Корпоративные браузеры в России: управляемость, безопасность, простота развертывания

Браузеры являются тем ПО, в котором пользователи, включая корпоративных, проводят больше всего времени. Однако стандартные версии не в полной мере отвечают корпоративным требованиям по массовой установке и обновлению, безопасности, а также возможностям для мониторинга и управления. Поэтому и выпускают специализированные версии таких продуктов. Наш обзор посвящен тем, которые доступны для российских пользователей.

 

 

 

 

1. Введение
2. Chromium-Gost
3. Google Chrome Enterprise
4. Honeywell Enterprise Browser
5. RhoBrowser
6. Zebra Enterprise Browser
7. Microsoft Edge для бизнеса
8. «Яндекс Браузер» для организаций
9. Выводы

Введение

Как показало исследование Forrester Research, именно в браузерах корпоративные пользователи проводят две трети рабочего времени, и этот уровень только растёт. В веб уже давно переместились очень многие приложения, включая планировщики задач, различные инструменты групповой работы, средства видео-конференц-связи, не говоря уже о корпоративных портальных системах. 

Браузер стал точкой входа для облачных сервисов, особенно работающих по модели SaaS (ПО как услуга). Многие из разработчиков SaaS просто отказались от разработки клиентских приложений. Это в равной степени касается как публичных облаков, так и частных. Нередко в веб мигрируют электронная почта или офисные редакторы, особенно в небольших компаниях. У сервисов Google, Zoho, отечественных VK и «Яндекса» уже сложилась устойчивая клиентская база, которая имеет явную тенденцию к росту.

Для работы в корпоративной среде давно существуют специализированные версии браузеров. Они отличаются от массовых прежде всего наличием инструментария по облегчению установки на большое количество рабочих мест. 

Кроме того, в базовой поставке корпоративные продукты включают в себя многие десятки политик для управления и контроля. При необходимости это количество может быть дополнено и расширено. Их можно создавать и своими силами, чем, к слову, пользуются и злоумышленники, применяющие данное средство в некоторых сценариях атак. 

Наконец, следует упомянуть повышенный уровень безопасности. В корпоративных продуктах отключены если не все, то многие средства слежения и сбора данных. Также в них усилена защита от фишинга. В российских продуктах разработчики включают поддержку электронной подписи и шифрования, в том числе в базовой поставке. Ряд продуктов имеет функции по элементарной защите от утечек данных (DLP).

Новой тенденцией стало оснащение корпоративных браузеров ассистентами, использующими искусственный интеллект (ИИ). Их функции по реферированию и упрощению многих рутинных операций реально полезны и востребованны. Таких продуктов пока не слишком много, но их число будет расти по мере появления у разработчиков отлаженных LLM-ядер.

Отдельный пласт составляют браузеры для сугубо профессиональных устройств — разного рода терминалов, сканеров RFID-меток и штрих-кодов. Это не просто инструменты для просмотра контента, а целые среды для работы с корпоративными веб-приложениями, тесно интегрированными с ПО для обработки производственных и бизнес-процессов.

В наш обзор мы включили корпоративные браузеры как от российских разработчиков, так и от зарубежных. Единственное условие — возможность легального приобретения в России и наличие обновлений в течение последнего календарного года.

Chromium-Gost

Этот продукт отличается от основной ветки Chromium поддержкой российских криптоалгоритмов (рис. 1). Вместо применяемой в Chromium библиотеки BoringSSL, которая не поддерживает отечественные криптоалгоритмы, Chromium-Gost использует «msspi». В остальном никаких отличий нет.

 

Рисунок 1. Настройка протокола шифрования в Chromium-Gost

 

Криптомодуль позаимствовали у «КриптоПро», поэтому рекомендуется применять Chromium-Gost в паре с «КриптоПро CSP». Однако компания «КриптоПро» никакого отношения к продукту не имеет, хотя и признаёт факт участия сотрудников в разработке.

Стоит иметь в виду, что Chromium-Gost, как и сам Chromium, не содержит многих проприетарных кодеков, что может создавать серьёзные проблемы, например, при использовании облачных сервисов видео-конференц-связи. Это касается всех поддерживаемых программных платформ в равной степени.

