เบราว์เซอร์สำหรับองค์กรเทียบกับ RBI: ข้อดี ข้อเสีย และตัวเลือกที่ดีที่สุดสำหรับองค์กร

โดย Tony Frum - วิศวกรผู้มีชื่อเสียง

วันที่ 11 กันยายน พ.ศ. 2568 8 อ่านนาที

สรุปสั้นๆ

I once believed Enterprise Browsers (EB) would revolutionize web security—quickly replacing Remote Browser Isolation (RBI), and possibly even Secure Web Gateways (SWG). After working with large enterprise customers and talking to analysts, I’ve changed my perspective. I still believe that EB may fill that role for small and medium businesses, but it may not fit as well in large enterprises.

คำมั่นสัญญาของ Enterprise Browser

I’ve had my eye on the Enterprise Browser (EB) market for a long time. Having worked with Secure Web Gateways (SWG) for the majority of my two decades in the security market, it’s impossible to ignore the novelty of the technology. If you’re not familiar, Enterprise Browsers generally come in two flavors – either browser extensions or entirely new browsers which are forks of the Chromium project. Both options aim to bring new security controls to the browsers in which users spend most of their workday. These controls can include secure remote access to internal applications, specialized anti-malware detection in the browser itself, encryption of locally stored browser data, and more. What intrigued me the most was the data security controls such as clipboard controls, data masking, watermarking pages, screenshot protection, and upload/download controls. In general, pushing controls down to the endpoint instead of trying to implement everything at the network level opens a lot of doors, so this is a powerful new tool in the web security world. If I’m being honest, I originally saw this as a direct threat to the SWG market as a whole.

Remote Browser Isolation

ปัจจุบัน ผู้ให้บริการ SWG ส่วนใหญ่เลือกใช้ Remote Browser Isolation (RBI) เพื่อควบคุมการใช้งานในเบราว์เซอร์เอง RBI ดังชื่อที่บ่งบอก คือการสร้างอินสแตนซ์ของเบราว์เซอร์ในสภาพแวดล้อมระยะไกลที่แยกจากกัน และโหลดหน้าเว็บที่ผู้ใช้ร้องขอ จากนั้น ผู้ใช้จะสามารถดูและโต้ตอบกับเบราว์เซอร์ได้จากระยะไกล แต่เนื้อหาในหน้าเว็บจะไม่ถูกโหลดลงบนเครื่องของผู้ใช้ เนื่องจากโซลูชัน RBI มีการใช้งานเบราว์เซอร์ของตัวเอง จึงสามารถรวมการควบคุมเข้ากับเซสชัน RBI ซึ่งส่วนใหญ่คล้ายกับสิ่งที่โซลูชัน EB กำลังทำอยู่ในปัจจุบัน วิธีนี้ช่วยลดช่องว่างในการควบคุมบนเครือข่าย เช่น เนื้อหาที่อ่านไม่ได้ เช่น แอปพลิเคชันที่ติดใบรับรอง เว็บซ็อกเก็ต การเข้ารหัสที่อ่านไม่ได้ การเข้ารหัสสองชั้น และเหตุการณ์ที่เกิดขึ้นเฉพาะในเครื่อง เช่น การคัดลอกและวางโดยใช้คลิปบอร์ดในเครื่อง

 

มุมมองที่ไม่คาดคิดจากนักวิเคราะห์

ความสนใจของผมใน EB ผลักดันให้ผมได้นั่งคุยกับใครบางคนจากบริษัทวิเคราะห์ที่เราร่วมงานด้วย เพื่อสอบถามความคิดเห็นเกี่ยวกับเทคโนโลยีใหม่นี้และผู้จำหน่ายบางรายในตลาด ระหว่างการสนทนานี้ เขาได้พูดสองสิ่งที่ทำให้ผมประหลาดใจมาก อย่างแรก เขาบอกว่า EB เป็น "เกม SMB" ที่เหมาะกับธุรกิจขนาดกลางและขนาดย่อมมากกว่าองค์กรขนาดใหญ่ ผมทำงานเกือบทั้งหมดกับองค์กรขนาดใหญ่ และผมคิดในแง่ดีเกี่ยวกับสิ่งที่เป็นไปได้ในบริบทนั้น ดังนั้นเรื่องนี้จึงค่อนข้างน่าตกใจสำหรับผม ขณะที่เขาเริ่มอธิบายประเด็นนี้ เขาได้พูดถึงอีกสิ่งหนึ่งที่ทำให้ผมประหลาดใจ นั่นคือราคา เห็นได้ชัดว่าการซื้อ EB โดยเฉลี่ยนั้นมีค่าใช้จ่ายสูงกว่าโซลูชัน RBI เสียอีกเมื่อคิดตามจำนวนที่นั่ง ซึ่งผมมองว่าเป็นไปไม่ได้ เพราะการนำเสนอโซลูชัน RBI บนคลาวด์นั้นมาพร้อมกับต้นทุนโครงสร้างพื้นฐานที่สำคัญในการรันอินสแตนซ์ของเบราว์เซอร์ทั้งหมด และต้นทุนการขนส่งในการส่งทราฟฟิกผ่านศูนย์ข้อมูลบนคลาวด์ ในทางกลับกัน EB ทำทุกอย่างภายในเครื่องบนจุดปลายทางของผู้ใช้ ซึ่งมีค่าใช้จ่ายในการดำเนินงานที่แทบจะเป็นศูนย์สำหรับผู้จำหน่าย แม้จะพยายามแค่ไหน นักวิเคราะห์ก็ไม่สามารถอธิบายสิ่งเหล่านี้ให้เข้าใจได้ ฉันออกจากการสนทนาโดยคิดว่าเขาคงเข้าใจผิด

