เบราว์เซอร์สำหรับองค์กรเทียบกับ RBI: ข้อดี ข้อเสีย และตัวเลือกที่ดีที่สุดสำหรับองค์กร

โดย Tony Frum - วิศวกรผู้มีชื่อเสียง

วันที่ 11 กันยายน พ.ศ. 2568 8 อ่านนาที

สรุปสั้นๆ

ผมเคยเชื่อว่า Enterprise Browsers (EB) จะปฏิวัติวงการความปลอดภัยบนเว็บอย่างรวดเร็ว โดยจะเข้ามาแทนที่ Remote Browser Isolation (RBI) และอาจรวมถึง Secure Web Gateways (SWG) ด้วยซ้ำ แต่ หลังจากได้ทำงานกับลูกค้าองค์กรขนาดใหญ่และพูดคุยกับนักวิเคราะห์ ผมก็เปลี่ยนมุมมองไป ผมยังคงเชื่อว่า EB อาจตอบโจทย์ความต้องการนั้นได้สำหรับธุรกิจขนาดเล็กและขนาดกลาง แต่ก็อาจไม่เหมาะสมกับองค์กรขนาดใหญ่มากนัก

คำมั่นสัญญาของ Enterprise Browser

ผมจับตามองตลาด Enterprise Browser (EB) มานานแล้ว เนื่องจากผมทำงานกับ Secure Web Gateways (SWG) มาเกือบสองทศวรรษในตลาดความปลอดภัย จึงปฏิเสธไม่ได้เลยว่าเทคโนโลยีนี้มีความแปลกใหม่ หากคุณไม่คุ้นเคย Enterprise Browser โดยทั่วไปมีอยู่สองประเภท คือ ส่วนขยายของเบราว์เซอร์ หรือเบราว์เซอร์ใหม่ทั้งหมดที่พัฒนาต่อยอดมาจากโครงการ Chromium ทั้งสองแบบมีเป้าหมายเพื่อนำเสนอการควบคุมความปลอดภัยใหม่ๆ ให้กับเบราว์เซอร์ที่ผู้ใช้ใช้เวลาส่วนใหญ่ในการทำงาน การควบคุมเหล่านี้อาจรวมถึงการเข้าถึงแอปพลิเคชันภายในจากระยะไกลอย่างปลอดภัย การตรวจจับมัลแวร์เฉพาะทางในเบราว์เซอร์ การเข้ารหัสข้อมูลเบราว์เซอร์ที่จัดเก็บไว้ในเครื่อง และอื่นๆ สิ่งที่ดึงดูดใจผมมากที่สุดคือการควบคุมความปลอดภัยของข้อมูล เช่น การควบคุมคลิปบอร์ด การปกปิดข้อมูล การใส่ลายน้ำในหน้าเว็บ การป้องกันการจับภาพหน้าจอ และการควบคุมการอัปโหลด/ดาวน์โหลด โดยทั่วไปแล้ว การผลักดันการควบคุมลงไปที่อุปกรณ์ปลายทางแทนที่จะพยายามใช้งานทุกอย่างในระดับเครือข่ายจะเปิดโอกาสมากมาย ดังนั้นนี่จึงเป็นเครื่องมือใหม่ที่ทรงพลังในโลกของความปลอดภัยบนเว็บ ถ้าพูดตามตรง ตอนแรกผมมองว่านี่เป็นภัยคุกคามโดยตรงต่อตลาด SWG โดยรวม

