متصفحات المؤسسات مقابل متصفحات RBI: الإيجابيات والسلبيات، والأكثر ملاءمة للمؤسسات

بقلم طوني فروم - مهندس متميز

11 سبتمبر 2025 8 قراءة دقيقة

خلاصة القول؛ والصورة

I once believed Enterprise Browsers (EB) would revolutionize web security—quickly replacing Remote Browser Isolation (RBI), and possibly even Secure Web Gateways (SWG). After working with large enterprise customers and talking to analysts, I’ve changed my perspective. I still believe that EB may fill that role for small and medium businesses, but it may not fit as well in large enterprises.

وعد متصفح المؤسسات (Enterprise Browser)

I’ve had my eye on the Enterprise Browser (EB) market for a long time. Having worked with Secure Web Gateways (SWG) for the majority of my two decades in the security market, it’s impossible to ignore the novelty of the technology. If you’re not familiar, Enterprise Browsers generally come in two flavors – either browser extensions or entirely new browsers which are forks of the Chromium project. Both options aim to bring new security controls to the browsers in which users spend most of their workday. These controls can include secure remote access to internal applications, specialized anti-malware detection in the browser itself, encryption of locally stored browser data, and more. What intrigued me the most was the data security controls such as clipboard controls, data masking, watermarking pages, screenshot protection, and upload/download controls. In general, pushing controls down to the endpoint instead of trying to implement everything at the network level opens a lot of doors, so this is a powerful new tool in the web security world. If I’m being honest, I originally saw this as a direct threat to the SWG market as a whole.

Remote Browser Isolation

اليوم، يتطلع معظم بائعي SWG إلى Remote Browser Isolation (RBI) لتنفيذ عناصر التحكم في المتصفح نفسه. يقوم RBI، كما يوحي الاسم، بتشغيل متصفح في بيئة بعيدة ومعزولة وتحميل الصفحة التي طلبها المستخدم. بعد ذلك، يكون المستخدم قادراً على رؤية المتصفح والتفاعل معه عن بُعد، ولكن لا يتم تحميل أي محتوى للصفحة على الجهاز المحلي للمستخدم. نظرًا لأن حل RBI يتضمن تطبيق المتصفح الخاص به، يمكن تضمين عناصر التحكم في جلسة RBI التي تعكس إلى حد كبير ما تقوم به حلول EB اليوم. وهذا يسد الكثير من الثغرات في عناصر التحكم المستندة إلى الشبكة مثل المحتوى غير القابل للقراءة مثل التطبيقات المثبتة بشهادة ومآخذ الويب والترميزات غير القابلة للقراءة والتشفير المزدوج والأحداث التي تحدث محلياً فقط مثل النسخ واللصق باستخدام الحافظة المحلية.

 

منظور غير متوقع من أحد المحللين

دفعني اهتمامي بالتقنية الإلكترونية إلى الجلوس مع أحد المحللين في شركة تحليل نتشارك معها واختيار ما يدور في ذهنه حول هذه التقنية الجديدة وبعض البائعين في السوق. وفي سياق هذه المحادثة قال لي أمرين أدهشاني حقًا. أولاً، قال إن EB كانت "لعبة الشركات الصغيرة والمتوسطة" مناسبة للشركات الصغيرة والمتوسطة أكثر من الشركات الكبيرة. أنا أعمل بشكل حصري تقريبًا مع الشركات الكبيرة، وكنت أفكر بتفاؤل كبير حول ما هو ممكن في هذا السياق، لذلك كان هذا الأمر بمثابة صدمة بالنسبة لي. وعندما بدأ في شرح هذه النقطة، ذكر شيئاً آخر فاجأني وهو السعر. على ما يبدو، يبدو أن متوسط تكلفة شراء جهاز EB يكلف أكثر من حل RBI على أساس كل مقعد. بدا لي هذا الأمر مستحيلاً بالنسبة لي لأن تقديم حل RBI القائم على السحابة يأتي مع تكاليف بنية تحتية كبيرة لتشغيل جميع مثيلات المتصفح وتكاليف النقل لتمرير حركة المرور عبر مراكز البيانات السحابية. من ناحية أخرى، تقوم شركة EB بكل شيء محلياً على نقطة نهاية المستخدم، وهو ما يأتي بتكلفة تشغيلية تقترب من الصفر بالنسبة للبائع. حاول المحلل قدر استطاعته، لم يستطع أن يجعل أياً من هذين الأمرين منطقياً بالنسبة لي. غادرت المحادثة وأنا أعتقد أنه مخطئ.

