美國國防部把隔離技術用到了極致：1）在涉密網和非密網之間使用網閘隔離；2）在非密網和互聯網之間使用互聯網隔離；3）在上云過程中使用云隔離；4）在數據中心使用微隔離。

總體來看，云是未來，瀏覽器是工作入口，所以云和瀏覽器隔離的結合，也就是云隔離，可以實現隔離技術的普惠化，才可以把隔離的夢想帶到現實。

在安全領域，你可能不得不關注四大安全平臺：1）網絡安全領域中的SSE（安全服務邊緣）平臺；2）數據安全領域中的DSP（數據安全平臺）；3）應用安全領域中的CNAPP（云原生應用保護平臺）；4）事件響應領域的XDR（擴展檢測與響應）。

其中，SSE（安全服務邊緣）本質就是零信任云訪問平臺。Gartner將SSE作為四大安全平臺之首，是有原因的。而每個SSE頭部廠商都將云隔離作為必備功能項，也是有原因的。本文將為你揭秘。

聰明的讀者會發現：本文與其說是云隔離的夢想，不如說是云訪問的夢想，也就是零信任云訪問平臺（SSE）的夢想，終究也是企業安全云的夢想。

本文來自2022年8月2日在ISC 2022大會上的演講《云隔離的夢想》，總共只有10張片子。視頻見文末。

目 錄

1.安全隔離的夢想

2.何為云隔離平臺

3.云隔離平臺為何重要

4.美國國防部大力推進RBI項目

5.DISA技術路線圖

6.成熟度曲線反映RBI日趨成熟

7.SSE前十廠商全部整合RBI能力

8.SSE的能力構成

9.RBI在正反兩個方向同時工作，增強邊緣安全方案

10.RBI與瀏覽器相得益彰

安全隔離的夢想

想必大家聽說過美國黑人運動領袖馬丁·路德·金發表的著名演講——《I have a dream》（我有一個夢想），呼吁了種族平等。

在安全行業里，也有一個夢想，是關于安全隔離的夢想——即把好的東西放進來，把壞的東西隔離在外。

隔離的強度。值得提醒的是，隔離（Isolation）其實是一種非常強的安全控制措施，通常用于密級不同的網絡之間，比如高密級和低密級之間。所以隔離經常會成為軍方或涉密部門的強需求。

誰是真隔離。真正敢稱為“隔離”的產品和技術并不多。

• 有時候說的“隔離”，只是“分段”。隔離是Isolation；分段是Segment。比如說，微隔離=微分段（microsegment）。以前的網絡安全域劃分就是典型的“網絡分段”，它是粗粒度的分段。在零信任的思想下，又產生了身份分段、應用分段、數據分段，這些算是細粒度的分段。但是，它們都不是隔離。
• 最為人所熟知的隔離技術，是物理隔離。比如網閘、光閘這類安全設備。
• 而虛擬化隔離呢？就要看他的操作系統底層，是否有足夠強的隔離機制。
• 那么，瀏覽器隔離呢？英文用的就是Isolation，所以它也算隔離。盡管瀏覽器隔離的強度不如物理隔離，但是瀏覽器隔離的使用場景比物理隔離廣泛得多。這主要是因為瀏覽器已經成為工作入口。而且它還是很大的風口：比如，今年的RSA創新沙盒大賽冠軍，就是Talon企業安全瀏覽器；而另一家成立不到兩年的企業安全瀏覽器公司Island，估值竟高達13億美元。實際上，經過全方位的對比，360企業安全瀏覽器是優于這兩款國外企業安全瀏覽器了。
• 這次的主題是云隔離：云隔離就是基于云的瀏覽器隔離。

照亮隔離夢想。正因為云是未來，瀏覽器是工作入口，所以云和瀏覽器隔離的結合，也就是云隔離，就可以實現隔離技術的普惠化，也可以把隔離的夢想帶到現實。

何為云隔離平臺

我們先解釋云隔離是什么？然后再說明它為何重要。

云隔離=云瀏覽器隔離=基于云的遠程瀏覽器隔離。

云隔離的基本思想：

1. 在用戶瀏覽器和互聯網網站之間，插入云端瀏覽器；
2. 用戶瀏覽器想要訪問的內容，由云端瀏覽器轉發過來；
3. 用戶瀏覽器本會遭受的威脅，都由云端瀏覽器來屏蔽掉。

這里的關鍵是：怎么轉發內容，怎么屏蔽威脅。也就是圖中的第4步。這里存在三種技術路線：

1. 像素推送：云瀏覽器直接將網頁展示的像素圖像，傳輸給用戶瀏覽器。這是非常安全的。
2. DOM重建：云瀏覽器通過重建網頁的HTML和CSS等內容，來清除已知漏洞和潛在的惡意內容。
3. 智能渲染：云瀏覽器向用戶瀏覽器傳輸的內容是渲染指令，而非網頁資源。