Remote Browser Isolation

ปัจจุบัน ผู้ให้บริการ SWG ส่วนใหญ่เลือกใช้ Remote Browser Isolation (RBI) เพื่อควบคุมการใช้งานในเบราว์เซอร์เอง RBI ดังชื่อที่บ่งบอก คือการสร้างอินสแตนซ์ของเบราว์เซอร์ในสภาพแวดล้อมระยะไกลที่แยกจากกัน และโหลดหน้าเว็บที่ผู้ใช้ร้องขอ จากนั้น ผู้ใช้จะสามารถดูและโต้ตอบกับเบราว์เซอร์ได้จากระยะไกล แต่เนื้อหาในหน้าเว็บจะไม่ถูกโหลดลงบนเครื่องของผู้ใช้ เนื่องจากโซลูชัน RBI มีการใช้งานเบราว์เซอร์ของตัวเอง จึงสามารถรวมการควบคุมเข้ากับเซสชัน RBI ซึ่งส่วนใหญ่คล้ายกับสิ่งที่โซลูชัน EB กำลังทำอยู่ในปัจจุบัน วิธีนี้ช่วยลดช่องว่างในการควบคุมบนเครือข่าย เช่น เนื้อหาที่อ่านไม่ได้ เช่น แอปพลิเคชันที่ติดใบรับรอง เว็บซ็อกเก็ต การเข้ารหัสที่อ่านไม่ได้ การเข้ารหัสสองชั้น และเหตุการณ์ที่เกิดขึ้นเฉพาะในเครื่อง เช่น การคัดลอกและวางโดยใช้คลิปบอร์ดในเครื่อง

 

มุมมองที่ไม่คาดคิดจากนักวิเคราะห์

ความสนใจของผมใน EB ผลักดันให้ผมได้นั่งคุยกับใครบางคนจากบริษัทวิเคราะห์ที่เราร่วมงานด้วย เพื่อสอบถามความคิดเห็นเกี่ยวกับเทคโนโลยีใหม่นี้และผู้จำหน่ายบางรายในตลาด ระหว่างการสนทนานี้ เขาได้พูดสองสิ่งที่ทำให้ผมประหลาดใจมาก อย่างแรก เขาบอกว่า EB เป็น "เกม SMB" ที่เหมาะกับธุรกิจขนาดกลางและขนาดย่อมมากกว่าองค์กรขนาดใหญ่ ผมทำงานเกือบทั้งหมดกับองค์กรขนาดใหญ่ และผมคิดในแง่ดีเกี่ยวกับสิ่งที่เป็นไปได้ในบริบทนั้น ดังนั้นเรื่องนี้จึงค่อนข้างน่าตกใจสำหรับผม ขณะที่เขาเริ่มอธิบายประเด็นนี้ เขาได้พูดถึงอีกสิ่งหนึ่งที่ทำให้ผมประหลาดใจ นั่นคือราคา เห็นได้ชัดว่าการซื้อ EB โดยเฉลี่ยนั้นมีค่าใช้จ่ายสูงกว่าโซลูชัน RBI เสียอีกเมื่อคิดตามจำนวนที่นั่ง ซึ่งผมมองว่าเป็นไปไม่ได้ เพราะการนำเสนอโซลูชัน RBI บนคลาวด์นั้นมาพร้อมกับต้นทุนโครงสร้างพื้นฐานที่สำคัญในการรันอินสแตนซ์ของเบราว์เซอร์ทั้งหมด และต้นทุนการขนส่งในการส่งทราฟฟิกผ่านศูนย์ข้อมูลบนคลาวด์ ในทางกลับกัน EB ทำทุกอย่างภายในเครื่องบนจุดปลายทางของผู้ใช้ ซึ่งมีค่าใช้จ่ายในการดำเนินงานที่แทบจะเป็นศูนย์สำหรับผู้จำหน่าย แม้จะพยายามแค่ไหน นักวิเคราะห์ก็ไม่สามารถอธิบายสิ่งเหล่านี้ให้เข้าใจได้ ฉันออกจากการสนทนาโดยคิดว่าเขาคงเข้าใจผิด

ปัญหาของลูกค้าในโลกแห่งความเป็นจริง

เวลาผ่านไปประมาณหนึ่งปี ผมได้รับเชิญให้พบกับลูกค้ารายใหญ่รายหนึ่งของเรา ซึ่งใช้โซลูชัน SWG ของเรามานานหลายปี พวกเขากำลังพิจารณาลงทุนเพิ่ม RBI ให้กับระบบ SWG หรือซื้อโซลูชัน EB แม้ว่านักวิเคราะห์จะเคยบอกผมไว้หลายเดือนก่อนหน้านี้ แต่ผมก็ยังไม่แน่ใจว่าโซลูชัน RBI ของเราจะเป็นตัวเลือกที่ดีกว่า ผมได้พูดคุยกับลูกค้าเบื้องต้นเพื่อชี้แจงกรณีการใช้งานและความต้องการของพวกเขา และไม่มีอะไรแปลกใหม่หรือน่าประหลาดใจเป็นพิเศษ พวกเขาต้องการความสามารถในการให้สิทธิ์การเข้าถึงแอปพลิเคชัน "shadow IT" พร้อมกับการควบคุมข้อมูลด้วยการใช้ตัวควบคุมการอัปโหลด/ดาวน์โหลด ตัวควบคุมคลิปบอร์ด การทำให้หน้าเว็บเป็นแบบอ่านอย่างเดียว และตัวควบคุมอื่นๆ ที่ซับซ้อน

