Browser aziendali vs. RBI: Pro, contro e migliore soluzione per l'azienda

Di Tony Frum - Ingegnere illustre

11 settembre 2025 8 Minuto letto

TL;DR

I once believed Enterprise Browsers (EB) would revolutionize web security—quickly replacing Remote Browser Isolation (RBI), and possibly even Secure Web Gateways (SWG). After working with large enterprise customers and talking to analysts, I’ve changed my perspective. I still believe that EB may fill that role for small and medium businesses, but it may not fit as well in large enterprises.

La promessa di Enterprise Browser

I’ve had my eye on the Enterprise Browser (EB) market for a long time. Having worked with Secure Web Gateways (SWG) for the majority of my two decades in the security market, it’s impossible to ignore the novelty of the technology. If you’re not familiar, Enterprise Browsers generally come in two flavors – either browser extensions or entirely new browsers which are forks of the Chromium project. Both options aim to bring new security controls to the browsers in which users spend most of their workday. These controls can include secure remote access to internal applications, specialized anti-malware detection in the browser itself, encryption of locally stored browser data, and more. What intrigued me the most was the data security controls such as clipboard controls, data masking, watermarking pages, screenshot protection, and upload/download controls. In general, pushing controls down to the endpoint instead of trying to implement everything at the network level opens a lot of doors, so this is a powerful new tool in the web security world. If I’m being honest, I originally saw this as a direct threat to the SWG market as a whole.

Remote Browser Isolation

Oggi, la maggior parte dei venditori di SWG si rivolge all'Remote Browser Isolation (RBI) per implementare i controlli nel browser stesso. L'RBI, come dice il nome, fa girare un'istanza del browser in un ambiente remoto e isolato e carica la pagina richiesta dall'utente. Quindi, l'utente è in grado di vedere e interagire con il browser in remoto, ma nessuno dei contenuti della pagina viene caricato sul computer locale dell'utente. Poiché la soluzione RBI include la propria implementazione del browser, è possibile inserire nella sessione RBI dei controlli che rispecchiano ampiamente ciò che fanno oggi le soluzioni EB. In questo modo si colmano molte lacune nei controlli basati sulla rete, come ad esempio i contenuti illeggibili come le applicazioni con certificato, i Websocket, le codifiche illeggibili, la doppia crittografia e gli eventi che si verificano solo a livello locale, come il copia e incolla utilizzando gli appunti locali.

 

Una prospettiva inaspettata da parte di un analista

Il mio interesse per l'EB mi ha spinto a sedermi con una persona di una società di analisi con cui collaboriamo e a chiedergli informazioni su questa nuova tecnologia e su alcuni fornitori del mercato. Nel corso di questa conversazione, mi ha detto due cose che mi hanno davvero sorpreso. In primo luogo, ha detto che l'EB è "un gioco SMB", più adatto alle piccole e medie imprese che alle grandi aziende. Io lavoro quasi esclusivamente con le grandi imprese e pensavo in modo molto ottimistico a ciò che era possibile fare in quel contesto, quindi questo è stato un po' uno shock per me. Mentre iniziava a spiegare questo punto, ha menzionato un'altra cosa che mi ha spiazzato: il prezzo. A quanto pare, l'acquisto medio di un sistema EB costa addirittura di più di una soluzione RBI, per posto a sedere. Mi è sembrato impossibile, perché l'offerta di una soluzione RBI basata sul cloud comporta costi infrastrutturali significativi per l'esecuzione di tutte le istanze del browser e i costi di transito del traffico attraverso i data center del cloud. EB, invece, fa tutto localmente sull'endpoint dell'utente, con costi operativi quasi nulli per il fornitore. Per quanto potesse, l'analista non è riuscito a farmi capire il senso di nessuna di queste cose. Ho lasciato la conversazione pensando che si fosse sbagliato.