ปัญหาของลูกค้าในโลกแห่งความเป็นจริง

เวลาผ่านไปประมาณหนึ่งปี ผมได้รับเชิญให้พบกับลูกค้ารายใหญ่รายหนึ่งของเรา ซึ่งใช้โซลูชัน SWG ของเรามานานหลายปี พวกเขากำลังพิจารณาลงทุนเพิ่ม RBI ให้กับระบบ SWG หรือซื้อโซลูชัน EB แม้ว่านักวิเคราะห์จะเคยบอกผมไว้หลายเดือนก่อนหน้านี้ แต่ผมก็ยังไม่แน่ใจว่าโซลูชัน RBI ของเราจะเป็นตัวเลือกที่ดีกว่า ผมได้พูดคุยกับลูกค้าเบื้องต้นเพื่อชี้แจงกรณีการใช้งานและความต้องการของพวกเขา และไม่มีอะไรแปลกใหม่หรือน่าประหลาดใจเป็นพิเศษ พวกเขาต้องการความสามารถในการให้สิทธิ์การเข้าถึงแอปพลิเคชัน "shadow IT" พร้อมกับการควบคุมข้อมูลด้วยการใช้ตัวควบคุมการอัปโหลด/ดาวน์โหลด ตัวควบคุมคลิปบอร์ด การทำให้หน้าเว็บเป็นแบบอ่านอย่างเดียว และตัวควบคุมอื่นๆ ที่ซับซ้อน

กรณีการใช้งานหลักอีกกรณีหนึ่งที่ลูกค้ารายนี้พบ ซึ่งพบได้บ่อยมาก คือการจัดการกับเว็บไซต์ที่ไม่ได้จัดหมวดหมู่ องค์กรทุกแห่งต้องเผชิญกับปัญหาจุกจิกแบบเดิมๆ นี้ นั่นคือการตัดสินใจว่าจะจัดการกับเว็บไซต์ที่ไม่ได้จัดหมวดหมู่อย่างไร หากคุณบล็อกเว็บไซต์เหล่านี้ คุณจะต้องเผชิญกับปัญหาจากฝ่ายช่วยเหลือลูกค้าเพิ่มขึ้น เนื่องจากไม่มีการจัดหมวดหมู่ของผู้ให้บริการรายใดที่สมบูรณ์แบบ ดังนั้นคุณจึงหลีกเลี่ยงไม่ได้ที่จะบล็อกเว็บไซต์ที่ถูกต้องตามกฎหมายบางเว็บไซต์ ในทางกลับกัน หากคุณอนุญาตให้เว็บไซต์เหล่านี้เข้าถึง คุณก็กำลังเปิดช่องให้ตัวเองเผชิญกับความเสี่ยงอย่างมาก เพราะภัยคุกคามส่วนใหญ่มักมาจากเว็บไซต์ที่ไม่ได้จัดหมวดหมู่ บริษัทต่างๆ มักต้องการวิธีที่จะอนุญาตให้เว็บไซต์ที่ไม่ได้จัดหมวดหมู่เข้าถึงได้ พร้อมกับการรักษาความปลอดภัย ซึ่งนั่นคือสิ่งที่ลูกค้ารายนี้ต้องการ

ตลอดระยะเวลาที่ผมทำงานกับลูกค้าองค์กรขนาดใหญ่รายนี้ ผมถูกบังคับให้ชั่งน้ำหนักข้อดีข้อเสียของเทคโนโลยีทั้งสองนี้จากมุมมองของมัน ในทางกลับกัน จากความคิดเห็นของนักวิเคราะห์ ผมจึงพิจารณาสิ่งต่างๆ จากมุมมองของธุรกิจขนาดเล็กอยู่เสมอ สุดท้ายผมก็ตระหนักได้ว่าผมคิดผิด และนักวิเคราะห์ก็พูดถูกอย่างแน่นอน!