กรณีการใช้งานหลักอีกกรณีหนึ่งที่ลูกค้ารายนี้พบ ซึ่งพบได้บ่อยมาก คือการจัดการกับเว็บไซต์ที่ไม่ได้จัดหมวดหมู่ องค์กรทุกแห่งต้องเผชิญกับปัญหาจุกจิกแบบเดิมๆ นี้ นั่นคือการตัดสินใจว่าจะจัดการกับเว็บไซต์ที่ไม่ได้จัดหมวดหมู่อย่างไร หากคุณบล็อกเว็บไซต์เหล่านี้ คุณจะต้องเผชิญกับปัญหาจากฝ่ายช่วยเหลือลูกค้าเพิ่มขึ้น เนื่องจากไม่มีการจัดหมวดหมู่ของผู้ให้บริการรายใดที่สมบูรณ์แบบ ดังนั้นคุณจึงหลีกเลี่ยงไม่ได้ที่จะบล็อกเว็บไซต์ที่ถูกต้องตามกฎหมายบางเว็บไซต์ ในทางกลับกัน หากคุณอนุญาตให้เว็บไซต์เหล่านี้เข้าถึง คุณก็กำลังเปิดช่องให้ตัวเองเผชิญกับความเสี่ยงอย่างมาก เพราะภัยคุกคามส่วนใหญ่มักมาจากเว็บไซต์ที่ไม่ได้จัดหมวดหมู่ บริษัทต่างๆ มักต้องการวิธีที่จะอนุญาตให้เว็บไซต์ที่ไม่ได้จัดหมวดหมู่เข้าถึงได้ พร้อมกับการรักษาความปลอดภัย ซึ่งนั่นคือสิ่งที่ลูกค้ารายนี้ต้องการ

ตลอดระยะเวลาที่ผมทำงานกับลูกค้าองค์กรขนาดใหญ่รายนี้ ผมถูกบังคับให้ชั่งน้ำหนักข้อดีข้อเสียของเทคโนโลยีทั้งสองนี้จากมุมมองของมัน ในทางกลับกัน จากความคิดเห็นของนักวิเคราะห์ ผมจึงพิจารณาสิ่งต่างๆ จากมุมมองของธุรกิจขนาดเล็กอยู่เสมอ สุดท้ายผมก็ตระหนักได้ว่าผมคิดผิด และนักวิเคราะห์ก็พูดถูกอย่างแน่นอน!

มุมมองของธุรกิจขนาดเล็ก

ลองนึกภาพว่าคุณเป็นเจ้าของธุรกิจขนาดเล็กที่มีพนักงาน 50-100 คน และพิจารณาถึงความท้าทายในการติดตั้งใช้งานโซลูชัน SWG องค์กรดังกล่าวอาจต้องการการควบคุมขั้นพื้นฐานและความปลอดภัยระดับพื้นฐาน พวกเขาอาจมี "ผู้เชี่ยวชาญด้านไอที" ที่มีความรู้พื้นฐาน แต่ไม่มีความเชี่ยวชาญด้านเครือข่ายหรือความปลอดภัยอย่างจริงจัง โครงสร้างพื้นฐานของพวกเขาอาจขาดส่วนประกอบสำคัญบางอย่างที่จำเป็นสำหรับการติดตั้งใช้งาน SWG ที่ประสบความสำเร็จด้วยเช่นกัน ทีนี้ ลองเปรียบเทียบกับ EB การติดตั้งแอปพลิเคชันเบราว์เซอร์ใหม่ไปยังปลายทาง 100 เครื่องนั้นค่อนข้างง่าย และไม่เพียงแต่จะช่วยลดความจำเป็นในการติดตั้งใช้งาน SWG และ RBI เท่านั้น แต่ยังรวมถึงโซลูชัน Zero-Trust Network Access (ZTNA) หรือ " Private Access " ด้วย นี่เป็นทางเลือกที่ง่ายและมีประสิทธิภาพสำหรับ SWG และอาจรวมถึง RBI และ ZTNA ซึ่งอาจเป็นเหตุผลที่ทำให้ราคาสูงสำหรับฐานผู้ใช้ที่ค่อนข้างเล็กนั้นคุ้มค่า

