許多虛擬桌面基礎架構 (VDI) 解決方案同時提供本機用戶端和 HTML5 替代方案,後者當然具有不需要在使用者電腦上安裝任何東西並且能夠在任何設備上工作的優勢。
HTML5 用戶端並不新鮮,然而,直到最近,與原生替代品相比,它們的性能明顯落後。
現在 HTML5 正在提供許多人認為足夠好的用戶體驗,仍然存在一個關於安全和隱私問題的問題,這是瀏覽器設施無法提供的。 在許多受監管的行業中,安全性應該在合理範圍內超過可用性,因此,HTML5 VDI 是否足夠安全的問題至關重要。
HTML5 用戶端提供的隔離是否提供了足夠的安全性,即使是非託管的個人設備也可以用於安全地存取關鍵應用程式,例如銀行應用程式?
進行測試
我們類比了一種惡意惡意軟體,在連接到不同網站時截取主機設備上的資訊。“攻擊”成功了,我們能夠從正在進行的 html5 會話中提取資訊。跟 MetaDefender 訪問時,我們隨後實現了一個配置檔來防止螢幕截圖,駭客得到了類似於此處示例的黑螢幕:
那麼,Are HTML5 VDI S olutions Secure Enough for Financial Institutions?
簡而言之,沒有。
連接到公司資源的任何設備本質上仍然存在隱私和安全問題的重大風險,尤其是在受監管的行業中。
作為零信任方法的一部分,在允許連接之前,確保設備實現良好的衛生狀況至關重要,例如最新且完全配置的反惡意軟體解決方案、加密驅動器、啟用螢幕鎖定等。瞭解組織的合規狀態以進行審計也非常重要。
假設你的組織已決定允許任何設備透過 HTML5 連接到公司資源。可能未啟用惡意軟體保護,即使啟用,惡意遠端存取木馬 (RAT) 也有可能逃避此類檢測。
如果 So,W hat 是 Risk?
風險在於,他們將在設備擁有者或公司不知情的情況下遠端存取螢幕截圖和鍵盤記錄中的資料。
結果是顯示並鍵入到 html5 工作階段中的敏感資料洩露給攻擊者。
為了防止這種不那麼不可能的攻擊,使用螢幕截圖保護和防鍵盤側錄器技術非常重要,這些技術可以阻礙攻擊者。
沒有 Doubt A回合。Compliance 和 Privacy Regulations Need to be Taken Seriously.
摩根士丹利(Morgan Stanley)和摩根大通(JP Morgan)等公司最近都吸取了這一代價高昂的教訓。 因此,值得採用縱深防禦方法。OPSWAT 提供此類技術作為其的一部分 MetaDefender 訪問解決方案。
- 跟 MetaDefender 啟用 Access 的螢幕截圖防護功能後,捕獲的圖像將替換為空白圖像,如下所示:
- MetaDefender Access 的應用程式控制會阻止在消息傳遞應用程式(如 WhatsApp)連接到公司 VDI 系統時使用
- 跟 MetaDefender 啟用了Access的防鍵盤側錄功能,駭客看到的是隨機文本,而不是使用者鍵入的內容,如下所示:
真正的力量,真正的保護
MetaDefender Access提供了必要的保護,以防止資料洩露並避免罰款,但 VDI 保護的真正強大之處在於與 VMware Horizon 提供的整合。
OPSWAT 與 VMware 合作,提供緊密整合的聯合解決方案,確保在使用者透過 Horizon 存取應用程式之前和期間以零信任方式實施這些保護措施。
例如,如果使用者篡改了 MetaDefender Endpoint 禁用螢幕截圖保護,將阻止使用者存取 VDI 工作階段。
對於 HTML5 Horizon 用戶端, MetaDefender Access 利用您組織的現有身份訪問管理解決方案(例如 Ping Identity 或 Okta)在用戶獲得對任何應用程式的訪問許可權之前,作為 SAML 身份驗證過程的一部分檢查合規性。
這可以很好地確保合規性,即使對於 BYOD 也是如此。
回到主要問題,即 HTML5 VDI 會話隔離是否足以保護不受信任的設備,答案仍然是否定的。
為了遵守法規並保護企業敏感資料,請務必在安全區主機上維護具有以下功能的縱深防禦工具 MetaDefender 訪問 可以提供。
