Изоляция браузера для сотрудников — защита от фишинга и вредоносных скриптов в повседневной работе
Изображение: recraft
В последнее время всё больше ПО, которым активно пользуются сотрудники, разрабатывается как web-приложения. Это очень удобно с точки зрения независимости от применяемого устройства и его ОС, по крайней мере, в теории. Однако исследование 2023 года Data Breach Investigations Report от компании Verizon показывает: самые популярные векторы для брешей и инцидентов – это именно web-приложения.
В этой ситуации очень важно защитить браузеры на девайсах персонала, и тут для CIO и CISO есть несколько вариантов действий.
- Изоляция браузера (Remote Browser Isolation, RBI). Web-трафик обрабатывается на удалённой площадке в изолированном окружении, а пользователь на своём гаджете получает визуальный поток – то, что уже обработали удалённые серверы. В результате конечное устройство не взаимодействует с вредоносным кодом, который потенциально может быть на web-сервере. Среди известных на рынке продуктов RBI в основном встречаются зарубежные, и сейчас они не поставляются в страну. Однако, в реестре Минцифры уже появилось и российское решение.
- Корпоративный браузер (Enterprise Browser, EB) – специализированный браузер, в котором гораздо больше политик управления в области ИБ, включая DLP и изоляцию сессий. Конечно, самый известный софт импортный, но появились и локальные, в том числе бесплатные варианты.
- Использование VDI и терминального доступа: браузер размещается внутри контролируемого периметра, и организация может управлять многими параметрами и отслеживать действия пользователей. Здесь можно говорить о вале отечественных продуктов: их более 20, они активно развиваются, и в ближайшие годы ожидается консолидация рынка за счёт ухода и поглощения небольших компаний, не способных удовлетворить требования заказчиков и своевременно вносить изменения.
У каждого из этих вариантов свои преимущества и недостатки, которые влияют на выбор решения. Давайте рассмотрим более подробно эти плюсы и минусы.
Изоляция браузера (RBI)
К его преимуществам в первую очередь необходимо отнести надёжную защиту от угроз, так как на устройстве конечного пользователя не происходит выполнения кода и блокируются вредоносное ПО (malware), фишинг, а также атаки нулевого дня, найденные для браузеров и веб-приложений.
Важно и то, что данный подход хорошо работает с инфраструктурами, где разрешено использовать личные устройства пользователей, так называемые BYOD. На конечный девайс чаще всего не нужно ставить какие-либо клиенты или агенты, поэтому всё это хорошо работает с неуправляемыми устройствами.
Поскольку RBI подразумевает использование облачных или корпоративных сервисов, легко обеспечить централизованный аудит действий пользователя и контроль доступа.
Естественно, здесь есть свои минусы. Для ряда заказчиков они могут оказаться критичными и стать причиной, не позволяющей использовать продукт в корпоративной среде.
Обработка на сервере будет приводить к задержкам, и особенно это будет заметно для тех web-приложений, где активно используются медиаресурсы или если подразумевается высокая интерактивность работы с пользователем. Насколько большой будет такая задержка, можно будет сказать только после тщательного тестирования различных сценариев.
Другой фактор – повышенное потребление полосы пропускания. Так как на устройство передаётся картинка после обработки в изолированной среде, то для комфортной работы это требует большей, а иногда и значительно большей полосы пропускания. Всё сильно зависит от характеристик устройства, например, планшет 4К будет потреблять больше трафика, чем такой же, но с разрешением Full HD.
Ещё одним потенциальным минусом является ограниченная совместимость. Ряд web-приложений, особенно те, что используют скрипты, отрабатывающие на клиентском устройстве, могут работать неправильно или с ограниченным функционалом.
Корпоративные браузеры (EB)
Как и любой продукт для корпоративного рынка, в первую очередь он предназначен для решения задач бизнеса.
К его плюсам нужно отнести:
- Централизованное управление, когда администраторы могут из единой консоли с помощью корпоративных политик делать настройки безопасности, блокировать нежелательные сайты, устанавливать и удалять браузерные расширения.
- Браузер работает на клиентском устройстве, и это снижает задержки, требования к полосе пропускания по сравнению с RBI-решениями, и при необходимости даёт пользователю возможность работы без подключения к сети, конечно, если речь идёт о локальных web-ресурсах.
- Как и любое бизнес-приложение, EB может интегрироваться с разными корпоративными инструментами. В первую очередь это ИБ-технологии, обеспечивающие однократный вход пользователя (SSO), системы DLP и прочие подобные сервисы.
Теперь рассмотрим потенциальные минусы корпоративных браузеров.
Их внедрение сложнее, чем у облачных RBI-сервисов, так как подразумевает установку и настройку на каждом клиентском устройстве. Из этого следует, что все они должны быть контролируемыми, а чтобы инсталлировать специализированный браузер на личный гаджет пользователя, нужно согласие пользователя.