มุมมองของธุรกิจขนาดเล็ก

Put yourself in the shoes of a small business of 50-100 employees and consider the challenge of deploying a SWG solution. Such an organization is most likely looking for some very basic controls and a basic level of security. They may have an “IT guy” with some basic knowledge but no serious networking or security expertise. Their infrastructure may lack some key components that are necessary for a successful SWG deployment as well. Now, contrast that with EB. It would be pretty straightforward to push out a new browser app to 100 endpoints, and it could not only eliminate your need to deploy SWG and RBI but also a Zero-Trust Network Access (ZTNA), or “Private Access”, solution. This represents a simple, effective alternative to SWG and, possibly, RBI and ZTNA which might justify such a high price point for a relatively small user base.

ความเป็นจริงขององค์กรขนาดใหญ่

Now consider this from the perspective of an enterprise with hundreds of thousands of endpoints, a team of networking experts, a team of security experts, and all the infrastructure that goes along with being a huge enterprise. This changes things entirely. First, let’s assume that such an organization did deploy an EB solution. Deploying to, potentially, hundreds of thousands of endpoints is no small task and hundreds of thousands of users would have to be educated to use this new browser. Additional controls may also have to be in place to prevent them from using non-enterprise browsers for sites where EB controls need to be applied.

Another thing you might not consider is that large enterprises tend to standardize on a single browser such as Google Chrome, and part of their procurement process is to ensure that all the tools they acquire support their chosen browser. How are they to do this with an obscure EB solution? Does Jira officially support my EB of choice? What about the hundreds of other tools our organization uses? This quickly becomes untenable. What’s worse,a large enterprise can’t simply ignore non-browser based HTTP traffic such as requests from a thick client like Microsoft Teams, Google Drive, Slack, and others. This means that even if the EB solution did solve a lot of their use cases, they cannot use it as a SWG replacement.

เอาล่ะ ถ้าลูกค้ารายนี้เลือกใช้ RBI แทน EB เพื่อบรรลุกรณีการใช้งานของพวกเขาล่ะ? การปรับใช้จะง่ายกว่าอย่างแน่นอน เพราะ RBI เป็นเพียงฟีเจอร์หนึ่งของ SWG ที่พวกเขามีอยู่แล้ว หากคุณกำลังใช้โซลูชัน SWG ใดๆ ที่คุ้มค่า การปรับใช้ RBI ควรเป็นกระบวนการง่ายๆ แค่ซื้อใบอนุญาตและเปิดใช้งานฟีเจอร์นั้น ปลายทางของคุณกำลังส่งทราฟฟิกเว็บไปยัง SWG อยู่แล้ว ดังนั้นจึงไม่จำเป็นต้องไปยุ่งกับปลายทางนับพันของคุณ ผู้ใช้ของคุณไม่จำเป็นต้องมีความรู้มากนักสำหรับโซลูชัน RBI ของคุณ เพราะโดยทั่วไปแล้วโซลูชันเหล่านี้ได้รับการออกแบบมาให้มีความโปร่งใสต่อผู้ใช้ แม้ว่าคุณต้องการให้ผู้ใช้รู้ว่าเกิดอะไรขึ้น แต่โดยปกติแล้ว ก็มีตัวเลือกที่จะแสดงป๊อปอัปแบบกำหนดเองแก่ผู้ใช้เพื่ออธิบายว่าพวกเขากำลังใช้เซสชันที่แยกออกมาและอาจมีการควบคุมใดบ้าง หากโซลูชัน SWG ของคุณใช้ RBI บนคลาวด์ เช่นเดียวกับที่หลายๆ โซลูชันใช้ ก็ไม่จำเป็นต้องเปลี่ยนแปลงโครงสร้างพื้นฐานใดๆ เนื่องจาก RBI มักถูกใช้ในลักษณะเฉพาะเจาะจง คุณจึงไม่น่าจะนำ RBI ไปใช้กับแอปพลิเคชันที่เชื่อถือได้ซึ่งใช้งานโดยองค์กรของคุณ ซึ่งน่าจะช่วยลดความจำเป็นในการทดสอบเครื่องมือเหล่านี้ในโซลูชัน RBI ของคุณ

การป้องกันมัลแวร์แบบไร้กระสุน

One last thing to consider is the catch-22 uncategorized website problem that most large enterprises need to solve. Enterprise Browsers bring improvements to web security by looking for web threats within the browser DOM itself. This allows them to find obfuscated threats after they’ve been delivered and deobfuscated within the DOM. This definitely provides an elevated level of protection for all content loaded in the EB. However, RBI fully isolates the endpoint from the website content. It’s not elevated protection. It’s basically bulletproof protection against malware. Sure, the user can still be tricked by social engineering, but that can be addressed by coaching the user that a page is risky, making the page read-only, preventing uploads or logins, and other similar controls. However, there’s basically no way the endpoint can be compromised by malware via RBI. This empowers customers to allow, but isolate, uncategorized websites without increasing their risk of compromise.

