टोनी फ्रम - प्रतिष्ठित इंजीनियर द्वारा
11 सितंबर, 2025 8 मिनट पढ़ें
संक्षेप में
एक समय मुझे लगता था कि एंटरप्राइज ब्राउज़र (ईबी) वेब सुरक्षा में क्रांतिकारी बदलाव लाएंगे और Remote Browser Isolation (आरबीआई) और शायद सिक्योर वेब गेटवे (एसडब्ल्यूजी) को भी जल्दी ही पीछे छोड़ देंगे। बड़े उद्यमों के ग्राहकों के साथ काम करने और विश्लेषकों से बात करने के बाद, मेरा नज़रिया बदल गया है। मुझे अब भी लगता है कि ईबी छोटे और मध्यम व्यवसायों के लिए यह भूमिका निभा सकते हैं, लेकिन बड़े उद्यमों में शायद उतने कारगर न हों।
एंटरप्राइज़ ब्राउज़र का वादा
मैं लंबे समय से एंटरप्राइज ब्राउज़र (EB) बाज़ार पर नज़र रख रहा हूँ । सुरक्षा क्षेत्र में अपने दो दशकों के अनुभव में से अधिकांश समय मैंने सिक्योर वेब गेटवे (SWG) के साथ काम किया है, इसलिए इस तकनीक की नवीनता को नज़रअंदाज़ करना असंभव है। अगर आप इससे परिचित नहीं हैं, तो एंटरप्राइज ब्राउज़र आमतौर पर दो प्रकार के होते हैं – या तो ब्राउज़र एक्सटेंशन या पूरी तरह से नए ब्राउज़र जो क्रोमियम प्रोजेक्ट के विकसित संस्करण हैं। दोनों ही विकल्पों का उद्देश्य उन ब्राउज़रों में नए सुरक्षा नियंत्रण लाना है जिनमें उपयोगकर्ता अपना अधिकांश कार्यदिवस व्यतीत करते हैं। इन नियंत्रणों में आंतरिक अनुप्रयोगों तक सुरक्षित रिमोट एक्सेस, ब्राउज़र में ही विशेष एंटी-मैलवेयर पहचान, स्थानीय रूप से संग्रहीत ब्राउज़र डेटा का एन्क्रिप्शन और बहुत कुछ शामिल हो सकता है। मुझे सबसे ज़्यादा आकर्षित करने वाली चीज़ें डेटा सुरक्षा नियंत्रण थे, जैसे क्लिपबोर्ड नियंत्रण, डेटा मास्किंग, पेजों पर वॉटरमार्किंग, स्क्रीनशॉट सुरक्षा और अपलोड/डाउनलोड नियंत्रण। सामान्य तौर पर, नेटवर्क स्तर पर सब कुछ लागू करने के बजाय नियंत्रणों को एंडपॉइंट तक पहुँचाने से कई संभावनाएं खुल जाती हैं, इसलिए यह वेब सुरक्षा की दुनिया में एक शक्तिशाली नया उपकरण है। सच कहूं तो, मैंने शुरू में इसे पूरे SWG बाजार के लिए एक सीधा खतरा माना था।
Remote Browser Isolation
आज, अधिकांश SWG विक्रेता ब्राउज़र में ही नियंत्रण लागू करने के लिए Remote Browser Isolation (RBI) का सहारा लेते हैं । जैसा कि नाम से ही स्पष्ट है, RBI एक दूरस्थ, पृथक वातावरण में एक ब्राउज़र इंस्टेंस को सक्रिय करता है और उपयोगकर्ता द्वारा अनुरोधित पृष्ठ को लोड करता है। इसके बाद, उपयोगकर्ता ब्राउज़र को दूरस्थ रूप से देख और उससे इंटरैक्ट कर सकता है, लेकिन पृष्ठ की कोई भी सामग्री उपयोगकर्ता की स्थानीय मशीन पर लोड नहीं होती है। चूँकि RBI समाधान में अपना स्वयं का ब्राउज़र कार्यान्वयन शामिल है, इसलिए RBI सत्र में नियंत्रणों को शामिल किया जा सकता है जो आज के EB समाधानों के समान ही हैं। यह नेटवर्क-आधारित नियंत्रणों में कई कमियों को दूर करता है, जैसे कि प्रमाणपत्र-पिन किए गए ऐप्स जैसी अपठनीय सामग्री, वेबसॉकेट, अपठनीय एन्कोडिंग, दोहरा एन्क्रिप्शन, और स्थानीय क्लिपबोर्ड का उपयोग करके कॉपी और पेस्ट करने जैसी घटनाएँ जो केवल स्थानीय रूप से घटित होती हैं।
एक विश्लेषक का अप्रत्याशित दृष्टिकोण