С другой стороны, в Chromium не встроены многие механизмы интеграции с сервисами от Google, что сближает его с корпоративными версиями браузеров. Вместе с тем, используются лишь базовые средства защиты от фишинга с невысокой эффективностью.

Системные требования совпадают с теми, что предъявляет основная ветка Chromium. На сайте проекта даже можно найти версии для устаревших выпусков Windows, включая XP, и старых macOS, однако они базируются на неактуальных сборках Chromium и их использование может быть опасно из-за наличия незакрытых уязвимостей.

Chromium-Gost входит в поставки всех сертифицированных дистрибутивов от российских разработчиков, где является основным браузером. 

Преимущества:

• Поддержка большого количества программных и аппаратных платформ, в том числе отечественных.
• Открытый исходный код.

Google Chrome Enterprise

Корпоративная версия Chrome (рис. 2) отличается от основной инструментарием для установки на большое количество рабочих мест, средствами централизованного контроля и управления на основе политик, расширенными функциями безопасности. Однако не поддерживается установка на Linux-системы, тогда как базовый Chrome в них работает. 

Несмотря на уход Google с российского рынка, продукт можно загрузить из России без каких-либо ухищрений. Никаких проблем у российских пользователей Chrome Enterprise также пока не возникало.

 

Рисунок 2. Окно Google Chrome Enterprise

 

В корпоративной версии Chrome Google предлагает более 100 политик для централизованного управления и контроля. Также администраторы могут обновлять браузер в ручном режиме, пропуская те или иные сборки, игнорируя автообновления от Google. Есть возможность запуска корпоративного магазина дополнений внутри сетевого периметра компании.

В Chrome Enterprise изначально полностью отключена функция межсайтового скриптинга. Есть опция безопасного просмотра с полным отключением всех средств сбора данных, включая идентификационные файлы (cookie). Более оперативно, чем в базовой версии, обновляются базы фишинговых страниц. В результате, по данным независимых экспертов, антифишинговые механизмы корпоративной версии Chrome блокируют больше половины массовых атак.

Google также оказывает услуги по коммерческой технической поддержке Chrome Enterprise стоимостью в 50 долларов США за рабочее место в год. Однако в России после 2022 года они не предоставляются.

Преимущества:

• С точки зрения пользователей почти не отличается от Chrome.
• Широкий выбор инструментов для администраторов.
• Повышенный уровень безопасности по сравнению с базовой версией.

Honeywell Enterprise Browser

Этот продукт представляет собой не просто браузер, функции которого ограничены просмотром контента, а среду для запуска веб-приложений, в том числе на мобильных устройствах, прежде всего промышленных терминалах сбора данных (рис. 3).  Адаптирован под специфику устройств от Honeywell.

 

Рисунок 3. Мобильный терминал с Honeywell Enterprise Browser

 

Как и аналоги от других вендоров промышленных терминалов сбора данных, базируется на платформе RhoMobile. Отличительной чертой является изоляция каждого соединения в виде отдельного процесса, что повышает безопасность использования и резко снижает вредоносность ошибок персонала. Есть средства, которые предотвращают нецелевое использование устройств; эта функция позволяет резко снизить вероятность кражи терминала, так как он совершенно бесполезен в быту.

Среда позволяет легко интегрировать мобильные терминалы в любую современную систему управления производством различных классов, от MES до ERP всех вендоров. Для этого предоставлен большой набор API.

Составной частью решения является единый центр управления устройствами. Для его развёртывания можно использовать персональный компьютер с Windows 10 или 11. В качестве клиентов подойдут мобильные устройства на Android.

Несмотря на уход Honeywell с российского рынка, обновления ПО и техническая поддержка по-прежнему продолжают предоставляться рядом компаний.

Достоинства:

• Хорошо учитывает специфику промышленных устройств.
• Взаимодействие с практически любой управленческой системой.
• Предотвращение нецелевого использования.
• Наличие средств централизованного управления.

RhoBrowser

Отечественная разработка компании «Тау Технологии» на базе платформы RhoMobile. К слову, «Тау Технологии» основали российские разработчики, которые участвовали в создании RhoMobile. Является полным функциональным аналогом продуктов от Honeywell, Zebra и других зарубежных вендоров промышленных мобильных устройств. Также известен как «Тау Браузер».