Il dilemma di un cliente del mondo reale

Dopo circa un anno, mi è stato chiesto di incontrare un nostro grande cliente che utilizza la nostra soluzione SWG da molti anni. Stavano valutando di investire nell'aggiunta di RBI alla loro implementazione SWG o nell'acquisto di una soluzione EB. Nonostante quello che l'analista mi aveva detto molti mesi prima, non ero ottimista sul fatto che la nostra soluzione RBI fosse l'opzione migliore. Ho avuto un primo colloquio con il cliente per chiarire i suoi casi d'uso e i suoi requisiti, e non c'era nulla di particolarmente unico o sorprendente. Volevano la possibilità di concedere l'accesso alle applicazioni 'shadow IT', mantenendo il controllo sui dati, implementando controlli su upload/download, controlli sugli appunti, rendendo le pagine di sola lettura e alcuni altri controlli sfumati.

Un altro caso d'uso chiave di questo cliente, molto comune, era la gestione di siti non classificati. Tutte le aziende devono affrontare il classico problema di come gestire i siti non classificati. Se li si blocca, si finisce per aumentare i ticket dell'help desk, perché nessuna categorizzazione del fornitore è perfetta, quindi inevitabilmente si bloccheranno alcuni siti legittimi. D'altra parte, se li consente, si apre a un grande rischio, perché la maggior parte delle minacce proviene da siti non categorizzati. Le aziende hanno quasi sempre bisogno di un modo per consentire i siti non classificati, pur mantenendo la sicurezza, ed è quello di cui aveva bisogno questo cliente.

Durante il mio impegno con questo grande cliente aziendale, sono stato costretto a soppesare i pro e i contro di queste due tecnologie dalla loro prospettiva. Al contrario, a causa dei commenti dell'analista, ho continuato a considerare le cose dal punto di vista di una piccola impresa. Alla fine, ho capito che mi sbagliavo e che l'analista aveva assolutamente ragione!

Il punto di vista di una piccola impresa

Put yourself in the shoes of a small business of 50-100 employees and consider the challenge of deploying a SWG solution. Such an organization is most likely looking for some very basic controls and a basic level of security. They may have an “IT guy” with some basic knowledge but no serious networking or security expertise. Their infrastructure may lack some key components that are necessary for a successful SWG deployment as well. Now, contrast that with EB. It would be pretty straightforward to push out a new browser app to 100 endpoints, and it could not only eliminate your need to deploy SWG and RBI but also a Zero-Trust Network Access (ZTNA), or “Private Access”, solution. This represents a simple, effective alternative to SWG and, possibly, RBI and ZTNA which might justify such a high price point for a relatively small user base.

La realtà di una grande azienda

Now consider this from the perspective of an enterprise with hundreds of thousands of endpoints, a team of networking experts, a team of security experts, and all the infrastructure that goes along with being a huge enterprise. This changes things entirely. First, let’s assume that such an organization did deploy an EB solution. Deploying to, potentially, hundreds of thousands of endpoints is no small task and hundreds of thousands of users would have to be educated to use this new browser. Additional controls may also have to be in place to prevent them from using non-enterprise browsers for sites where EB controls need to be applied.

Another thing you might not consider is that large enterprises tend to standardize on a single browser such as Google Chrome, and part of their procurement process is to ensure that all the tools they acquire support their chosen browser. How are they to do this with an obscure EB solution? Does Jira officially support my EB of choice? What about the hundreds of other tools our organization uses? This quickly becomes untenable. What’s worse,a large enterprise can’t simply ignore non-browser based HTTP traffic such as requests from a thick client like Microsoft Teams, Google Drive, Slack, and others. This means that even if the EB solution did solve a lot of their use cases, they cannot use it as a SWG replacement.