ईबी में मेरी रुचि ने मुझे एक विश्लेषक फर्म के एक व्यक्ति के साथ बैठने और इस नई तकनीक और बाज़ार में मौजूद कुछ विक्रेताओं के बारे में उनसे बातचीत करने के लिए प्रेरित किया। इस बातचीत के दौरान उन्होंने मुझसे दो बातें कहीं जिनसे मैं सचमुच हैरान रह गया। पहली, उन्होंने कहा कि ईबी एक "एसएमबी समाधान" है जो बड़े उद्यमों की तुलना में छोटे और मध्यम आकार के व्यवसायों के लिए ज़्यादा उपयुक्त है। मैं लगभग पूरी तरह से बड़े उद्यमों के साथ काम करता हूँ, और मैं इस संदर्भ में जो कुछ भी संभव है, उसके बारे में बहुत आशावादी सोच रहा था, इसलिए यह मेरे लिए थोड़ा चौंकाने वाला था। जैसे ही उन्होंने यह बात समझानी शुरू की, उन्होंने एक और बात बताई जिसने मुझे चौंका दिया, वह थी कीमत। ज़ाहिर है, प्रति सीट के आधार पर ईबी की औसत खरीद की लागत आरबीआई समाधान से भी ज़्यादा होती है। यह मुझे असंभव लगा क्योंकि क्लाउड-आधारित आरबीआई समाधान की पेशकश करने में सभी ब्राउज़र इंस्टेंस को चलाने के लिए काफ़ी बुनियादी ढाँचा लागत और क्लाउड डेटा सेंटरों से ट्रैफ़िक भेजने की ट्रांज़िट लागत शामिल होती है। दूसरी ओर, ईबी उपयोगकर्ता के एंडपॉइंट पर स्थानीय रूप से सब कुछ करता है, जिससे विक्रेता को लगभग शून्य परिचालन लागत आती है। विश्लेषक ने चाहे जितनी भी कोशिश की, मुझे इनमें से कोई भी बात समझ नहीं आई। मैंने यह सोचकर बातचीत छोड़ दी कि उसे ज़रूर कोई ग़लतफ़हमी होगी।
वास्तविक दुनिया के ग्राहक की दुविधा
लगभग एक साल बाद, मुझे हमारे एक बहुत बड़े ग्राहक से मिलने के लिए कहा गया, जो कई सालों से हमारे SWG समाधान का इस्तेमाल कर रहा था। वे अपने SWG परिनियोजन में RBI को जोड़ने या EB समाधान खरीदने पर विचार कर रहे थे। विश्लेषक ने मुझे कई महीने पहले जो बताया था, उसके बावजूद मुझे पूरा विश्वास नहीं था कि हमारा RBI समाधान बेहतर विकल्प होगा। मैंने ग्राहक के साथ उनके उपयोग के मामलों और आवश्यकताओं को स्पष्ट करने के लिए एक प्रारंभिक चर्चा की, और कुछ भी विशेष रूप से अनोखा या आश्चर्यजनक नहीं था। वे अपलोड/डाउनलोड नियंत्रण, क्लिपबोर्ड नियंत्रण, पृष्ठों को केवल-पढ़ने योग्य बनाने, और कुछ अन्य सूक्ष्म नियंत्रणों को लागू करके डेटा पर नियंत्रण बनाए रखते हुए "शैडो आईटी" अनुप्रयोगों तक पहुँच प्रदान करने की क्षमता चाहते थे।
इस ग्राहक का एक और प्रमुख उपयोग मामला, जो बहुत आम है, अवर्गीकृत साइटों से निपटने का था। सभी उद्यमों को अवर्गीकृत साइटों को कैसे संभालना है, यह तय करने की इस आम दुविधा से जूझना पड़ता है। अगर आप उन्हें ब्लॉक करते हैं, तो हेल्प डेस्क टिकटों की संख्या बढ़ जाती है क्योंकि किसी भी विक्रेता का वर्गीकरण सही नहीं होता, इसलिए आप अनिवार्य रूप से कुछ वैध साइटों को ब्लॉक कर देंगे। दूसरी ओर, अगर आप उन्हें अनुमति देते हैं, तो आप खुद को बहुत बड़े जोखिम में डाल रहे हैं क्योंकि ज़्यादातर खतरे अवर्गीकृत साइटों से ही आएंगे। कंपनियों को लगभग हमेशा सुरक्षा बनाए रखते हुए अवर्गीकृत साइटों को अनुमति देने का एक तरीका चाहिए होता है, और इस ग्राहक को भी यही चाहिए था।
इस बड़े उद्यम ग्राहक के साथ बातचीत के दौरान, मुझे इन दोनों तकनीकों के फायदे और नुकसान को उनके नज़रिए से तौलना पड़ा। इसके विपरीत, विश्लेषक की टिप्पणियों के कारण, मैं लगातार एक छोटे व्यवसाय के नज़रिए से चीज़ों पर विचार करता रहा। अंततः, मुझे एहसास हुआ कि मैं गलत था और विश्लेषक बिल्कुल सही था!