ผู้รับเหมาและการเข้าถึงบุคคลที่สาม

ณ จุดนี้ คุณอาจคิดกับตัวเองว่า "คนนี้กำลังมองข้ามสถานการณ์ผู้รับเหมาบุคคลที่สาม" ซึ่งเป็นกรณีการใช้งานทั่วไปของ EB กรณีการใช้งานผู้รับเหมาบุคคลที่สามคือกรณีที่คุณอาจต้องการให้ผู้ใช้จากภายนอกบริษัทของคุณสามารถเข้าถึงแอปพลิเคชันภายในส่วนตัวของคุณจากอุปกรณ์ที่บริษัทของคุณไม่ได้จัดการ คุณต้องการมอบสิทธิ์การเข้าถึงนี้พร้อมกับสามารถรักษาความปลอดภัยข้อมูลของคุณและจำกัดการเข้าถึงของพวกเขาให้เฉพาะสิ่งที่พวกเขาต้องการ ใช่ นั่นเป็นข้อพิจารณาเพิ่มเติม แต่รูปแบบ EB เทียบกับ RBI ก็มีอยู่ในสถานการณ์นั้นเช่นกัน โซลูชัน ZTNA ที่มีคุณสมบัติครบครันส่วนใหญ่เช่นของเรานำเสนอการเข้าถึง "แบบไม่มีไคลเอ็นต์" สำหรับแอปพลิเคชันส่วนตัว และยังสามารถนำ RBI ไปใช้กับเซสชันแบบไม่มีไคลเอ็นต์เหล่านี้เพื่อส่งการควบคุมการเข้าถึงข้อมูลไปยังจุดสิ้นสุดที่ไม่ได้รับการจัดการได้เช่นกัน วิธีนี้ง่ายและราบรื่นกว่าการขอให้บุคคลที่สามติดตั้งแอปพลิเคชันหรือส่วนขยายเบราว์เซอร์เพิ่มเติมเพื่อเข้าถึงข้อมูล

การจำแนกประเภทและการรับรู้ข้อมูล

ข้อควรพิจารณาสุดท้ายคือการจำแนกประเภทและการรับรู้ข้อมูล โซลูชัน EB ยังคงเป็นเทคโนโลยีที่ค่อนข้างใหม่ และโดยทั่วไปแล้วผู้จำหน่ายยังไม่มีความสามารถในการจำแนกประเภทข้อมูลขั้นสูง ส่วนใหญ่ใช้วิธีการจำแนกประเภทข้อมูลแบบพื้นฐานที่อิงกับนิพจน์ทั่วไป อย่างไรก็ตาม ผู้จำหน่าย SSE ที่มีประสบการณ์ซึ่งนำเสนอ SWG และ RBI มักจะมีเทคโนโลยีที่แข็งแกร่งกว่ามาก เช่น การจับคู่ข้อมูลที่แน่นอน (EDM) , การจับคู่เอกสารแบบดัชนี (IDM) , การรู้จำอักขระด้วยแสง (OCR) , การจำแนกประเภทโดยใช้ AI และอื่นๆ

Customers tend to be heavily invested in these classification mechanisms and have already implemented mature processes around data classification and incident management in these solutions.  This data awareness is often available within isolated sessions which is why the native RBI capability of an incumbent SSE solution might be more attractive than a disjoint EB solution.

บทสรุป

สุดท้ายแล้ว การถูกบังคับให้มองเทคโนโลยีของเราผ่านมุมมองของลูกค้าก็เหมือนอย่างที่มักเกิดขึ้น ผมได้เรียนรู้สิ่งต่างๆ ที่ผมคงไม่มีโอกาสได้เรียนรู้มาก่อน Enterprise Browsers เป็นเทคโนโลยีที่ล้ำสมัยและมีแนวโน้มที่ดี และผมตื่นเต้นที่จะได้เห็นว่าเทคโนโลยีนี้จะพัฒนาไปในทิศทางใด อย่างไรก็ตาม สำหรับองค์กรขนาดใหญ่ ค่อนข้างชัดเจนว่า RBI มักจะเป็นตัวเลือกที่ดีกว่า อย่างน้อยก็ในตอนนี้ 

กลับไปที่บล็อก