ความเป็นจริงขององค์กรขนาดใหญ่

ทีนี้ลองพิจารณาจากมุมมองขององค์กรขนาดใหญ่ที่มีอุปกรณ์ปลายทางหลายแสนเครื่อง ทีมผู้เชี่ยวชาญด้านเครือข่าย ทีมผู้เชี่ยวชาญด้านความปลอดภัย และโครงสร้างพื้นฐานทั้งหมดที่เกี่ยวข้องกับองค์กรขนาดใหญ่ นี่จะเปลี่ยนทุกอย่างไปโดยสิ้นเชิง ก่อนอื่น สมมติว่าองค์กรดังกล่าวได้นำโซลูชัน EB มาใช้งานแล้ว การใช้งานกับอุปกรณ์ปลายทางหลายแสนเครื่องไม่ใช่เรื่องเล็ก และผู้ใช้หลายแสนคนจะต้องได้รับการฝึกอบรมเกี่ยวกับการใช้เบราว์เซอร์ใหม่นี้ อาจต้องมีมาตรการควบคุมเพิ่มเติมเพื่อป้องกันไม่ให้พวกเขาใช้เบราว์เซอร์ที่ไม่ใช่ขององค์กรสำหรับเว็บไซต์ที่จำเป็นต้องใช้การควบคุมของ EB

อีกสิ่งหนึ่งที่คุณอาจไม่ได้พิจารณาคือ องค์กรขนาดใหญ่มักจะใช้เบราว์เซอร์มาตรฐานเพียงเบราว์เซอร์เดียว เช่น Google Chrome และส่วนหนึ่งของกระบวนการจัดซื้อจัดจ้างคือการตรวจสอบให้แน่ใจว่าเครื่องมือทั้งหมดที่พวกเขาซื้อมานั้นรองรับเบราว์เซอร์ที่พวกเขาเลือก แล้วพวกเขาจะทำเช่นนั้นได้อย่างไรกับโซลูชัน EB ที่ไม่เป็นที่รู้จัก? Jira รองรับ EB ที่ฉันเลือกอย่างเป็นทางการหรือไม่? แล้วเครื่องมืออื่นๆ อีกหลายร้อยอย่างที่องค์กรของเราใช้ล่ะ? นี่กลายเป็นเรื่องที่เป็นไปไม่ได้อย่างรวดเร็ว ที่แย่กว่านั้นคือ องค์กรขนาดใหญ่ไม่สามารถเพิกเฉยต่อการรับส่งข้อมูล HTTP ที่ไม่ได้มาจากเบราว์เซอร์ เช่น คำขอจากไคลเอ็นต์แบบหนาอย่าง Microsoft Teams, Google Drive, Slack และอื่นๆ นั่นหมายความว่าแม้ว่าโซลูชัน EB จะสามารถแก้ปัญหาการใช้งานส่วนใหญ่ได้ แต่พวกเขาก็ไม่สามารถใช้มันแทน SWG ได้

