В последнее время всё больше ПО, которым активно пользуются сотрудники, разрабатывается как web-приложения. Это очень удобно с точки зрения независимости от применяемого устройства и его ОС, по крайней мере, в теории. Однако исследование 2023 года Data Breach Investigations Report от компании Verizon показывает: самые популярные векторы для брешей и инцидентов – это именно web-приложения.
В этой ситуации очень важно защитить браузеры на девайсах персонала, и тут для CIO и CISO есть несколько вариантов действий.

Изоляция браузера (Remote Browser Isolation, RBI). Web-трафик обрабатывается на удалённой площадке в изолированном окружении, а пользователь на своём гаджете получает визуальный поток – то, что уже обработали удалённые серверы. В результате конечное устройство не взаимодействует с вредоносным кодом, который потенциально может быть на web-сервере. Среди известных на рынке продуктов RBI в основном встречаются зарубежные, и сейчас они не поставляются в страну. Однако, в реестре Минцифры уже появилось и российское решение.
Корпоративный браузер (Enterprise Browser, EB) – специализированный браузер, в котором гораздо больше политик управления в области ИБ, включая DLP и изоляцию сессий. Конечно, самый известный софт импортный, но появились и локальные, в том числе бесплатные варианты.
Использование VDI и терминального доступа: браузер размещается внутри контролируемого периметра, и организация может управлять многими параметрами и отслеживать действия пользователей. Здесь можно говорить о вале отечественных продуктов: их более 20, они активно развиваются, и в ближайшие годы ожидается консолидация рынка за счёт ухода и поглощения небольших компаний, не способных удовлетворить требования заказчиков и своевременно вносить изменения.

У каждого из этих вариантов свои преимущества и недостатки, которые влияют на выбор решения. Давайте рассмотрим более подробно эти плюсы и минусы.
Изоляция браузера (RBI)
К его преимуществам в первую очередь необходимо отнести надёжную защиту от угроз, так как на устройстве конечного пользователя не происходит выполнения кода и блокируются вредоносное ПО (malware), фишинг, а также атаки нулевого дня, найденные для браузеров и веб-приложений.
Важно и то, что данный подход хорошо работает с инфраструктурами, где разрешено использовать личные устройства пользователей, так называемые BYOD. На конечный девайс чаще всего не нужно ставить какие-либо клиенты или агенты, поэтому всё это хорошо работает с неуправляемыми устройствами.
Поскольку RBI подразумевает использование облачных или корпоративных сервисов, легко обеспечить централизованный аудит действий пользователя и контроль доступа.
Естественно, здесь есть свои минусы. Для ряда заказчиков они могут оказаться критичными и стать причиной, не позволяющей использовать продукт в корпоративной среде.
Обработка на сервере будет приводить к задержкам, и особенно это будет заметно для тех web-приложений, где активно используются медиаресурсы или если подразумевается высокая интерактивность работы с пользователем. Насколько большой будет такая задержка, можно будет сказать только после тщательного тестирования различных сценариев.
Другой фактор – повышенное потребление полосы пропускания. Так как на устройство передаётся картинка после обработки в изолированной среде, то для комфортной работы это требует большей, а иногда и значительно большей полосы пропускания. Всё сильно зависит от характеристик устройства, например, планшет 4К будет потреблять больше трафика, чем такой же, но с разрешением Full HD.
Ещё одним потенциальным минусом является ограниченная совместимость. Ряд web-приложений, особенно те, что используют скрипты, отрабатывающие на клиентском устройстве, могут работать неправильно или с ограниченным функционалом.
Корпоративные браузеры (EB)
Как и любой продукт для корпоративного рынка, в первую очередь он предназначен для решения задач бизнеса.
К его плюсам нужно отнести:

Централизованное управление, когда администраторы могут из единой консоли с помощью корпоративных политик делать настройки безопасности, блокировать нежелательные сайты, устанавливать и удалять браузерные расширения.
Браузер работает на клиентском устройстве, и это снижает задержки, требования к полосе пропускания по сравнению с RBI-решениями, и при необходимости даёт пользователю возможность работы без подключения к сети, конечно, если речь идёт о локальных web-ресурсах.
Как и любое бизнес-приложение, EB может интегрироваться с разными корпоративными инструментами. В первую очередь это ИБ-технологии, обеспечивающие однократный вход пользователя (SSO), системы DLP и прочие подобные сервисы.

