Cloudflare se lance à son tour dans le déport de rendu Web
Le fournisseur de services de sécurité cloud vient d’annoncer un service d’isolation du navigateur Web, déportant le rendu du contenu de pages Web pour protéger le poste de travail de composants malicieux.
Cloudflare vient d’annoncer le service Browser Isolation, une option à son offre dite zero trust Cloudflare for Teams. Lorsqu’elle activée, le rendu des pages Web est effectivement réalisé sur les serveurs du fournisseur de services de sécurité cloud, « dans des instances conteneurisées jetables ». Le navigateur de l’utilisateur est ainsi isolé de contenus actifs potentiellement malicieux. Et chaque instance de navigateur déporté est considérée comme compromise par défaut : elle est détruite après chaque session. Chaque nouvelle session est exécutée dans une nouvelle instance.
Pour construire ce service, Cloudflare s’appuie sur la technologie de S2 Systems Corporation, dont il avait annoncé l’acquisition en janvier 2020. Et celle-ci présente certaines spécificités.
Dans un billet de blog publié à l’époque, Cloudflare revenait sur les deux principales approches de déport du rendu Web : pousser des pixels du navigateur de l’utilisateur final, à la manière d’un système d’accès distant à poste de travail, RDP ou VNC ; ou réaliser de la reconstruction DOM (Document Object Model), en envoyant les composants de la page Web d’origine après les avoir nettoyés et reconstruits, essentiellement en supprimant le code actif.
L’approche de S2 Systems est différente et a fait l’objet d’un brevet accordé fin octobre 2019. On parle là de Network Vector Rendering (NVR). Le moteur de rendu Web déporté est Chromium et le NVR s’appuie l’une de ses caractéristiques : la librairie graphique Skia, qui assure le rendu de tout ce qui est visible dans un navigateur animé par celle-ci.
L’approche de S2 Systems consiste à s’interposer entre Skia et le moteur de rendu final. Une librairie spécifique est poussée au navigateur Web HTML5 de l’utilisateur final qui va permettre le dialogue entre ce navigateur et la librairie Skia, dans l’instance de session Web chez Cloudflare. Sommairement, on peut imaginer un navigateur Chrome dont les couches logicielles basses seraient dans l’infrastructure de Cloudflare, tandis que les couches supérieures, en interaction avec l’utilisateur, seraient sur son poste de travail.
Selon Cloudflare, cette approche assure une expérience utilisateur transparente et même un besoin en bande passante locale réduit « pour la plupart des sites Web ». Et c’est sans compter, bien sûr, les apports en sécurité, visibilité et contrôle.
Le déport de rendu Web a graduellement gagné en intérêt au cours des dernières années. Euroclear y a recours de longue date. Guacamole est devenu un projet à part entière de la fondation Apache fin 2017. En fait, de nombreux acteurs s’y intéressent de plus en plus ouvertement. VMware s’est associé à Menlo à cette fin. McAfee s’est offert un spécialiste du déport de rendu Web fin février, pour l’intégrer à son offre de sécurité des extrémités cloud, baptisée Mvision Unified Cloud Edge. Plus tôt, Symantec avait intégré la technologie de Fireglass à son offre de sécurité cloud, en août 2019.
Mais les annonces de Cloudflare en matière de sécurité ne s’arrêtent pas là. Le fournisseur de services cloud vient ainsi d’annoncer sa plateforme de prévention des fuites de données (DLP) ainsi qu’un service d’antivirus pour les utilisateurs de son offre Gateway, qui est passée l’an dernier d’un simple service de filtrage des requêtes DNS à une passerelle d’accès Web sécurisé (SWG).