เอาล่ะ ถ้าลูกค้ารายนี้เลือกใช้ RBI แทน EB เพื่อบรรลุกรณีการใช้งานของพวกเขาล่ะ? การปรับใช้จะง่ายกว่าอย่างแน่นอน เพราะ RBI เป็นเพียงฟีเจอร์หนึ่งของ SWG ที่พวกเขามีอยู่แล้ว หากคุณกำลังใช้โซลูชัน SWG ใดๆ ที่คุ้มค่า การปรับใช้ RBI ควรเป็นกระบวนการง่ายๆ แค่ซื้อใบอนุญาตและเปิดใช้งานฟีเจอร์นั้น ปลายทางของคุณกำลังส่งทราฟฟิกเว็บไปยัง SWG อยู่แล้ว ดังนั้นจึงไม่จำเป็นต้องไปยุ่งกับปลายทางนับพันของคุณ ผู้ใช้ของคุณไม่จำเป็นต้องมีความรู้มากนักสำหรับโซลูชัน RBI ของคุณ เพราะโดยทั่วไปแล้วโซลูชันเหล่านี้ได้รับการออกแบบมาให้มีความโปร่งใสต่อผู้ใช้ แม้ว่าคุณต้องการให้ผู้ใช้รู้ว่าเกิดอะไรขึ้น แต่โดยปกติแล้ว ก็มีตัวเลือกที่จะแสดงป๊อปอัปแบบกำหนดเองแก่ผู้ใช้เพื่ออธิบายว่าพวกเขากำลังใช้เซสชันที่แยกออกมาและอาจมีการควบคุมใดบ้าง หากโซลูชัน SWG ของคุณใช้ RBI บนคลาวด์ เช่นเดียวกับที่หลายๆ โซลูชันใช้ ก็ไม่จำเป็นต้องเปลี่ยนแปลงโครงสร้างพื้นฐานใดๆ เนื่องจาก RBI มักถูกใช้ในลักษณะเฉพาะเจาะจง คุณจึงไม่น่าจะนำ RBI ไปใช้กับแอปพลิเคชันที่เชื่อถือได้ซึ่งใช้งานโดยองค์กรของคุณ ซึ่งน่าจะช่วยลดความจำเป็นในการทดสอบเครื่องมือเหล่านี้ในโซลูชัน RBI ของคุณ

การป้องกันมัลแวร์แบบไร้กระสุน

อีกสิ่งหนึ่งที่ควรพิจารณาคือปัญหาเว็บไซต์ที่ไม่ได้จัดหมวดหมู่ ซึ่งเป็นปัญหาที่องค์กรขนาดใหญ่ส่วนใหญ่ต้องแก้ไข เบราว์เซอร์สำหรับองค์กร (Enterprise Browsers หรือ EB) นำมาซึ่งการปรับปรุงด้านความปลอดภัยบนเว็บโดยการค้นหาภัยคุกคามบนเว็บภายใน DOM ของเบราว์เซอร์เอง ซึ่งช่วยให้สามารถค้นหาภัยคุกคามที่ถูกซ่อนไว้หลังจากที่ถูกส่งมาและถอดรหัสภายใน DOM แล้ว สิ่งนี้ให้การป้องกันในระดับที่สูงขึ้นสำหรับเนื้อหาทั้งหมดที่โหลดใน EB อย่างแน่นอน อย่างไรก็ตาม RBI แยกปลายทางออกจากเนื้อหาเว็บไซต์ อย่างสมบูรณ์ มันไม่ใช่การป้องกันที่สูงขึ้น แต่มันคือ การป้องกันมัลแวร์ แบบไร้ช่องโหว่ แน่นอน ผู้ใช้ยังคงถูกหลอกได้ด้วยวิศวกรรมสังคม แต่สามารถแก้ไขได้โดยการให้คำแนะนำผู้ใช้ว่าหน้าเว็บนั้นมีความเสี่ยง ทำให้หน้าเว็บเป็นแบบอ่านอย่างเดียว ป้องกันการอัปโหลดหรือการเข้าสู่ระบบ และการควบคุมอื่นๆ ที่คล้ายกัน อย่างไรก็ตาม โดยพื้นฐานแล้วไม่มีทางที่ปลายทางจะถูกโจมตีด้วยมัลแวร์ผ่าน RBI ได้ สิ่งนี้ช่วยให้ลูกค้าสามารถอนุญาต แต่แยกเว็บไซต์ที่ไม่ได้จัดหมวดหมู่โดยไม่เพิ่มความเสี่ยงต่อการถูกโจมตี