एक छोटे व्यवसाय का दृष्टिकोण
50-100 कर्मचारियों वाली एक छोटी कंपनी के नज़रिए से देखें और SWG सॉल्यूशन को लागू करने की चुनौती पर विचार करें। ऐसी कंपनी को शायद कुछ बुनियादी नियंत्रण और सुरक्षा की ज़रूरत होगी। उनके पास शायद कोई ऐसा IT विशेषज्ञ हो जिसे बुनियादी जानकारी तो हो, लेकिन नेटवर्किंग या सुरक्षा का कोई खास अनुभव न हो। उनके बुनियादी ढांचे में SWG को सफलतापूर्वक लागू करने के लिए ज़रूरी कुछ प्रमुख घटकों की कमी भी हो सकती है। अब इसकी तुलना EB से करें। 100 एंडपॉइंट्स पर एक नया ब्राउज़र ऐप भेजना बहुत आसान होगा, और इससे न केवल SWG और RBI को लागू करने की ज़रूरत खत्म हो जाएगी, बल्कि ज़ीरो-ट्रस्ट नेटवर्क एक्सेस (ZTNA) या " Private Access " सॉल्यूशन की भी ज़रूरत नहीं पड़ेगी। यह SWG और संभवतः RBI और ZTNA का एक सरल और प्रभावी विकल्प है, जो अपेक्षाकृत कम उपयोगकर्ताओं के लिए इतनी ज़्यादा कीमत को जायज़ ठहरा सकता है।
एक बड़े उद्यम की वास्तविकता
अब इसे एक ऐसे उद्यम के नज़रिए से देखें जिसमें लाखों एंडपॉइंट्स हों, नेटवर्किंग विशेषज्ञों की एक टीम हो, सुरक्षा विशेषज्ञों की एक टीम हो और एक विशाल उद्यम होने के लिए आवश्यक सभी बुनियादी ढांचा मौजूद हो। इससे स्थिति पूरी तरह बदल जाती है। सबसे पहले, मान लें कि ऐसे संगठन ने एक ईबी समाधान लागू किया है। संभावित रूप से लाखों एंडपॉइंट्स पर इसे लागू करना कोई आसान काम नहीं है और लाखों उपयोगकर्ताओं को इस नए ब्राउज़र का उपयोग करने के लिए प्रशिक्षित करना होगा। उन साइटों के लिए जहां ईबी नियंत्रण लागू करने की आवश्यकता है, उपयोगकर्ताओं को गैर-उद्यम ब्राउज़र का उपयोग करने से रोकने के लिए अतिरिक्त नियंत्रण भी लागू करने पड़ सकते हैं।
एक और बात जिस पर शायद आप ध्यान न दें, वह यह है कि बड़ी कंपनियाँ अक्सर Google Chrome जैसे किसी एक ब्राउज़र को मानकीकृत करती हैं, और उनकी खरीद प्रक्रिया का एक हिस्सा यह सुनिश्चित करना होता है कि उनके द्वारा खरीदे गए सभी उपकरण उनके चुने हुए ब्राउज़र का समर्थन करें। वे किसी कम प्रचलित ईबी समाधान के साथ ऐसा कैसे करेंगे? क्या Jira आधिकारिक तौर पर मेरे पसंदीदा ईबी का समर्थन करता है? हमारी संस्था द्वारा उपयोग किए जाने वाले सैकड़ों अन्य उपकरणों का क्या होगा? यह स्थिति जल्दी ही अव्यवहारिक हो जाती है। इससे भी बुरी बात यह है कि एक बड़ी कंपनी गैर-ब्राउज़र आधारित HTTP ट्रैफ़िक, जैसे Microsoft Teams, Google Drive, Slack और अन्य जैसे थिक क्लाइंट से आने वाले अनुरोधों को नज़रअंदाज़ नहीं कर सकती। इसका मतलब यह है कि भले ही ईबी समाधान उनके कई उपयोग मामलों को हल कर दे, वे इसे एसडब्ल्यूजी के विकल्प के रूप में उपयोग नहीं कर सकते।
