鉴于浏览器在企业应用及信息访问中的比重日渐加大 ,是时候重新考虑我们分类、管理和保护浏览器的方式了。
被问及关键网络终端都有哪些的时候,大多数IT人员都会列出移动设备、笔记本电脑、台式机和服务器。还有一小部分可能会想到可穿戴设备和其他新兴终端用户硬件。但浏览器却不会上榜。毕竟,浏览器只是运行在终端上的应用,而不是终端本身。然而,随着浏览器在访问企业应用及信息中起到的作用越来越大,是时候重新考虑我们对浏览器的定位问题了。当然,管理和保护它们安全的方式也得翻新一下。
进化成终端
最初,Web浏览器从Web服务器获取HTML文档、图片或视频数据并在页面中渲染呈现。随着公司企业对Web需求的增加,浏览器的功能也得到了操作系统资源和 Adobe Flash Player 及 Java 等成熟应用的补充。
这些补充性技术令浏览器用户获得了更好更一致的浏览体验,包括流视频和访问离线存储等,但也给罪犯留下了更多可利用的漏洞和攻击企业的方法。
最新版的HTML标准HTML5大幅解决了安全问题及其他早期功能性挑战。基本上,HTML5摒除了对Flash、Java和其他附加组件、插件及第三方软件组件的需求。如今,所有事务都由浏览器本身处理了。
一旦谷歌、微软、Mozilla和其他供应商在他们的浏览器中实现了HTML5,软件即服务(SaaS)应用便会开始利用HTML5的平台无关功能替代掉早期特定于平台的技术。除了更好的用户体验,HTML5还促进了基于企业的富互联网应用程序的爆炸式增长。
同时,HTML5还创建了生机勃勃的浏览器扩展生态系统,提升了Chrome、Firefox、Edge和其他HTML5浏览器用户的体验。有了扩展,用户就不用在设备上安装软件组件。扩展直接安装在浏览器中,通常是增强浏览器界面而不是新引入额外的用户界面。因而,终端用户可以自行安装和使用扩展,不用请求IT支持。
浏览器终端挑战
随着浏览器逐渐成为很多企业行为的中心,台式机、智能手机和其他硬件终端所面临的挑战也降临到了浏览器身上。
第一个挑战就是企业敏感数据泄露问题。举个例子,很多终端用户无论出于私人目的还是工作需要都在同一台终端上使用同一个浏览器。个人电子邮件、网银、网购及其他未授权应用可能会泄露敏感企业数据和用户的个人信息。通常,此类应用未受监管,且不符合企业安全标准,数据很容易因此而失窃。
其次,随着浏览器扩展安装数量的增加,界面攻击的数量也在增加。这些扩展可以读取设备上浏览器与后端服务器之间交换的所有数据。虽然用户觉得扩展都是安全的,但实际上,浏览器扩展是有可能令用户及其公司处于加密劫持、勒索软件和其他恶意软件攻击风险之下的,这些恶意软件可能侵入一台电脑,然后扩散到企业内网的其他主机上。
最后,大多数公司都要管理结合了HTML5和遗留技术的混合应用环境。不是每个企业应用都会立即迁移到云端。重构和重新部署应用需要很多时间。对很多公司来说,将会同时使用两种应用。而很多公司将不得不同时管理遗留HTML4应用。
管理和保护浏览器终端
为应对上述挑战,IT团队需以管理其他终端的同等专业性来管理浏览器终端。不仅仅是浏览器,旧有浏览器所用的扩展、插件和附件都需要妥善管理,且需保持所有这些技术更新到最新版本。他们需清楚哪些应用要求访问哪些资源,而哪些又需要加以限制。
团队还需应用关键浏览器控制并增强浏览器。有些供应商提供企业版浏览器,里面包含了管理应用及扩展的策略引擎、数据安全及隐私功能,还有浏览体验。为增强这些浏览器,IT团队需设置浏览器书签、主页、可信站点,并调整设置以增强隐私及安全性。
类似地,浏览器及浏览器扩展的行为需经沙箱执行以防止数据被泄露给计划外的第三方。使用同一个浏览器执行个人事务和公司业务的时候,需保证数据受到良好的安全防护以防止泄露。比如说,用户不应该能够从 Office 365 下载工作文档并添加到个人Gmail账户的邮件附件。
最后,团队需允许可信设备访问企业数据,并限制非受信设备访问公司资源。当终端用户使用其个人电脑和设备执行公司业务时,有很大的概率他们的硬件不符合公司安全标准。有没有使用强口令?有没有启用反病毒软件?操作系统和软件有没有保持更新?这些都是问题。最基本的,我们需确保公司数据只能被经授权的浏览器和可信设备访问。
鉴于浏览器如今在公司业务处理中的中心地位,围绕浏览器的种种安全布置都需重新考虑。浏览器不仅仅是又一个应用,而是公司协作、通信和业务运营的中心。因此,浏览器已经进化成了终端,需要施以等同于硬件终端的安全管理。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】