• 什么是RBI

RBI(RemoteBrowserIsolation),中文翻译过来叫远程浏览器隔离技术。通过名字不猜出这种技术主要应对Web类攻击的防御场景。该技术从另外一种角度提出了解决现阶段Web类业务的方案风险。通常利用虚拟化或容器化技术将用户的Web浏览活动与端点设备隔离，借此显著减少恶意链接和文件的攻击面。

• 产生背景

其实RBI技术提出已经有段时间了。早在2017年，该类技术就被列入Gartner顶级安全技术之一。2018年，GartnerResearch的一份名为“远程浏览器隔离的创新洞察”的研究报告就针对当时的浏览器隔离（RBI）技术进行了较为完善的调研

报告中也提出了该技术出现的背景，一方面Web类安全攻击日益增长，另一方案传统的安全方案很容易被绕过攻破。

应用报告中的一段话：“公共互联网是一个充满攻击的污水池，其中许多攻击都是通过浏览网页或单击电子邮件中的URL等日常行为投递到企业用户。攻击者很容易绕过预防性控制，例如基于签名的恶意软件扫描、防火墙、安全Web网关（SWG）等。基于浏览器的攻击是攻击者针对合法用户的主要威胁载体，易受攻击的Web浏览器和插件是一个容易攻击的目标。无论我们认为自己在修补和阻止攻击方面有多好”。参考这份报告中给出的、改编自卡巴斯基实验室的图表可见对浏览器的漏洞利用占到了网络攻击的42.6%。

• 技术原理

如上图所示:

RBI服务器①，作为整个方案实现的载体。Web服务的内容在RBI服务器提供的隔离容器②中根据不同的技术进行重建，然后提供给最终用④。图中③代表客户端到RBI服务之间交互协议根据不同方案这边协议有所不同，现在大部分还是HTTP协议。当然有些方案需要客户端安装特定的client，有些无客户端方案直接使用主流的浏览器即可。

• 实现方式

按产品技术类型拆分，RBI实现的方式主要有以下三种：DOM重建、像素推送、网络矢量渲染(NVR)

DOM重建

DOM通过在将内容转发到本地端点浏览器之前对HTML和CSS等进行清理。通过重建HTML和CSS等来消除活跃代码、已知漏洞，以及其他潜在的恶意内容。可以解决像素推送方案在延迟、运营成本和用户体验方面的问题，但是确定就是容易导致网站保真度的问题，也就是兼容性问题对于以下内容复杂平凡更改的网站场景不是很合适。但是反过来对于一些简单的门户网站类场景就比较合适了。

已上面两种图为例，第一张为未采用DOM重建的网页。可以看到一些CSS、js文件对外是暴露的可见的当然也有可能作为攻击的入口。而第二张是DOM过的网页，经过重建后只有些静态的图片文件，CSS、js这些文件已经被隐藏。

像素推送

像素推送比较好理解，通过捕获远程浏览器“窗口”的像素图像，并将图像序列传输到客户端端点浏览器或专有客户端。这与远程桌面和VNC系统的工作方式相似。缺点很明显大家都用过远程桌面类的软件，使用体验差、带宽占用高、成本高都是比较可见的明显缺点。

网络矢量渲染(NVR)

NVR相较于前两种技术就比较难以理解了。个人理解是基于浏览器底层功能的复制将远端浏览器的一些渲染工作流程截取后同步到本地，在本地进行复现。如果说像素推送是把呈现的内容录制一遍再传到本地，那么NVR就是生产视频的时候，根据生成的规则在本地直接生成图像然后播放。

1.首先浏览器窗口中可见的所有内容均通过Skia渲染层进行渲染。这包括应用程序窗口UI（如菜单），但更重要的是，网页窗口的整个内容均通过Skia渲染。

2.NVR技术截获远程浏览器的Skia绘制命令，传输到在用户端点桌面或移动设备本地运行的任何HTML5兼容Web浏览器。

3.通过获的绘图命令，在本地HTML5浏览器的窗口中重新绘制它们。

这种技术在cloudfare收购S2后归其所以（S2专利），所以被cloudfare大力推广。但是没有完美的技术，每种技术都有优缺点和想对应的场景。NVR兼容性、网站保真度、以及成本方面也有一定的局限性。

参考文献

https://blog.cloudflare.com/cloudflare-and-remote-browser-isolation/

https://blog.csdn.net/a666a66/article/details/123816834

https://www.secrss.com/articles/20121

RSA创新沙盒盘点|TalonCyberSecurity—面向企业的安全浏览器_隔离_的攻击_远程