معضلة العميل في العالم الحقيقي

وبعد مرور عام أو نحو ذلك، طُلب مني مقابلة عميل كبير جدًا من عملائنا الذين يستخدمون حل SWG الخاص بنا منذ سنوات عديدة. كانوا يفكرون في الاستثمار إما في إضافة حل RBI إلى مجموعة SWG الخاصة بهم أو شراء حل EB. على الرغم مما أخبرني به المحلل قبل عدة أشهر، لم أكن متفائلاً بأن حل RBI الخاص بنا سيكون الخيار الأفضل. لقد أجريت مناقشة أولية مع العميل لتوضيح حالات الاستخدام ومتطلباته، ولم يكن هناك شيء فريد أو مفاجئ بشكل خاص. لقد أرادوا القدرة على منح إمكانية الوصول إلى تطبيقات "تكنولوجيا المعلومات الموازية" مع الحفاظ على التحكم في البيانات من خلال تنفيذ عناصر التحكم في التحميل/التنزيل، وعناصر التحكم في الحافظة وجعل الصفحات للقراءة فقط، وبعض عناصر التحكم الدقيقة الأخرى.

من حالات الاستخدام الرئيسية الأخرى التي واجهها هذا العميل، وهي شائعة جدًا، التعامل مع المواقع غير المصنفة. يتعين على جميع الشركات التعامل مع هذه المشكلة التقليدية المتمثلة في تحديد كيفية التعامل مع المواقع غير المصنفة. إذا قمت بحظرها، فسينتهي بك الأمر بزيادة في تذاكر مكتب المساعدة لأنه لا يوجد تصنيف مثالي من قبل أي مورد، لذلك ستحظر حتماً بعض المواقع الشرعية. من ناحية أخرى، إذا سمحت بها، فإنك تعرض نفسك لقدر كبير من المخاطر لأن غالبية التهديدات الموجودة هناك ستأتي من مواقع غير مصنفة. تحتاج الشركات دائمًا تقريبًا إلى طريقة للسماح بالمواقع غير المصنفة مع الحفاظ على الأمان، وهذا ما يحتاجه هذا العميل.

طوال فترة تعاملي مع هذا العميل من الشركات الكبيرة، كنت مضطرًا للموازنة بين إيجابيات وسلبيات هاتين التقنيتين من وجهة نظرهم. وعلى العكس من ذلك، وبسبب تعليقات المحلل، كنت أفكر باستمرار في الأمور من منظور شركة صغيرة. وفي النهاية، أدركت في النهاية أنني كنت مخطئًا وأن المحلل كان محقًا تمامًا!

وجهة نظر الشركات الصغيرة

Put yourself in the shoes of a small business of 50-100 employees and consider the challenge of deploying a SWG solution. Such an organization is most likely looking for some very basic controls and a basic level of security. They may have an “IT guy” with some basic knowledge but no serious networking or security expertise. Their infrastructure may lack some key components that are necessary for a successful SWG deployment as well. Now, contrast that with EB. It would be pretty straightforward to push out a new browser app to 100 endpoints, and it could not only eliminate your need to deploy SWG and RBI but also a Zero-Trust Network Access (ZTNA), or “Private Access”, solution. This represents a simple, effective alternative to SWG and, possibly, RBI and ZTNA which might justify such a high price point for a relatively small user base.

واقع المؤسسة الكبيرة

Now consider this from the perspective of an enterprise with hundreds of thousands of endpoints, a team of networking experts, a team of security experts, and all the infrastructure that goes along with being a huge enterprise. This changes things entirely. First, let’s assume that such an organization did deploy an EB solution. Deploying to, potentially, hundreds of thousands of endpoints is no small task and hundreds of thousands of users would have to be educated to use this new browser. Additional controls may also have to be in place to prevent them from using non-enterprise browsers for sites where EB controls need to be applied.

Another thing you might not consider is that large enterprises tend to standardize on a single browser such as Google Chrome, and part of their procurement process is to ensure that all the tools they acquire support their chosen browser. How are they to do this with an obscure EB solution? Does Jira officially support my EB of choice? What about the hundreds of other tools our organization uses? This quickly becomes untenable. What’s worse,a large enterprise can’t simply ignore non-browser based HTTP traffic such as requests from a thick client like Microsoft Teams, Google Drive, Slack, and others. This means that even if the EB solution did solve a lot of their use cases, they cannot use it as a SWG replacement.