Возможно, браузер не будет поддерживать все необходимые сотрудникам ОС и девайсы, особенно если речь идёт о BYOD.
Комфортность работы пользователя будет зависеть от его устройства, и, если оно маломощное, люди начнут жаловаться, а затем и сопротивляться внедрению нового ПО.
Ну и не надо забывать о привязке к определённому вендору, что для работы со сторонними web-приложениями может привести к необходимости их доработки или дополнительного тестирования.
Виртуализация рабочих мест (VDI) и терминальные сервисы
Эти продукты на рынке уже очень давно, и ими пользуются многие организации. Сейчас идёт активное импортозамещение, и ряд функций, к которым привыкли сотрудники, может отсутствовать или их реализация в российских системах может быть непривычной.
К плюсам VDI и решений для терминального доступа можно отнести уже привычную гибкость с точки зрения клиентских устройств и практически полную независимость от характеристик. В этих решениях на клиентское устройство, как и в RBI, передаётся картинка того, что на самом деле происходит на виртуальной машине или терминальном сервере в ЦОДе компании или облачного провайдера.
Такой подход позволяет обеспечить высокий уровень безопасности за счёт того, что политики применяются на сервере, и отключить их на клиенте не получится.
Ну и, конечно, главный плюс – это возможность работать с любыми ОС и другим софтом с имеющегося под рукой устройства. Ряду компаний VDI помогает в процессе миграции с инфраструктуры под Windows на отечественные Linux-решения.
Минусы тоже уже давно известны, и производители их пытаются обходить, добавляя тот или иной функционал, смягчающий недостатки.
Во-первых, это невозможность работы, когда нет подключения к сети.
Во-вторых – сложность: VDI является инфраструктурным решением, поэтому есть очень тесная связь со службами каталога, платформами виртуализации и базами данных. Это приводит к необходимости тщательно проектировать внедрения, особенно крупные.
В-третьих, расходы при локальном развёртывании. Кроме стоимости лицензий на продукт, необходимо учитывать затраты на оборудование и лицензии на вспомогательное ПО и ОС.
При подписочной модели, когда решение предоставляется как услуга от сервис-провайдера, минусы, связанные со стоимостью и сложностью, могут нивелироваться.
RBI vs EB vs VDI
Сравнительная таблица
| Критерии/ Продукты | Remote Browser Isolation | Enterprise Browser | VDI/TS |
| Производительность | Зависит от канала передачи данных | Зависит от характеристик устройства | Зависит от характеристик канала передачи данных. Пользовательский сценарий практически не меняется |
| Сложность внедрения | От простой (облачный вариант без локальных клиентов) до средней – развёртывание в ЦОДе компании с установкой клиента на пользовательские устройства | От простой до средней – установка клиента на пользовательские устройства в зависимости от их количества и местонахождения | От простой (модель SaaS или небольшая установка на 1 сервере) до сложной (геораспределённая отказоустойчивая инфраструктура) |
| Совместимость с разными видами web-контента | Есть ограничения | Высокая | Высокая |
| Универсальность | Только web-приложения, и есть зависимость от web- контента | Только web -приложения. По протоколу HTML5 может подключаться к решениям VDI и TS | Web-приложения, Windows и Linux ПО, рабочие столы десктопов и серверов |
| Совместимость с устройствами | От средней до высокой (если нет агентов и можно использовать в BYOD). | Средняя | От средней до высокой в зависимости от вендора. Можно использовать BYOD |
| Безопасность | От средней (при использовании клиентов) до высокой | От средней до высокой | От средней до высокой |
| Управляемость | Высокая (централизованные политики через облако или корпоративную инсталляцию) | От средней до высокой (централизованные политики, применяемые к локальным устройствам) | Высокая (централизованные политики, применяемые к сессиям пользователя на сервере) |
| Возможность работы офлайн | Отсутствует | Есть возможность при работе с локальными web-приложениями | Отсутствует |
| Стоимость | От средней до высокой (если инфраструктура развёртывается в ЦОДе компании) | От 0 (бесплатные продукты) до средней | От средней до высокой |
Рекомендации по выбору
Опираясь на все эти различия, необходимо оценить те угрозы и риски, которые компания считает наиболее значимыми. Возможно, для наилучшей защиты или комфортной работы стоит скомбинировать два продукта, особенно если защита web-трафика – часть более широкой задачи. Так, некоторые зарубежные вендоры VDI включают в свои решения корпоративные браузеры, чтобы можно было пользоваться локальными web-приложениями. Помимо угроз и рисков, нужно оценить свою инфраструктуру, сценарии использования, а также имеющийся бюджет и подход к затратам: CapEx или OpEx.
Для правильного выбора лучше привлечь профильного специалиста, который сможет с учётом имеющихся задач объяснить все плюсы и минусы выбора того или иного варианта.
Статью подготовил Сергей Халяпин, директор по развитию новых рынков и технологических партнеров Termidesk (входит в «Группу Астра»).