ठीक है, क्या होगा अगर यह ग्राहक अपने उपयोग के मामलों को प्राप्त करने के लिए EB के बजाय RBI को तैनात करे? तैनाती निश्चित रूप से अधिक सरल होगी क्योंकि RBI मूल रूप से SWG की एक विशेषता है जो उनके पास पहले से ही है। यदि आप किसी भी SWG समाधान का उपयोग कर रहे हैं, तो RBI को तैनात करना लाइसेंस खरीदने और सुविधा को सक्षम करने की एक सरल प्रक्रिया होनी चाहिए। आपके एंडपॉइंट पहले से ही अपना वेब ट्रैफ़िक SWG को भेज रहे हैं, इसलिए आपके हजारों एंडपॉइंट्स को छूने की कोई आवश्यकता नहीं है। आपके उपयोगकर्ताओं को आपके RBI समाधान के लिए बहुत अधिक शिक्षा की आवश्यकता नहीं होगी, यदि कोई हो, क्योंकि वे आमतौर पर उपयोगकर्ता के लिए बहुत पारदर्शी होने के लिए डिज़ाइन किए गए हैं। भले ही आप चाहते हैं कि उपयोगकर्ता को पता हो कि क्या हो रहा है, यह आमतौर पर उपयोगकर्ता को एक अनुकूलित पॉप-अप प्रस्तुत करने का विकल्प होता है जो बताता है कि वे एक अलग सत्र का उपयोग कर रहे हैं और कौन से नियंत्रण लागू हो सकते हैं। यदि आपका SWG समाधान क्लाउड-आधारित RBI का उपयोग करता है, जैसा कि कई करते हैं, तो किसी भी बुनियादी ढांचे में बदलाव की आवश्यकता नहीं है। चूंकि RBI का उपयोग सामान्यतः चुनिंदा तरीके से किया जाता है, इसलिए आप संभवतः इसे अपने संगठन द्वारा उपयोग किए जाने वाले विश्वसनीय अनुप्रयोगों पर लागू नहीं करेंगे, जिससे संभवतः आपको अपने RBI समाधान में इन उपकरणों का परीक्षण करने की आवश्यकता से मुक्ति मिल जाएगी।
बुलेटप्रूफ मैलवेयर सुरक्षा
एक आखिरी बात जिस पर विचार करना ज़रूरी है, वह है अवर्गीकृत वेबसाइटों की समस्या, जिसे अधिकांश बड़े उद्यमों को हल करने की आवश्यकता होती है। एंटरप्राइज़ ब्राउज़र, ब्राउज़र के DOM के भीतर ही वेब खतरों की खोज करके वेब सुरक्षा में सुधार लाते हैं। इससे वे DOM में डिलीवर होने और डीओबफस्केट होने के बाद भी छिपे हुए खतरों का पता लगा सकते हैं। यह निश्चित रूप से EB में लोड की गई सभी सामग्री के लिए उच्च स्तर की सुरक्षा प्रदान करता है। हालांकि, RBI एंडपॉइंट को वेबसाइट सामग्री से पूरी तरह अलग कर देता है। यह कोई उन्नत सुरक्षा नहीं है। यह मूल रूप से मैलवेयर के खिलाफ अचूक सुरक्षा है। बेशक, उपयोगकर्ता को सोशल इंजीनियरिंग द्वारा धोखा दिया जा सकता है, लेकिन इसका समाधान उपयोगकर्ता को यह बताकर किया जा सकता है कि कोई पेज जोखिम भरा है, पेज को केवल पढ़ने योग्य बनाकर, अपलोड या लॉगिन को रोककर और इसी तरह के अन्य नियंत्रणों द्वारा किया जा सकता है। हालांकि, RBI के माध्यम से मैलवेयर द्वारा एंडपॉइंट से समझौता करने का कोई तरीका नहीं है। यह ग्राहकों को बिना किसी जोखिम को बढ़ाए अवर्गीकृत वेबसाइटों को अनुमति देने के साथ-साथ उन्हें अलग करने की सुविधा देता है।
ठेकेदारों और तृतीय-पक्ष की पहुँच
