Browser Isolation

La componente di Browser Isolation di Oplon Secure Access consente di accedere in modo sicuro a siti e applicazioni all’interno della rete aziendale senza esporre direttamente il traffico al web. Il rendering delle pagine avviene su un server remoto isolato, proteggendo il dispositivo dell’utente da minacce come malware, ransomware e phishing, e mantenendo la rete aziendale chiusa verso l’esterno.

Architettura Single Node (Base)

L’architettura base di Oplon Secure Access con Browser Isolation prevede un singolo nodo che funge sia da orchestratore che da nodo di Browser Isolation. Questa configurazione è ideale per ambienti con requisiti di carico moderati e offre una soluzione semplice e compatta per implementare la navigazione di siti web in modo sicuro.

L’installazione è già inclusa nell’installazione standard di Oplon Secure Access. Non sono necessari passaggi aggiuntivi per configurare il nodo di Browser Isolation in questa modalità.

Come rapido check per verificare l’effettiva installazione delle browser isolation è necessario verificare che:

Sia avviato (e in avvio automatico) il modulo R00_BrowserBridge
Il groping SecureAccess applicato al listner che fa ascolto per Secure Access sia configurato in questo modo:

*Secure Acess Grouping Browser Isolation Single Node*

Architettura Multi Node (Advanced)

Per installare la componente di Browser Isolation (dopo aver installato l’appliance base di Oplon Secure Access), è necessario avere almeno un nodo dedicato. L’architettura designata da Oplon per la Browser Isolation infatti è scalabile, bilanciata e multinodo.


         +---------------------------+
         |    Oplon Secure Access    |
         |      (Orchestratore)      |
         +------------+--------------+
                      |
      +-----------------------------------+
      |                                   |
      v                                   v
 +-------------+    ...  ...  ...   +-------------+
 |   Nodo      |    ...  ...  ...   |   Nodo      |
 |  Browser    |    ...  ...  ...   |  Browser    |
 | Isolation 1 |    ...  ...  ...   | Isolation n |
 +-------------+                    +-------------+

Prima di continuare con la guida è necessario:

Deploy o Clonazione dell’Appliance Oplon Secure Access:
- Assicurarsi di aver deployato (o clonato) un’appliance Oplon Secure Access configurata in modo base. Seguire le istruzioni indicate qui fino al punto di accesso alla dashboard
Installazione delle Licenze:
- Installare le licenze fornite seguendo le indicazioni in questa guida
Apertura porte dal/dai nodo/nodi Oplon Secure Access (orchestratori) verso i Nodi Browser Isolation:
- 8088
- 3322

Configurare nodo/i Orchestratore

É importante, se si viene da un’istallazione precendente al rilascio della Browser Isolation, assicurarsi che la regola di Rewrite SecureAccessRWHeaderRDConnect abbia il flow impostato a “BOTH”, per controllarlo o modificarlo, andare su: ADC Settings > Reweite Manangement > Rewrite Header Rules > Search: “SecureAccessRWHeaderRDConnect”:

*Modifica SecureAccessRWHeaderRDConnect 1/2*

Qui andare in Edit e modificare il flow in BOTH se non presente:

*Modifica SecureAccessRWHeaderRDConnect 2/2*

Inoltre è anche necessario aggiungere o modificare l’indirizzo per fare Browser Isolation dal Grouping di Secure Access. Per farlo:

se già prsente nel Virtual Domain di OSA modificare il “/pages/bi” con l’indirizzo del nodo della Browser Isolation.
Altrimenti clonare “/pages/rd/tunnel” e configurarlo come segue:

Configurazione nodo/i Browser Isolation

Configurazione container Browser Isolation

Per configurare correttamente il nodo Browser Isolation, è necessario reinstallare il container configurandolo con l’indirizzo IP fisso dell’appliance dedicata.

Il container Browser Isolation deve essere configurato per ascoltare sull’indirizzo IP dell’appliance (non su 127.0.0.1) per consentire le connessioni dal nodo orchestratore.

Eseguire il seguente comando sostituendo <IP_APPLIANCE> con l’IP effettivo del nodo Browser Isolation:


cd /share
bash OPLON_INSTALL_CONTAINERS.sh -bi <IP_APPLIANCE>
# Esempio: bash OPLON_INSTALL_CONTAINERS.sh -bi 192.168.1.100

Per maggiori dettagli sui parametri disponibili e altre configurazioni avanzate del container, consultare la documentazione completa.

Seguire la procedura di installazione proposta dallo script e procedere con i passi successivi della guida.

Import e configurazione del Listner

Come primo passo, occorre importare il listner e cambiare l’indirizzo Ip a cui ascolta.

Per farlo, occorre andare su ADC Settings > Listeners, marcare la spunta “View Template Listners”, cercare “BrowserIsolation” e cliccare sul puslante di copia e copiarlo dentro al modulo Platform, come indicato qui:

Dopodiche, deflaggare “View Template listners” e editare la regola con l’address con l’ip cui si vuole far ascoltare il listner:

Import del Grouping

Adesso occupiamoci di importare il grouping fondamentale per mappare i nostri back end per la Browser Isolation.

Per farlo, andiamo in ADC Settings > Groupings, flaggiamo “View Template Groups”, cerchiamo “BrowserIsolation” e copiamo tramite il suo tasto:

Import della regola di Rewrite Header “SecureAccessRWHeaderBIConnect”

Per importare invece la regola di Rewrite:

ADC Settings > Rewrite Management > Rewrite Header Rules, da qui al solito flagghiamo “View Template Rewrite Rules”, cerchiamo “SecureAccessRWHeaderBIConnect” e copiamo con l’apposito tasto:

Avvio dei Moduli per la Browser Isolation

Adesso occorre impostare per l’avvio automatico i Moduli/Servizi:

R00_BrowserBridge
R00_DesktopBridge

per farlo occorre andare in: Modules, All Modules, cercare “R00_” e impostare lo start su automatic ad entrambi i moduli come segue:

Save e Re-Init

Infine effettuare tutti i save e reinit delle configurazioni appena fatte