มีทางเป็นไปได้ 2 แบบคือ On-premise หรือการตั้งเซิร์ฟเวอร์ขึ้นในองค์กรแต่ก็ไม่ได้กำจัดความเสี่ยงออกจากองค์กรอยู่ดี จึงนำไปสู่โซลูชันแบบ Cloud-based Remote Browsing Isolation ที่สามารถตอบโจทย์ Control และ Compliance ได้โดย S2 Systems Corporation ก็เป็นเช่นนั้น

Remote Browser Isolation (RBI) ทำงานอย่างไร 

S2 Systems ไม่ใช่ผู้เล่นรายเดียวในตลาด RBI ดังนั้นในตลาดมีผู้เล่นรายอื่นอยู่แล้ว โดยการทำงานของ RBI โดยทั่วไปเป็นดังนี้ (ดูภาพด้านบน)

• Remote Browser Isolation Service จะถูกรันขึ้นใน Containerize Instance โดย 1 instance ต่อ 1 ผู้ใช้งานทำหน้าที่ปฏิสัมพันธ์กับเว็บไซต์คั่นกลางแทน
• Remote Browser Isolation Service จะส่งการ Render เนื้อหากลับไปยัง Endpoint ด้วยโปรโตคอลและ Format พิเศษตามแต่ไอเดียของผลิตภัณฑ์
• กิจกรรมใดๆ ของผู้ใช้งาน เช่น แป้นพิมพ์ เมาส์ และการ Scrolling จะถูกส่งกลับไปยัง isolation service ผ่านช่องทางเข้ารหัสและถูกประมวลผลที่ RBI service

สำหรับโซลูชันทั่วไปในท้องตลาดผู้เล่นหลายรายจะต้องมีการติดตั้ง Client ลงบน Endpoint ในขณะที่อีกหลายรายใช้การรองรับ HTML5 ทำให้ไม่ต้องติดตั้ง Agent และเรียกตัวเองว่า Agentless นั่นเอง โดยตัว Instance จะถูก Terminate ลงหากพบว่าถูกโจมตีและสร้าง Instance ใหม่ขึ้นมาแทนป้องกันการ Breach จาก Container นอกจากนี้ยังมีระบบ File Viewer เพื่อช่วยลดการดาวน์โหลดและสามารถตรวจจับมัลแวร์ในไฟล์ได้ แต่ปัญหาที่ตามมาคือโซลูชันเหล่านี้มักแฝงไปด้วย Cost ในการดำเนินงาน ไม่รองรับขยายการใช้งาน ความเข้ากันได้กับเว็บไซต์ เปลืองแบนวิธด์และความสามารถของฮาร์ดแวร์และซอฟต์แวร์ จึงกระทบ User Experience ในการใช้งาน

เทคโนโลยี RBI ในท้องตลาดทั้งหมด

ปัจจุบันเทคโนโลยี RBI ในท้องตลาดทั้งหมดจะตกอยู่ใน 2 รูปแบบคือ (ตามรูปประกอบด้านบน)

• Pixel Pushing – เป็นวิธีการเดียวกับ Remote Desktop และ VNC (ส่งลำดับ Pixel ของรูปมา) ซึ่งข้อดีคือได้เรื่อง Security แต่ยังไม่สามารถขยายการใช้งาน รวมถึงกินแบนวิธด์สูง ไม่สามารถถ่ายทอดความละเอียดสูงได้เหมือนจริง รวมถึงไม่รองรับหน้าจอประเภทมือถือ จึงกระทบต่อ User Experience อย่างมีนัยสำคัญ
• Dom Reconstruction – สร้างเว็บเพจใหม่ขึ้นมาด้วยการขจัดสิ่งเจอปนที่อยู่ในโค้ด HTML, CSS และอื่นๆ ออกแล้วค่อยส่งมาให้ Endpoint วิธีการนี้ได้เรื่อง User Experience, Cost, latency แต่กลับไม่แก้ไขเรื่อง Security เพราะไม่มีทางที่เราจะมั่นใจการคัดกรองของโซลูชันได้ 100% เนื่องจากภัยคุกคามอัปเดตอยู่เสมอ และอาจทำให้การแสดงผลพังได้หากตามการอัปเดตใหม่ไม่ทัน เช่น G-Suite หรือ Office 365 ที่อัปเดตเรื่อยๆ

เทคโนโลยี S2 Systems

S2 Systems มีเทคโนโลยีในสิทธิบัตรของตัวเองอย่างไม่เหมือนใครชื่อว่า Network Vector Rendering (NVR) ซึ่งพัฒนาขึ้นจากโอเพ่นซอร์ส Chromium ที่มีผู้ใช้งานมากที่สุด โดยกลไกภายในคือ Chromium ได้ใช้ไลบรารี่กราฟฟิคที่ชื่อ Skia เพื่อ Render ทุกสิ่งอย่างภายใน Chromium ซึ่งรองรับได้ใน Android, Google Chromes, Chrome OS, Firefox, Fitbit OS, Flutter และผลิตภัณฑ์อื่นด้วย

สิ่งที่ S2 Systems ทำคือการให้ NVR ไป Intercept ตัว RBI Service ของ Chromium ให้ส่งคำสั่งวาดผ่านช่องทางเข้ารหัสกลับมาที่ Endpoint Browser ที่รองรับกับ HTML5 (ปัจจุบัน Browser ส่วนใหญ่รองรับอยู่แล้ว) จากนั้น NVR ทำการ Pre-rasterisation (ปรับ Format เป็นเวกเตอร์) คำสั่ง Skia API จึงยิ่งทำให้รวดเร็วมากขึ้นอีก (ตามรูปด้านบน)

ในทางปฏิบัติหากใช้งานครั้งแรก S2 RBI Service จะส่ง NVR WebAssembly (Wasm lib) มาให้ Endpoint Browser ก่อนซึ่งมีการแคชเก็บเอาไว้ใช้ต่อด้วย โดยภายใน Wasm lib จะมี Skia lib ที่จำเป็นให้ Endpoint Browser ใช้คุยกับ RBI Service

ด้วยเหตุนี้เองวิธีการของ S2 Systems จึงตอบโจทย์ทั้งในด้าน Performance, Compatibility, Security, Low-latency และ User Experience รวมถึงยังสามารถเพิ่มเติมกับบริการเข้ามาได้ เช่น DLP, Phishing Detection และอื่นๆ โดย Cloudflare ได้นำความสามารถใหม่เข้าไว้ใน Cloudflare for team ในส่วน Gateway Enterprise นั่นเอง

ที่มา :  https://blog.cloudflare.com/cloudflare-and-remote-browser-isolation/