Ok, e se questo cliente distribuisse RBI invece di EB per realizzare i suoi casi d'uso? L'implementazione sarebbe certamente più semplice, perché l'RBI è fondamentalmente una funzione di SWG che già possiede. Se si utilizza una soluzione SWG degna di questo nome, l'implementazione di RBI dovrebbe essere un semplice processo di acquisto di una licenza e di abilitazione della funzione. I suoi endpoint inviano già il loro traffico web all'SWG, quindi non c'è bisogno di toccare le sue migliaia di endpoint. I suoi utenti non avranno bisogno di una grande formazione, se non addirittura di un'istruzione, per la sua soluzione RBI, poiché in genere sono progettate per essere molto trasparenti per l'utente. Anche se vuole che l'utente sappia cosa sta accadendo, di solito è possibile presentare all'utente un pop-up personalizzato che spiega che sta utilizzando una sessione isolata e quali controlli potrebbero essere applicati. Se la sua soluzione SWG utilizza l'RBI basato sul cloud, come molti fanno, non sono necessarie modifiche all'infrastruttura. Poiché l'RBI è generalmente utilizzato in modo selettivo, probabilmente non verrà applicato alle applicazioni di fiducia utilizzate dalla sua organizzazione, il che probabilmente la solleva dalla necessità di testare questi strumenti nella sua soluzione RBI.

Protezione dal malware a prova di bomba

One last thing to consider is the catch-22 uncategorized website problem that most large enterprises need to solve. Enterprise Browsers bring improvements to web security by looking for web threats within the browser DOM itself. This allows them to find obfuscated threats after they’ve been delivered and deobfuscated within the DOM. This definitely provides an elevated level of protection for all content loaded in the EB. However, RBI fully isolates the endpoint from the website content. It’s not elevated protection. It’s basically bulletproof protection against malware. Sure, the user can still be tricked by social engineering, but that can be addressed by coaching the user that a page is risky, making the page read-only, preventing uploads or logins, and other similar controls. However, there’s basically no way the endpoint can be compromised by malware via RBI. This empowers customers to allow, but isolate, uncategorized websites without increasing their risk of compromise.

Appaltatori e accesso di terze parti

A questo punto, potrebbe pensare: "Questo tizio sta ignorando lo scenario dell'appaltatore terzo", che è un caso d'uso comune per l'EB. Il caso d'uso dell'appaltatore terzo è quello in cui lei vuole concedere a un utente esterno alla sua azienda la possibilità di accedere alle sue applicazioni interne e private da un dispositivo che non è gestito dalla sua azienda. Vuole concedere questo accesso e allo stesso tempo essere in grado di proteggere i suoi dati e limitare l'accesso solo a ciò di cui ha bisogno. Sì, questa è un'ulteriore considerazione, ma lo stesso paradigma EB vs. RBI esiste anche in questa situazione. La maggior parte delle soluzioni ZTNA complete, come le nostre, offrono un accesso "clientless" alle applicazioni private e possono anche applicare l'RBI a queste sessioni clientless per spingere i controlli di accesso ai dati anche a un endpoint non gestito. Questo è più semplice e senza soluzione di continuità rispetto a chiedere a una persona terza di installare un'applicazione o un'estensione del browser aggiuntiva per poter accedere ai dati.

Classificazione e consapevolezza dei dati

Un'ultima considerazione riguarda la classificazione e la consapevolezza dei dati. Le soluzioni EB sono ancora una tecnologia piuttosto nascente e i fornitori non dispongono generalmente di capacità avanzate di classificazione dei dati. La maggior parte utilizza un approccio relativamente rudimentale alla classificazione dei dati basato sulle espressioni regolari. I fornitori maturi di SSE che offrono SWG e RBI, invece, tendono a disporre di tecnologie molto più robuste, come Exact Data Match (EDM). (EDM)e Indexed Document Matching (IDM) (IDM), il riconoscimento ottico dei caratteri (OCR), classificazione basata sull'intelligenza artificiale e altro ancora.

Customers tend to be heavily invested in these classification mechanisms and have already implemented mature processes around data classification and incident management in these solutions.  This data awareness is often available within isolated sessions which is why the native RBI capability of an incumbent SSE solution might be more attractive than a disjoint EB solution.

Conclusione

Alla fine, come spesso accade, essendo costretto a vedere la nostra tecnologia attraverso la lente del cliente, ho imparato cose che altrimenti non avrei imparato. I browser aziendali sono una tecnologia davvero innovativa e molto promettente, e sono entusiasta di vedere dove andrà la tecnologia. Tuttavia, per le grandi aziende è abbastanza chiaro che l'RBI sarà spesso l'opzione migliore, almeno per il momento. 

Torna ai blog