這三種技術路線各有利弊，綜合運用時，可以適用于不同安全等級的場景，從而發揮最佳效果。

云隔離平臺為何重要

這里做了一個梳理，反映云隔離平臺為何值得關注：

1. 美國國防部當前正在大力推進RBI項目。計劃推廣到它的幾百萬終端上。
2. 通過Gartner的成熟度曲線，來反映RBI技術日趨成熟。
3. SSE（安全訪問邊緣）排名前十的國際供應商，全部整合了RBI能力。SSE是安全訪問邊緣，也就是零信任訪問平臺。
4. RBI大大增強邊緣安全解決方案。第3條只是一個外在現象，第4條卻是內在本質。

下面，分別解釋下這幾個方面。

美國國防部大力推進RBI項目

美國國防部的RBI項目名稱是CBII（基于云的互聯網隔離），本質就是基于云的遠程瀏覽器隔離。

美國國防部采用RBI的一個非常重要的原因，就是他們發現，針對美國國防部網絡的攻擊中，大約有30%到70%來自瀏覽器。所以，瀏覽器成為最大的攻擊暴露面。而RBI技術就可以解決此問題。

DISA開展RBI項目的大概過程是這樣的：

• 2018年6月，DISA（國防信息系統局）發布RBI方案需求；
• 2020年8月，DISA以1.99億美元，簽訂RBI項目合同。Menlo Security公司負責CBII項目解決方案的交付工作。
• 2020年底，DISA（國防信息系統局）發布《2019-2022財年戰略計劃》2.0版本。將RBI納入未來兩年的戰略計劃。
• 2021年初，CBII技術已經完成測試驗證，處于國防部內部推廣部署的階段。DISA原計劃在2021財年將其擴展到整個國防部，并將其應用于電子郵件和附件。
• 2021-2022年期間，DISA計劃大力推進RBI項目的部署實施，將其擴展到整個國防部，將RBI用戶數量從最初的10萬，最終擴展至350萬。DoD總共有多少人呢？不過兩三百萬（美軍現役加文職大概200萬）

接下來，再看看DISA戰略計劃中的RBI內容。

DISA技術路線圖

在DISA的《2021-2022財年戰略計劃》圖中，我們用以紅色字體標記了RBI項目。其中，這個技術路線圖中，有三大領域：網絡防御、云計算、企業辦公。而RBI項目，則同時出現在網絡防御和云計算這兩個領域中。我們分別來看看：

在網絡防御領域，DoD有三層縱深防御：邊界防御+區域防御+終端防御；而云隔離屬于邊界防御的范疇。我來解釋一下：美國國防部有涉密網和非密網兩類網絡，會產生兩種連接需求：

• 一是涉密網和非密網的連接，采取類似物理隔離（也就是網閘、光閘）的方法來解決；
• 二是非密網和互聯網的連接，以前主要使用老三樣（也就是防火墻、防病毒、入侵檢測），當然還有安全大腦的分析。但它現在有了RBI以后，就可以極大減少面向互聯網的暴露面。

在云計算領域有3項關鍵工作（右下角淺藍色框）：一是云基礎設施（云連接）；二是云訪問和安全（云訪問）；三是基于云的互聯網隔離（CBII）（云隔離）。正是通過這三個大招（云連接、云訪問、云隔離），DoD搞定了安全上云問題。

現在，我來總結一下：1）DoD在涉密網和非密網之間使用網閘隔離；2）在非密網和互聯網之間使用RBI，被稱為“互聯網隔離”；3）在國防部的云中，也使用了RBI，被稱為“云隔離”；4）在數據中心中，則使用零信任的微隔離。

所以，我才認為，美國國防部把隔離技術用到了極致，也幾乎實現了隔離夢想的普惠化。

成熟度曲線反映RBI日趨成熟

Gartner是頂級的咨詢機構，其成熟度曲線非常著名。但其實它來自心理學領域著名的達克效應，反映了人類認知事物的過程，主要包括3段：愚昧之山+絕望之谷+開悟之坡：

1. 人們總是先興沖沖地登上愚昧之山（就像說風口來了、風口來了，跟著炒概念）；
2. 然后發現現實沒有想象的那么美好，于是跌下神壇，掉入絕望之谷；
3. 歷經過度的希望和過度的失望之后，終于產生了穩定的期望。于是踏上了開悟之坡。

2017年，瀏覽器隔離（BI）技術被納入Gartner 11大頂級安全技術。2018年進入Gartner端點安全和網絡安全這兩條成熟度曲線。我們對比了近5年的成熟度曲線，發現BI/RBI依次經過上升期、山頂期、低谷期，已經逐步趨于成熟。

