Puffin 全雲端上網隔離:技術篇

CloudMosa, Inc.
CloudMosa TW
Published in
5 min readNov 10, 2020

上一篇我們介紹了全雲端上網隔離 (Cloud Web Isolation),這一篇將介紹美商海鸚科技 (CloudMosa, Inc.) 「獨家的 Avatar 技術」是如何實現。

在我們談正題前,先來講一個日常生活常見的例子:

試想像今天有個熱門歌手的演唱會,演唱會門口有許多保全人員,透過自己的專業能力來判斷可疑份子。

然而,道高一尺,魔高一丈,壞人利用各種尖端技術偽裝,讓保全人員無法分辨,他們得以進入演唱會會場,進行攻擊。

倘若粉絲透過雲端線上來觀看演唱會,不管演唱會現場是否遭到攻擊,粉絲完全不會遭受到波及。

上述保全人員使用的篩選方式,很像目前的防毒軟體,僅能透過各種「已知的威脅」建立檢查「規則」,當遇到「完全不守規則」、更厲害的壞人,便無法辨識成功及抵禦,進而遭到入侵及威脅。

面對已知的威脅或許容易,但對於日新月異的各種未知的威脅,人們往往會不知所措,只能事後彌補。

現在,Puffin 產品能將各種威脅完全隔離在雲端 — — 透過雲端服務呈現畫面時,不管駭客用何種技術,用戶端電腦永遠不會被受到侵害。

Puffin 獨家 Avatar 技術一次實現 3 個願望:

雲端渲染 (Cloud Render) + 上網隔離 (Web Isolation) + 點對點加密 (End-to-end encryption)

I. 雲端渲染 (Cloud Render) 技術具有安全、省頻寬、高速瀏覽效果

透過 Puffin Avatar 雲渲染技術讓用戶端不會因瀏覽網頁而遭受攻擊
  1. Avatar 伺服器在雲端上替使用者建立一個完全獨立的連線,讓使用者透過這個安全的連線瀏覽網頁。➔ 確保通訊是在安全的通道裡進行,不會被竊取。
  2. 使用者透過在 Avatar 伺服器執行的雲端瀏覽器來上網瀏覽。➔ 不會耗用使用者端的設備的資源。
  3. 使用者透過雲端瀏覽網頁時所下載的 HTML、CSS 與 JavaScript,不會在使用者的電腦執行,而是在 Puffin Avatar 伺服器上執行,Avatar 只會將網頁的結果「呈現」在使用者端的 Puffin 應用程式。➔ 確保可能的有害網頁只會在雲端伺服器中執行,原始的網頁永遠不會在使用者設備上落地。

這種方式為「轉換重組」 (Covert & Restruct )。以印表機為例,印表機分成噴墨印表機和雷射印表機。噴墨印表機是採點陣格式,直接將資料原始樣子列印出來,而雷射印表機是採用向量格式,將原始檔案以 PostScript 轉換成圖形,再進行列印。這樣的優點是列印的品質較好、速度快。

Puffin Avatar 伺服器負責運行網頁程式,並把結果輸出成向量繪圖指令,這些指令會傳送到使用者的 Puffin 應用程式進行渲染,因此,駭客們的惡意程式僅會在 Puffin Avatar 伺服器運行,是無法取得遠在使用者電腦上的機密資料、而使用者電腦也免除被惡意程式感染的可能。

此外,將網頁程式外包給 Puffin Avatar 運行,還可讓使用者電腦省下龐大的運算開銷,加上 Puffin 使用向量繪圖指令,最終使用者感受到的會是更高速的瀏覽和更低的頻寬耗用。

II. 上網隔離 (Web Isolation) 的四層隔離抵禦功能

網頁技術越來越強大,在不當使用下也越來越危險,近年來更成為駭客攻擊的主要目標。

Puffin Avatar 技術建立了 4 道防線來隔離抵禦外來的威脅:

  • 雲端 JavaScript 執行引擎是包覆在沙盒 (Sandbox) 內執行
  • 沙盒被隔離在獨立的系統,進行程序處理
  • 系統被建構在 Container 裡
  • 最後一層的 Container 是建構在一台遠端的設備上運作

雲端沙盒亦可達到「文件隔離」功能。

網路上供下載閱讀的 Word 或 Excel 檔案亦是惡意內容的來源之一。

然而,透過 Puffin Avatar 伺服器的「文件隔離」技術,所有的文件檔案都會透過雲端沙盒開啟,再將檔案重組成無害的預覽文件。

使用者在 Puffin 的應用程式瀏覽閱讀,閱讀完畢後,雲端沙盒上的原始文件檔案就會被直接銷毀,不會落地到使用者端的電腦,沒有感染惡意程式或外洩的風險。

III. 點對點加密 (End-to-end encryption)

從 「Puffin Avatar 伺服器」 至 「使用者端的 Puffin 應用程式」都強制透過點對點全程加密,所有的資訊內容除採用既有 TLS 1.3 的協定 AES 256-bit 加密外,內部則使用 Puffin 專有的通訊協定傳輸,讓網路上的駭客無法偷窺使用者正在瀏覽的網頁內容及使用者傳輸的資訊。

除此之外,若遇到有中間人攻擊(man-in-the-middle attack)事件時,Puffin Avatar 技術偵測到傳送過程中,有第三方企圖修改憑證來竊取資料,會立即自動通知使用者,並即時斷線,以確保使用者的上網安全。

下回預告:Puffin 全雲端上網隔離的產品應用

下一篇文章會介紹 Puffin 全雲端上網隔離的應用,及即將上線的 Beta 產品,我們下週見!

--

--

CloudMosa, Inc.
CloudMosa TW

A pioneer in providing remote browser solutions for users worldwide.