ผู้รับเหมาและการเข้าถึงบุคคลที่สาม

ณ จุดนี้ คุณอาจคิดกับตัวเองว่า "คนนี้กำลังมองข้ามสถานการณ์ผู้รับเหมาบุคคลที่สาม" ซึ่งเป็นกรณีการใช้งานทั่วไปของ EB กรณีการใช้งานผู้รับเหมาบุคคลที่สามคือกรณีที่คุณอาจต้องการให้ผู้ใช้จากภายนอกบริษัทของคุณสามารถเข้าถึงแอปพลิเคชันภายในส่วนตัวของคุณจากอุปกรณ์ที่บริษัทของคุณไม่ได้จัดการ คุณต้องการมอบสิทธิ์การเข้าถึงนี้พร้อมกับสามารถรักษาความปลอดภัยข้อมูลของคุณและจำกัดการเข้าถึงของพวกเขาให้เฉพาะสิ่งที่พวกเขาต้องการ ใช่ นั่นเป็นข้อพิจารณาเพิ่มเติม แต่รูปแบบ EB เทียบกับ RBI ก็มีอยู่ในสถานการณ์นั้นเช่นกัน โซลูชัน ZTNA ที่มีคุณสมบัติครบครันส่วนใหญ่เช่นของเรานำเสนอการเข้าถึง "แบบไม่มีไคลเอ็นต์" สำหรับแอปพลิเคชันส่วนตัว และยังสามารถนำ RBI ไปใช้กับเซสชันแบบไม่มีไคลเอ็นต์เหล่านี้เพื่อส่งการควบคุมการเข้าถึงข้อมูลไปยังจุดสิ้นสุดที่ไม่ได้รับการจัดการได้เช่นกัน วิธีนี้ง่ายและราบรื่นกว่าการขอให้บุคคลที่สามติดตั้งแอปพลิเคชันหรือส่วนขยายเบราว์เซอร์เพิ่มเติมเพื่อเข้าถึงข้อมูล

การจำแนกประเภทและการรับรู้ข้อมูล

ข้อควรพิจารณาสุดท้ายคือการจำแนกประเภทและการรับรู้ข้อมูล โซลูชัน EB ยังคงเป็นเทคโนโลยีที่ค่อนข้างใหม่ และโดยทั่วไปแล้วผู้จำหน่ายยังไม่มีความสามารถในการจำแนกประเภทข้อมูลขั้นสูง ส่วนใหญ่ใช้วิธีการจำแนกประเภทข้อมูลแบบพื้นฐานที่อิงกับนิพจน์ทั่วไป อย่างไรก็ตาม ผู้จำหน่าย SSE ที่มีประสบการณ์ซึ่งนำเสนอ SWG และ RBI มักจะมีเทคโนโลยีที่แข็งแกร่งกว่ามาก เช่น การจับคู่ข้อมูลที่แน่นอน (EDM) , การจับคู่เอกสารแบบดัชนี (IDM) , การรู้จำอักขระด้วยแสง (OCR) , การจำแนกประเภทโดยใช้ AI และอื่นๆ

ลูกค้ามักลงทุนอย่างมากในกลไกการจำแนกประเภทเหล่านี้ และได้นำกระบวนการที่ครบวงจรเกี่ยวกับการจำแนกประเภทข้อมูลและการจัดการเหตุการณ์มาใช้ในโซลูชันเหล่านี้แล้ว การรับรู้ข้อมูลนี้มักมีอยู่ในเซสชันที่แยกต่างหาก ซึ่งเป็นเหตุผลว่าทำไมความสามารถ RBI ดั้งเดิมของโซลูชัน SSE ที่มีอยู่จึงอาจน่าสนใจกว่าโซลูชัน EB ที่แยกส่วนกัน

บทสรุป

สุดท้ายแล้ว การถูกบังคับให้มองเทคโนโลยีของเราผ่านมุมมองของลูกค้าก็เหมือนอย่างที่มักเกิดขึ้น ผมได้เรียนรู้สิ่งต่างๆ ที่ผมคงไม่มีโอกาสได้เรียนรู้มาก่อน Enterprise Browsers เป็นเทคโนโลยีที่ล้ำสมัยและมีแนวโน้มที่ดี และผมตื่นเต้นที่จะได้เห็นว่าเทคโนโลยีนี้จะพัฒนาไปในทิศทางใด อย่างไรก็ตาม สำหรับองค์กรขนาดใหญ่ ค่อนข้างชัดเจนว่า RBI มักจะเป็นตัวเลือกที่ดีกว่า อย่างน้อยก็ในตอนนี้ 

กลับไปที่บล็อก