ネットワークサービス大手の Cloudflare は、安全なコンテンツのみをユーザーに送信できるよう、Web ブラウザをクラウドでホストしたいと考えています。
同社は木曜日、今年初めに買収したワシントン州カークランドに拠点を置くスタートアップ企業S2 Systemsから提供された、進化を続けるCloudflare for Teamsサービスの3番目のコンポーネントであるBrowser Isolationサービスのベータリリースへの登録を顧客に呼びかけた。
ブラウザ分離とは、一般的にヘッドレスウェブブラウザ(ブラウザのグラフィックインターフェースを除いた基盤)をリモートサーバー(現在では一般的に「クラウド」と呼ばれています)上で実行し、その視覚出力を何らかの形式でバッファリングして、ユーザーのコンピューター上のソフトウェアに送信し、表示させることを指します。ウェブコンテンツから不要なコンテンツをレンダリング前に除去することも可能です。Cloudflareのブラウザ分離はまさにこれを実現するようです。
また、Apozy の Native Browser Isolation や、ハードウェアから分離されたマイクロ仮想マシン内でブラウザー タスクを実行することに依存する、HP が買収した Bromium (現在は HP Sure Click) などのクライアント側のバリエーションもあります。
Cloudflare、ゼロトラストアクセスとセキュリティに基づくクラウド大統一理論を提唱
続きを読む
ブラウザ隔離機能は、Webベースのセキュリティ脅威を軽減するだけでなく、従業員が有害なWebとどのようにやり取りするかを管理する手段として、企業から高い支持を得ています。Webコンテンツを爆弾の入ったパッケージと考えてみてください。もし爆発したら、隣接するバンカーや建物が破壊されないように、コンクリートで補強されたバンカーで開けておけばよかったと思うでしょう。これがブラウザ隔離です。従業員のPCのブラウザに出入りする悪質なコンテンツをすべて封じ込めるのです。
Authentic8、Broadcom (Symantec)、Menlo Security、Webgap など、ブラウザ分離市場で活動している企業は、一般的に、コンサルタント会社がまとめたビジネスを正当化する統計を指摘します。
例えばCloudflareは、エンドポイント侵害の70%はウェブブラウザが原因であるというガートナーの2018年の主張を引用しています。このIT調査会社は、パブリックインターネットを「攻撃の巣窟」と宣言し、2022年までに企業の25%が高リスクユーザーや特定のユースケース向けにブラウザ分離技術を導入すると予測しています。これは2017年の1%から増加しています。
Cloudflare Browser IsolationのプロダクトマネージャーであるTim Obezuk氏は、Cloudflare Browser Isolationは、ピクセルプッシュやDOM再構築に依存する他のアプローチよりも優れていると主張しています。前者は、レンダリングされた画面ピクセルをリモートユーザーにストリーミングする(低速)か、ページをリモートで読み込み、チェックした後、再パックしてリモートクライアントに中継する(脅威を見逃し、エラーが発生しやすい)という2つの方法があります。
「Cloudflare Browser Isolationは、ユーザーにピクセルをストリーミングするのではなく、ブラウザのウェブページレンダリングの最終出力を送信します」とオベズク氏はブログ記事で述べています。「このアプローチにより、デバイスに送信されるのはウェブページをレンダリングするための描画コマンドのパッケージのみとなり、これによりCloudflare Browser IsolationはあらゆるHTML5対応ブラウザと互換性を持つことになります。」
Cloudflareのブラウザ分離機能は、S2 Systems買収によって獲得したネットワークベクターレンダリング(NVR)技術を採用しています。この技術は、リモートChromiumブラウザのSkiaグラフィックレンダリングレイヤーに向けた描画コマンドをインターセプトし、非常にコンパクトな形式にエンコード、圧縮、暗号化した後、リモートクライアントブラウザ(HTML5対応ブラウザであればChrome、Edge、Firefox、Safariなど)に送信します。
ローカル Web ブラウザーにプッシュされた Skia ライブラリが組み込まれた NVR WebAssembly ライブラリを使用すると、送信された描画コマンドをネイティブ デバイス コードに近い速度で解凍、復号化し、再生できます。
これは、世界中に 200 を超えるデータセンターを持つ Cloudflare のエッジ中心のネットワークを考えると、うまく機能する可能性があるアプローチです。ユーザーと Cloudflare Browser Isolation ホスト間のレイテンシーは、より集中化されたネットワーク アーキテクチャで運用されるサービスの場合よりも低くなる可能性があります。
Cloudflare にブラウザのアドオンが同社の分離アプローチに適合するかどうかを尋ねたところ、広報担当者は次のように答えました。
この種のホスト型ブラウザが普及したら、「ユーザーエージェント」と呼ぶのをやめて、「管理エージェント」のようなより正確な名前に変える時期が来るかもしれません。®