Теперь рассмотрим потенциальные минусы корпоративных браузеров.
Их внедрение сложнее, чем у облачных RBI-сервисов, так как подразумевает установку и настройку на каждом клиентском устройстве. Из этого следует, что все они должны быть контролируемыми, а чтобы инсталлировать специализированный браузер на личный гаджет пользователя, нужно согласие пользователя.
Возможно, браузер не будет поддерживать все необходимые сотрудникам ОС и девайсы, особенно если речь идёт о BYOD.
Комфортность работы пользователя будет зависеть от его устройства, и, если оно маломощное, люди начнут жаловаться, а затем и сопротивляться внедрению нового ПО.
Ну и не надо забывать о привязке к определённому вендору, что для работы со сторонними web-приложениями может привести к необходимости их доработки или дополнительного тестирования.
Виртуализация рабочих мест (VDI) и терминальные сервисы
Эти продукты на рынке уже очень давно, и ими пользуются многие организации. Сейчас идёт активное импортозамещение, и ряд функций, к которым привыкли сотрудники, может отсутствовать или их реализация в российских системах может быть непривычной.
К плюсам VDI и решений для терминального доступа можно отнести уже привычную гибкость с точки зрения клиентских устройств и практически полную независимость от характеристик. В этих решениях на клиентское устройство, как и в RBI, передаётся картинка того, что на самом деле происходит на виртуальной машине или терминальном сервере в ЦОДе компании или облачного провайдера.
Такой подход позволяет обеспечить высокий уровень безопасности за счёт того, что политики применяются на сервере, и отключить их на клиенте не получится.
Ну и, конечно, главный плюс – это возможность работать с любыми ОС и другим софтом с имеющегося под рукой устройства. Ряду компаний VDI помогает в процессе миграции с инфраструктуры под Windows на отечественные Linux-решения.
Минусы тоже уже давно известны, и производители их пытаются обходить, добавляя тот или иной функционал, смягчающий недостатки.
Во-первых, это невозможность работы, когда нет подключения к сети.
Во-вторых – сложность: VDI является инфраструктурным решением, поэтому есть очень тесная связь со службами каталога, платформами виртуализации и базами данных. Это приводит к необходимости тщательно проектировать внедрения, особенно крупные.
В-третьих, расходы при локальном развёртывании. Кроме стоимости лицензий на продукт, необходимо учитывать затраты на оборудование и лицензии на вспомогательное ПО и ОС.
При подписочной модели, когда решение предоставляется как услуга от сервис-провайдера, минусы, связанные со стоимостью и сложностью, могут нивелироваться.
RBI vs EB vs VDI
Сравнительная таблица
Критерии/ ПродуктыRemote Browser IsolationEnterprise BrowserVDI/TSПроизводительностьЗависит от канала передачи данныхЗависит от характеристик устройстваЗависит от характеристик канала передачи данных. Пользовательский сценарий практически не меняетсяСложность внедренияОт простой (облачный вариант без локальных клиентов) до средней – развёртывание в ЦОДе компании с установкой клиента на пользовательские устройстваОт простой до средней – установка клиента на пользовательские устройства в зависимости от их количества и местонахожденияОт простой (модель SaaS или небольшая установка на 1 сервере) до сложной (геораспределённая отказоустойчивая инфраструктура)Совместимость с разными видами web-контентаЕсть ограниченияВысокаяВысокаяУниверсальностьТолько web-приложения, и есть зависимость от web- контентаТолько web -приложения. По протоколу HTML5 может подключаться к решениям VDI и TSWeb-приложения, Windows и Linux ПО, рабочие столы десктопов и серверовСовместимость с устройствамиОт средней до высокой (если нет агентов и можно использовать в BYOD).СредняяОт средней до высокой в зависимости от вендора. Можно использовать BYODБезопасностьОт средней (при использовании клиентов) до высокойОт средней до высокойОт средней до высокойУправляемостьВысокая (централизованные политики через облако или корпоративную инсталляцию)От средней до высокой (централизованные политики, применяемые к локальным устройствам)Высокая (централизованные политики, применяемые к сессиям пользователя на сервере)Возможность работы офлайнОтсутствуетЕсть возможность при работе с локальными web-приложениямиОтсутствуетСтоимостьОт средней до высокой (если инфраструктура развёртывается в ЦОДе компании)От 0 (бесплатные продукты) до среднейОт средней до высокой
Рекомендации по выбору
Опираясь на все эти различия, необходимо оценить те угрозы и риски, которые компания считает наиболее значимыми. Возможно, для наилучшей защиты или комфортной работы стоит скомбинировать два продукта, особенно если защита web-трафика – часть более широкой задачи. Так, некоторые зарубежные вендоры VDI включают в свои решения корпоративные браузеры, чтобы можно было пользоваться локальными web-приложениями. Помимо угроз и рисков, нужно оценить свою инфраструктуру, сценарии использования, а также имеющийся бюджет и подход к затратам: CapEx или OpEx.
Для правильного выбора лучше привлечь профильного специалиста, который сможет с учётом имеющихся задач объяснить все плюсы и минусы выбора того или иного варианта.

Статью подготовил Сергей Халяпин, директор по развитию новых рынков и технологических партнеров Termidesk (входит в «Группу Астра»).