SSE前十廠商全部整合RBI能力

正是因為RBI在技術上基本成熟，所以相關的國外供應商，開始加速整合RBI能力。在Gartner于2022年2月發布的《安全服務邊緣（SSE）魔力象限》，象限中的所有提供商，看起來是11個，但因為有收購關系，正好是10個。我逐個排查了一遍，發現他們全部都整合了RBI能力，當然有各種整合方式，有自研、有收購、有集成、有合作等。

當然了，這只是一個表象和結果。我們會問，原因是什么？只是因為RBI技術成熟了嗎？非也。下面進行解讀。

SSE（安全服務邊緣）的能力構成

四大安全平臺。在安全領域，你可能不得不關注四大平臺：

• SSE（安全服務邊緣）：邊緣零信任訪問平臺。
• DSP（數據安全平臺）：統合數據安全控制，逐步淘汰孤立的數據安全工具。
• CNAPP（云原生應用保護平臺）：涵蓋云原生應用程序的整個生命周期（從開發到生產的閉環）。
• XDR（擴展檢測與響應）：面向威脅檢測與響應，降低安全運營復雜性。

Gartner把SSE列為四大平臺之首，可見對SSE的重視。

SASE背景。我們知道，自Forrester提出來的零信任架構大火之后，Gartner也不甘示弱，在2019年提出SASE（安全訪問服務邊緣）架構。SASE架構的愿望非常好，融合了網絡+安全兩個方面，形成一體化安全架構。然而，理想很豐滿，現實很骨感。當前大多數大型組織，都有獨立的網絡團隊和安全團隊，他們通常做出互相獨立的采購決策，難以有效整合網絡和安全這兩個方面的工作。

SSE概念。于是，Gartner于2021年又提出SSE新概念，SSE由SASE縮減而來，SSE是從SASE中解耦出來的純安全部分，更加容易落地。本質就是想把安全與網絡解耦。所以，這是一個很有意思的現象：SASE用來融合網絡和安全；而SSE則用來解耦網絡和安全。當然，從某種程度上看，這是對現實的妥協，也算是對企業客戶的尊重。

在甩掉網絡的包袱后，Gartner對SSE寄予厚望。除了把SSE列為四大平臺之首，還把SSE納入Gartner的4條成熟度曲線：云安全、端點安全、網絡安全、應用安全。你覺得4條不夠多是吧？Gartner的成熟度曲線的確很多，但是跟咱們安全密切相關的成熟度曲線，總共也就7條（還有身份與訪問管理（IAM）、數據安全、安全運營）。

為什么SSE架構要集成RBI能力？如上圖所示：

• SSE是以零信任為基礎的，這是底層能力；
• SSE對外體現為3大網關能力，也是3大支柱能力：SWG（安全Web網關）、CASB（云訪問安全代理）、ZTNA（零信任網絡訪問，即SDP）。
• 而在中間層的安全服務能力中，RBI為什么能占有一席之地？因為它能夠同時補充和增強這3大網關能力。下面來解釋為什么這么說？

RBI在正反兩個方向同時工作，增強邊緣安全方案

在這里，我們看到了前面SSE平臺的三種網關：

• SWG（安全Web網關）：保護用戶終端，免受互聯網Web攻擊。
• SDP（零信任網關）：保護云中私有應用，免遭網絡攻擊。
• CASB（云訪問安全代理）：保護SaaS應用，免遭數據泄露。

而RBI有正反兩種工作方式，大家比較熟悉的是正向方式。

RBI在正向工作時：

• 可以保護用戶終端，免受互聯網Web攻擊。
• 而這種場景正是SWG（安全Web網關）的核心價值。
• 差異性：SWG僅針對已知威脅，例如白名單網站或者黑名單網站；而RBI則可以應對未知風險網站。兩者組合才能高效防護。

RBI在反向工作時：

• 可以保護企業敏感數據和應用，免遭數據泄露。注意：它不是防止終端上的數據泄露，而是防止云中企業數據的泄露。
• 而這種場景正是零信任SDP網關（保護私有應用）和CASB（云訪問安全代理，保護SaaS應用）的核心價值。
• 差異性：有了RBI之后，應用程序（私有應用或SaaS應用）返回的數據，不會直接傳給用戶終端，而是傳給云隔離平臺。也就是說數據可以不落地，用戶終端拿不走敏感數據（包含文件、郵件等）。

所以，綜合上述正反兩種工作方式，RBI可以極大地補充和增強SSE的三大支柱能力。這才是RBI真正的價值所在。

RBI與瀏覽器相得益彰

最后，再強調下：RBI與瀏覽器是相輔相成、相得益彰的：

• 一方面，RBI保護了客戶瀏覽器，避免了客戶瀏覽器的失陷；
• 另一方面，RBI中云端瀏覽器畢竟也是瀏覽器。只有對瀏覽器技術的深入理解，才能造就出強大的RBI產品。

所以，360企業安全瀏覽器與360云隔離平臺的結合，是一種強強聯合。可以為云隔離夢想的實現，貢獻力量。

（本篇完）