 

Рисунок 4. Промышленное мобильное устройство с установленным RhoBrowser

 

В отличие от большинства зарубежных аналогов, в том числе продуктов от Honeywell или Zebra, может устанавливаться на устройства от разных производителей, как массовые, так и профессиональные. При этом миграция на российский продукт, как показал опыт внедрений, например, в группе «Черкизово», не требует замены как клиентских устройств, так и серверных компонентов. Не понадобилось и переобучение конечных пользователей.

RhoBrowser поддерживает множество мобильных и настольных платформ, в том числе признанных устаревшими. Так, клиентская часть будет работать на терминалах с Windows CE / Windows Mobile, выпущенных в 2000-е годы. Гарантируется также поддержка отечественной ОС «Аврора». Наличие режима киоска с функцией удалённого администрирования позволяет обойтись без развёртывания среды управления устройствами. 

Вместе с тем, несмотря на отечественное происхождение, продукт пока не входит в реестр российского ПО.

Достоинства:

• Бесшовная замена ПО на унаследованных терминалах.
• Не требуется переобучение персонала в ходе проектов по внедрению.
• Поддержка широкого спектра настольных и мобильных платформ, в том числе отечественных и унаследованных.

Zebra Enterprise Browser

Является полным функциональным аналогом Honeywell Enterprise Browser, но адаптирован под устройства Zebra (рис. 5). Номенклатура устройств у этого производителя, который является подразделением Motorola, существенно обширнее, чем у Honeywell, и включает в себя также разного рода сканеры и принтеры, которые применяются не только в промышленности, но и в логистике и розничной торговле. Базируется на технологической платформе RhoMobile, одним из разработчиков которой является Motorola. 

 

Рисунок 5. Внешний вид Zebra Enterprise Browser на мобильном устройстве

 

Является частью комплексного решения Zebra Mobility DNA. Помимо корпоративного браузера там есть ещё более десятка компонентов, направленных на интеграцию, обеспечение безопасности, управление и оптимизацию мобильной инфраструктуры.

В остальном функциональность и системные требования у браузеров от Zebra и Honeywell практически идентичны. Однако обновления от Zebra получить в России сложнее.

Достоинства:

• Хорошо учитывает специфику устройств от вендора.
• Часть комплексного решения, которое решает практически все задачи, связанные с управлением инфраструктурой промышленных мобильных устройств на всём протяжении их жизненного цикла.

Microsoft Edge для бизнеса

Является корпоративной версией браузера от Microsoft. Системные требования не отличаются от базового Edge. Поддерживает и Linux. Установка на отечественные системы также возможна, некоторое исключение могут составить разве что «Альт» и РОСА из-за особенностей их пакетных менеджеров. Однако эту сложность при желании можно обойти.

 

Рисунок 6. Внешний вид Microsoft Edge для бизнеса

 

Версия Edge автоматически повышается до корпоративной при переходе на более специализированную версию Windows (все серверные, Professional, корпоративные), а также при установке некоторых редакций Microsoft Office.

«Edge для бизнеса» отличается от Edge наличием инструментов для установки на большое количество рабочих мест, механизмов управления и контроля на основе политик, усиленных средств безопасности. Microsoft делает упор на то, что количество политик «из коробки» у бизнес-версии Edge больше, чем у Chrome Enterprise. Однако в полной мере данным преимуществом могут воспользоваться только те компании, чья инфраструктура базируется на решениях Microsoft. В Linux и на macOS управление на основе политик реализовано непоследовательно — из-за того, что для этих ОС реализация службы каталогов Active Directory менее функциональна.

Кроме того, в среде Windows «Edge для бизнеса» может эмулировать Internet Explorer. Это бывает нужно для работы с не самыми новыми сервисами для корпоративных интрасетей и портальными решениями, как от Microsoft (SharePoint, бизнес-приложения из линейки Dynamics, некоторые версии Exchange), так и других вендоров, например SAP.

Также пользователи корпоративной версии могут пользоваться ИИ-ассистентом Copilot без дополнительной оплаты — правда, при выполнении ряда условий (например, наличия Office последних версий или оплаченных подписок на ряд сервисов Microsoft). Это касается уже всех платформ, где может работать «Edge для бизнеса», включая macOS и Linux. Пользователям базового Edge для этого придётся расставаться как минимум с 12 долларами ежемесячно. 

