2023年8月にガートナー社より発表されたSingle-Vendor SASEのMagic Quadrant™で、唯一の Leader 評価を得た、パロアルトネットワークスのPrisma Accessが、リモート ブラウザー アイソレーション(RBI)に対応しました。
リモート ブラウザー アイソレーション(RBI)とは?
リモート ブラウザー アイソレーション(以降RBI)は、Web分離・無害化とも呼ばれ、デバイスからWebページを閲覧する際に、ブラウザーで実行する処理をクラウド上の仮想環境で実行する技術です。実行された結果は、グラフィックデータとしてデバイスに送信される※1ため、悪意のあるコードやマルウェアがユーザーの端末に届かず、セキュアなWebブラウジングを提供します。
RBIの提供方式
RBIの提供方式は進化を続けており、これまでさまざまなテクノロジーが使用されてきました。
第1世代 (ピクセル プッシュ):
Webコンテンツはリモートサーバー上でレンダリング※2および処理されます。
ページの視覚的表現をキャプチャし、ユーザーのデバイスに送信します。この方法は完全に隔離されたセキュリティを提供しますが、帯域幅が多くパフォーマンスが低下します。
第2世代 (DOM※3ベース):
Webコンテンツをサニタイジング(無害化)し、デバイスに送信します。
このアプローチはピクセル プッシュよりも応答性が優れていますが、一部のコンテンツはオリジナルのままデバイスに送信されるため、セキュリティ レベルは劣ります。また、デバイスのブラウザーでは、サニタイジングされたコンテンツによるWebページの再構築が行われるため、ページの表示が崩れる可能性があります。
第3世代 (SKIA※4):
デバイスのブラウザーではオープンソースの2Dグラフィックス ライブラリーにより、Web ページがレンダリングされます。
第1世代、第2世代のデメリットを補える方式ですが、低遅延の対話性を必要とするMicrosoft 365などの動的なリアルタイム アプリケーションには対応していません。
第4世代 (アイソレーション プラットフォーム):
Prisma AccessのRBI提供方式です。
複数のアプローチを組み合わせて、最高のセキュリティ、最高のユーザエクスペリエンス、最高のパフォーマンスを提供します。Microsoft 365スイートのような最新のアプリケーションには、Prisma AccessのRBIを通じてネイティブに近いパフォーマンスでアクセスできます。
Prisma Accessが提供する次世代RBI
Prisma Accessとネイティブに統合されたRBIは、RBI用プロファイルを既存のセキュリティ ポリシーに適用します。URLフィルタリングやUser-IDと併用することで、特定のカテゴリー、ユーザー グループのみをRBIの対象にできます。
RBI用プロファイルを使用すると、コピー/ペーストやキーボード入力、ファイルのアップロード、ダウンロードなどのユーザー操作が制限され、データ損失を防ぐことができます。
Prisma Accessを流れる通信については、RBIの対象・対象外に関わらず、Advanced URL Filter、Advanced WildFire (クラウド サンドボックス)、Advanced Threat Prevention (IPS)などの業界最高のセキュリティ チェックを継続します。
また、RBIは、エンド ユーザーのデバイス上でコードが直接実行されるのを防ぐために、エンド ユーザーとリモート ブラウザーの間に分離されたグラフィカル ストリームを作成します。
まとめ
Prisma Accessの次世代RBIはお客様に以下のメリットを提供します。
- 最新のテクノロジーを使用した方式による、通常のWebブラウジングに近いユーザー エクスペリエンス
- RBIプロファイルによる柔軟な制御とデバイスでのコード実行防止による最高のセキュリティ
- Prisma Accessとネイティブに統合されたシンプルな管理
SASEや次世代RBIの導入をご検討される場合は、ぜひ弊社までご相談ください。
参考資料
リモート ブラウザー アイソレーション データ シート (英語 PDF) - Palo Alto Networks
注釈
- RBIの方式による
- レンダリング: HTMLやJavaスクリプトなどのリソースをWebブラウザ上に描画する処理のこと
- DOM (ドム): ドキュメント オブジェクト モデル。文書を論理的なツリー モデルで表現する
- SKIA (スキア): Google社が開発したオープンソースの2次元コンピューター グラフィックス ライブラリー