许多虚拟桌面基础架构(VDI)解决方案同时提供本机客户端和 HTML5 替代客户端,后者当然具有无需在用户计算机上安装任何设备的优势,而且可以在任何设备上工作。
HTML5 客户端并不新鲜,但直到最近,与本地客户端相比,HTML5 客户端的表现还差强人意。
现在,HTML5 在许多人看来已经提供了足够好的用户体验,但仍然存在安全和隐私方面的问题,这是浏览器设施无法提供的。在许多受监管的行业中,在合理的范围内,安全性应高于可用性,因此,HTML5 VDI 是否足够安全的问题至关重要。
HTML5 客户端提供的隔离是否能提供足够的安全性,即使是不受管理的个人设备也能安全地访问关键应用程序,例如银行应用程序?
测试
我们模拟了恶意软件,在主机设备上捕捉屏幕信息,同时连接到不同的网站。这次 "攻击 "很成功,我们能够从正在进行的 html5 会话中提取信息。通过MetaDefender Access,我们实施了防止屏幕捕获的配置文件,黑客得到了与此处示例类似的黑屏:
那么,对于 金融机构来说 ,HTML5VDI 解决方案 是否足够 安全 ?
简而言之,没有。
任何连接到公司资源的设备,尤其是在受监管的行业中,仍然存在隐私和安全问题的巨大风险。
作为 "零信任 "方法的一部分,必须确保设备在允许连接前实施良好的卫生措施,例如最新且配置完备的反恶意软件解决方案、加密硬盘、启用屏幕锁等。同样非常重要的是,要全面了解组织的合规状态,以便进行审计。
假设您的组织决定允许任何设备通过 HTML5 连接到公司资源。恶意软件保护可能没有启用,即使启用了,恶意远程访问木马(RAT)也有可能躲过检测。
如果 So, W帽子是 R是什么?
风险在于,他们会在设备所有者或公司不知情的情况下,通过屏幕截图和键盘记录远程访问数据。
结果,在 html5 会话中显示和键入的敏感数据被泄露给攻击者。
为了防止这种不太可能发生的攻击,必须使用屏幕捕获保护和反键盘记录程序技术来阻止攻击者。
没有 D否 A关于它.C遵守和 P隐私 R法规 N需要必须 T需要 S认真对待。
摩根士丹利和摩根大通等公司最近都吸取了这一惨痛教训。因此,值得采用深度防御方法。OPSWAT 作为其MetaDefender Access 解决方案的一部分,提供了此类技术。
- 启用MetaDefender Access 的屏幕捕捉预防功能后,捕捉到的图像会被替换为空白图像,如图所示:
- MetaDefender Access "应用程序控制 "可阻止在连接到企业 VDI 系统时使用 WhatsApp 等消息应用程序
- MetaDefender Access 的反键盘记录功能启用后,黑客看到的是随机文本,而不是用户输入的内容,如图所示:
为真正的保护提供真正的动力
MetaDefender Access 可提供必要的保护,防止数据泄露并避免罚款,但 VDI 保护的真正优势在于与 VMware Horizon 的集成。
OPSWAT 与 VMware 合作,提供紧密集成的联合解决方案,可确保在用户通过 Horizon 访问应用程序之前和期间,以零信任的方式实施这些保护。
例如,如果用户篡改MetaDefender Endpoint ,禁用屏幕捕获保护,用户将被阻止访问 VDI 会话。
对于 HTML5 Horizon 客户端,MetaDefender Access 可利用企业现有的身份访问管理解决方案(如 Ping Identity 或 Okta),在用户访问任何应用程序之前检查合规性,作为 SAML 身份验证流程的一部分。
这能很好地确保合规性,即使是 BYOD 也不例外。
回到主要问题,即 HTML5 VDI 会话隔离是否足以确保不受信任设备的安全,答案仍然是否定的。
为了遵守法规和保护企业敏感数据,必须在飞地主机上维护具有MetaDefender Access等功能的深度防御工具。