इस बिंदु पर, आप स्वयं सोच सकते हैं, "यह व्यक्ति तृतीय-पक्ष ठेकेदार परिदृश्य को अनदेखा कर रहा है," जो कि EB के लिए एक सामान्य उपयोग मामला है। तृतीय-पक्ष ठेकेदार उपयोग मामला वह है जहाँ आप अपनी कंपनी के बाहर के किसी उपयोगकर्ता को किसी ऐसे डिवाइस से अपने आंतरिक, निजी एप्लिकेशन तक पहुँचने की क्षमता प्रदान करना चाह सकते हैं जो आपकी कंपनी द्वारा प्रबंधित नहीं है। आप यह पहुँच प्रदान करते हुए अपने डेटा को सुरक्षित रखना चाहते हैं और उनकी पहुँच को केवल उनकी ज़रूरत तक सीमित रखना चाहते हैं। हाँ, यह एक अतिरिक्त विचार है, लेकिन यही EB बनाम RBI प्रतिमान उस स्थिति में भी मौजूद है। हमारे जैसे अधिकांश पूर्ण-विशेषताओं वाले ZTNA समाधान निजी एप्लिकेशन तक "क्लाइंटलेस" पहुँच प्रदान करते हैं, और वे इन क्लाइंटलेस सत्रों पर RBI लागू करके डेटा एक्सेस नियंत्रणों को एक अप्रबंधित एंडपॉइंट तक भी पहुँचा सकते हैं। यह किसी तृतीय-पक्ष व्यक्ति से डेटा एक्सेस करने के लिए कोई अतिरिक्त ब्राउज़र एप्लिकेशन या एक्सटेंशन इंस्टॉल करने के लिए कहने की तुलना में अधिक सरल और सहज है।
डेटा वर्गीकरण और जागरूकता
एक अंतिम विचारणीय बिंदु डेटा वर्गीकरण और जागरूकता है। ईबी समाधान अभी भी कुछ हद तक एक प्रारंभिक तकनीक है, और विक्रेताओं के पास आमतौर पर उन्नत डेटा वर्गीकरण क्षमताएँ नहीं होती हैं। अधिकांश विक्रेता डेटा वर्गीकरण के लिए अपेक्षाकृत प्रारंभिक नियमित अभिव्यक्ति-आधारित दृष्टिकोण का उपयोग करते हैं। हालाँकि, परिपक्व एसएसई विक्रेता जो एसडब्ल्यूजी और आरबीआई प्रदान करते हैं, उनके पास आमतौर पर अधिक मजबूत तकनीकें होती हैं जैसे कि सटीक डेटा मिलान (ईडीएम) , अनुक्रमित दस्तावेज़ मिलान (आईडीएम) , ऑप्टिकल कैरेक्टर पहचान (ओसीआर) , एआई-आधारित वर्गीकरण, और बहुत कुछ।
ग्राहक इन वर्गीकरण तंत्रों में काफी निवेशित होते हैं और इन समाधानों में डेटा वर्गीकरण और घटना प्रबंधन के लिए पहले से ही परिपक्व प्रक्रियाएं लागू कर चुके होते हैं। यह डेटा जागरूकता अक्सर अलग-अलग सत्रों में उपलब्ध होती है, यही कारण है कि किसी मौजूदा SSE समाधान की अंतर्निहित RBI क्षमता किसी अलग EB समाधान की तुलना में अधिक आकर्षक हो सकती है।
समाप्ति
अंत में, जैसा कि अक्सर होता है, अपनी तकनीक को ग्राहक के नज़रिए से देखने के लिए मजबूर होने पर, मैंने ऐसी बातें सीखीं जो मैं अन्यथा नहीं सीख पाता। एंटरप्राइज़ ब्राउज़र वाकई एक अभिनव तकनीक है जिसमें बहुत संभावनाएं हैं, और मैं यह देखने के लिए उत्साहित हूँ कि यह तकनीक कहाँ तक जाती है। हालाँकि, बड़े उद्यमों के लिए यह बिल्कुल स्पष्ट है कि कम से कम फिलहाल तो RBI ही बेहतर विकल्प रहेगा।
लेखक के बारे में
टोनी फ्रुम
प्रतिष्ठित इंजीनियर, उत्पाद प्रबंधन
टोनी एक प्रतिष्ठित इंजीनियर हैं Skyhigh Security 2005 में मैक्एफ़ी से शुरुआत करते हुए, उनके पास सुरक्षा उद्योग में 20 से अधिक वर्षों का अनुभव है, जिसमें विशेषज्ञता है Secure Web Gateway , Cloud Access Security Broker और Data Loss Prevention प्रौद्योगिकियां.
ब्लॉग पर वापस जाएं