حسنًا، ماذا لو قام هذا العميل بنشر RBI بدلاً من EB لتحقيق حالات الاستخدام الخاصة به؟ من المؤكد أن النشر سيكون أكثر وضوحًا لأن RBI هو في الأساس مجرد ميزة من ميزات SWG التي لديهم بالفعل. إذا كنت تستخدم أي حل من حلول مجموعة SWG التي تستحق الملح، فيجب أن يكون نشر RBI عملية بسيطة لشراء ترخيص وتمكين الميزة. ترسل نقاط النهاية الخاصة بك بالفعل حركة مرور الويب الخاصة بها إلى SWG، لذلك ليست هناك حاجة للمس عدة آلاف من نقاط النهاية الخاصة بك. لن يحتاج المستخدمون لديك إلى الكثير من التثقيف، إن وجد، لحل RBI الخاص بك حيث يتم تصميمها عادةً لتكون شفافة جدًا للمستخدم. حتى إذا كنت ترغب في أن يعرف المستخدم ما يحدث، فعادةً ما يكون من الخيارات المتاحة تقديم نافذة منبثقة مخصصة للمستخدم تشرح له أنه يستخدم جلسة معزولة وما هي عناصر التحكم التي قد يتم تطبيقها. إذا كان حل SWG الخاص بك يستخدم RBI المستند إلى السحابة، كما يفعل الكثيرون، فلا يلزم إجراء أي تغييرات في البنية التحتية. نظرًا لأن RBI يُستخدم بشكل عام بطريقة انتقائية، فمن المحتمل أنك لن تطبقه على التطبيقات الموثوقة التي تستخدمها مؤسستك مما يعفيك على الأرجح من الحاجة إلى اختبار هذه الأدوات في حل RBI الخاص بك.

الحماية من البرمجيات الخبيثة المضادة للرصاص

One last thing to consider is the catch-22 uncategorized website problem that most large enterprises need to solve. Enterprise Browsers bring improvements to web security by looking for web threats within the browser DOM itself. This allows them to find obfuscated threats after they’ve been delivered and deobfuscated within the DOM. This definitely provides an elevated level of protection for all content loaded in the EB. However, RBI fully isolates the endpoint from the website content. It’s not elevated protection. It’s basically bulletproof protection against malware. Sure, the user can still be tricked by social engineering, but that can be addressed by coaching the user that a page is risky, making the page read-only, preventing uploads or logins, and other similar controls. However, there’s basically no way the endpoint can be compromised by malware via RBI. This empowers customers to allow, but isolate, uncategorized websites without increasing their risk of compromise.

المتعاقدون ووصول الطرف الثالث

عند هذه النقطة، قد تفكر في نفسك، "هذا الرجل يتجاهل سيناريو المتعاقد الخارجي"، وهي حالة استخدام شائعة لـ EB. حالة استخدام المتعاقد الخارجي هي الحالة التي قد ترغب فيها بمنح مستخدم من خارج شركتك القدرة على الوصول إلى تطبيقاتك الداخلية الخاصة من جهاز لا تديره شركتك. تريد منح هذا الوصول مع القدرة على تأمين بياناتك وتقييد وصوله إلى ما يحتاج إليه فقط. نعم، هذه اعتبارات إضافية، ولكن نفس نموذج EB مقابل RBI موجود في هذه الحالة أيضاً. تقدم معظم حلول ZTNA كاملة الميزات مثل حلولنا وصولاً "بدون عميل" إلى التطبيقات الخاصة، ويمكنها أيضًا تطبيق RBI على هذه الجلسات بدون عميل لدفع عناصر التحكم في الوصول إلى البيانات إلى نقطة نهاية غير مُدارة أيضًا. وهذا الأمر أبسط وأكثر سلاسة من الطلب من طرف ثالث تثبيت تطبيق متصفح إضافي أو ملحق إضافي من أجل الوصول إلى البيانات.

تصنيف البيانات والوعي بها

أحد الاعتبارات الأخيرة هو تصنيف البيانات والوعي بها. لا تزال الحلول الإلكترونية لا تزال تقنية ناشئة إلى حد ما، ولا يمتلك البائعون عمومًا قدرات متقدمة لتصنيف البيانات. ويستخدم معظمهم نهجًا بدائيًا نسبيًا قائمًا على التعبيرات العادية لتصنيف البيانات. ومع ذلك، فإن بائعي حلول تصنيف البيانات الذكية الناضجة الذين يقدمون SWG و RBI يميلون إلى امتلاك تقنيات أكثر قوة مثل المطابقة التامة للبيانات (EDM)ومطابقة المستندات المفهرسة (IDM)والتعرف الضوئي على الحروف (OCR)والتصنيف القائم على الذكاء الاصطناعي وغيرها.

Customers tend to be heavily invested in these classification mechanisms and have already implemented mature processes around data classification and incident management in these solutions.  This data awareness is often available within isolated sessions which is why the native RBI capability of an incumbent SSE solution might be more attractive than a disjoint EB solution.

استنتاج

في النهاية، وكما هو الحال في كثير من الأحيان، اضطررت إلى رؤية تقنيتنا من خلال عدسة العميل وتعلمت أشياء لم أكن لأتعلمها لولا ذلك. إن متصفحات المؤسسات هي تقنية مبتكرة حقًا واعدة جدًا، وأنا متحمس لرؤية إلى أين ستصل هذه التقنية. ومع ذلك، بالنسبة للمؤسسات الكبيرة، من الواضح جدًا أن متصفح RBI سيكون غالبًا الخيار الأفضل في الوقت الحالي على الأقل. 

العودة إلى المدونات