Одной из функций Copilot является также защита корпоративных данных от утечек. Работают и стандартные функции по реферированию и переписыванию текста, интеллектуальному поиску. Доступ к Copilot в России ограничен, но эти препятствия легко обойти с помощью регистрации в другой стране, например в зарубежном филиале. Данные на русском языке Copilot также обрабатывает, хотя и несколько хуже, чем англоязычные.

Возможно приобретение дополнительной платной технической поддержки. Однако после ухода Microsoft из России получение таких услуг невозможно, по крайней мере напрямую. Да и стоимость таких услуг на порядок выше, чем у Google.

Достоинства:

• Поддержка совместимости с Internet Explorer.
• Тесная интеграция в инфраструктуру Microsoft.
• Наличие ИИ-ассистента с полезными функциями.
• Поддержка большого количества программных и аппаратных платформ.

«Яндекс Браузер» для организаций

Отличия данной версии от базовой в целом те же, что и у корпоративных редакций Chrome или Edge: наличие средств массовой установки в корпоративных инфраструктурах и политик для управления и контроля. «Яндекс Браузер для организаций» также включает в себя инструменты с использованием искусственного интеллекта на базе фирменной технологии YandexGPT (рис. 7), ориентированные на поиск и обработку информации на русском языке.

 

Рисунок 7. Интерфейс «Яндекс Браузера»

 

«Яндекс Браузер для организаций» поддерживает широкий спектр настольных операционных систем, включая Windows 7 и 8.x, а также macOS 10.7–11. Продукт от «Яндекса» официально совместим с AlterOS, Astra Linux, РЕД ОС и всем семейством «Альт», однако по факту этот список существенно шире. Поддерживаются и мобильные платформы iOS и Android. Также это — единственный продукт, который вошёл в реестр российского ПО от Минцифры.

«Из коробки» есть российские TLS-сертификаты. Кроме того, в продукт включена поддержка электронной подписи. Заявлена интеграция отечественных криптосредств от всех представленных на рынке вендоров.

Имеет две версии: базовую, бесплатную, и расширенную, стоимость подписки на которую составляет 2 тыс. рублей за рабочее место в год, хотя при первоначальном анонсе была заявлена стоимость в 1500 рублей. Расширенная версия отличается от базовой прежде всего приоритетной технической поддержкой. «Яндекс» гарантирует ответ в течение часа и возможность организации групповых звонков с разработчиками; также вендор выделяет персонального менеджера. Возможна совместная работа базовой и расширенной версий браузера в одной компании. 

В расширенной версии до 400 увеличен набор политик управления безопасностью, которые пользователи получают вместе с дистрибутивом. Кроме того, предусмотрены блокировка отправки статистики и возможность работы в закрытом контуре корпоративной сети. Также расширенная версия может эмулировать Internet Explorer, в том числе на macOS и Linux — с использованием технологий виртуализации и контейнеризации.

Есть режим дистанционного управления. При этом воспользоваться им могут также пользователи отечественных операционных систем с помощью ALD Pro или РЕД АДМ.

Преимущества:

• Продукт входит в реестр Минцифры.
• Поддержка широкого спектра платформ, включая устаревшие и российские.
• Поддержка российских TLS-сертификатов, электронной подписи и криптосредств.
• Наличие режима совместимости с Internet Explorer (не только в Windows).
• Возможность приобретения программ расширенной технической поддержки.

Таблица 1. Ключевые особенности корпоративных браузеров

* Возможно при приобретении в составе комплексного решения, например дистрибутива ОС

 

Выводы

На российском рынке есть более чем конкурентоспособные корпоративные браузеры. Это относится как к решениям для обычных офисов, так и к продуктам для промышленного применения. 

Несмотря на то что браузеры являются крайне востребованным классом ПО, выбор отечественных корпоративных продуктов здесь не слишком богат. В реестр российского ПО попал и вовсе один только «Яндекс Браузер для организаций». С другой стороны, пока нет проблемы высокой вариативности, характерной для других сегментов ИТ и ИБ-рынка, где она усложняет выбор.