Hvad er Island Enterprise Network? Hvordan fungerer browser-first SASE

Island Enterprise Network er Islands SASE-arkitektur, der flytter håndhævelse fra netværksproxylaget til browseren og slutpunktet, så det meste trafik når sin destination direkte uden at blive dirigeret gennem et fjerntliggende cloud-inspektionspunkt. Den leverer ZTNA, SWG, CASB, DLP, RBI og DEX fra en enkelt policy-motor, der håndhæves i interaktionsøjeblikket. De fleste sessioner går direkte. Inspektion sker kun, når det reelt tilføjer værdi.

Hvad er Island Enterprise Network, og hvordan adskiller det sig fra traditionel SASE?

Island Enterprise Network er netværks- og tilslutningskomponenten i Islands Enterprise Platform, der blev lanceret i marts 2026. Den tilbyder en komplet SASE-stak (Secure Access Service Edge), inklusive privat adgang, sikker webgateway, forebyggelse af datatab, sikkerhedsmægler til cloudadgang, fjernbrowserisolering og overvågning af digitale oplevelser, alt sammen administreret fra en enkelt politikmotor.

Den vigtigste arkitektoniske forskel fra traditionel SASE er, hvor håndhævelsen finder sted. Ældre SASE-produkter fra leverandører som Zscaler, Netskope og Palo Alto Prisma dirigerer al trafik gennem cloudbaserede proxy-noder, dekrypterer og inspicerer den der, og videresender den derefter til dens destination. Island Enterprise Network gør det modsatte: det håndhæver politikker i browseren og på enhedsniveau, før data forlader sessionen. Netværkslaget bruges selektivt, kun når routing eller inspektion tilføjer værdi, som lokal håndhævelse ikke kan levere.

Island kalder dette arkitekturen "Perfect Packet". For de fleste sessioner er der ingen proxy-omvej. Trafikken går direkte. Sikkerheden følger brugeren, ikke gennem et centraliseret chokepoint.

Hvorfor fejler SASE-backhauling i moderne virksomheder?

Proxy-first SASE blev designet til en tid, hvor virksomhedsapps lå i datacentre, og det meste virksomhedstrafik kørte over HTTP. Den model krævede, at alt skulle dirigeres gennem et centralt inspektionspunkt, fordi der ikke var andre steder at håndhæve politikken. Arkitekturen gav mening i 2010. Den matcher ikke længere, hvordan arbejdet rent faktisk bevæger sig.

Tre specifikke fejl definerer kløften i dag.

For det første bryder moderne kryptering proxy-inspektion. Størstedelen af ​​webtrafikken kører nu over TLS 1.3, og HTTP/2, HTTP/3 og QUIC er standard i alle større browsere. Certifikatfastlåsning forhindrer dekryptering for en voksende liste af applikationer. Post-kvantekryptografiske implementeringer er allerede implementeret i Chrome og Firefox. Disse protokoller er strukturelt inkompatible med ældre break-and-inspect-arkitekturer. Når en proxy ikke kan dekryptere trafik, fritager den den fra inspektion. Enhver undtagelse er en session uden for sikkerhedsperimeteren.

For det andet er det latenstid og friktion, der driver løsninger. Når håndhævelse afhænger af at route hver session gennem en fjern cloud-node, mærker brugerne det. CRM-sessioner halter. Videoopkald hakker. SaaS-arbejdsgange afbrydes, når proxy-inspektion forstyrrer moderne applikationers adfærd. Brugere finder måder at omgå friktionen på. Disse løsninger udvider angrebsfladen.

Tallene bekræfter forskellen. Ifølge LayerX's Browsersikkerhedsrapport 202577 % af virksomhedsmedarbejdere indsætter data i GenAI-prompter, og 82 % af denne aktivitet sker via personlige, ikke-administrerede konti. Intet af det går gennem en virksomhedsproxy. Intet af det er synligt for Zscaler, Netskope eller andre inspektionsværktøjer på netværkslaget.

På tværs af al virksomhedsbrowseraktivitet har organisationer ingen indsigt i 89 % af AI-brugen i organisationen, fordi 67 % af medarbejderne tilgår GenAI-værktøjer via personlige konti, og yderligere 21 % bruger virksomhedskonti uden SSO. Proxyen ser slet ikke sessionen.

For det tredje gjorde AI det umuligt at ignorere hullet i synligheden. En bruger indsætter interne data i en ChatGPT-prompt. En AI-agent kalder et eksternt værktøj via MCP. Genereret output flyttes til et kodelager. Intet af dette bevæger sig gennem netværket på måder, som en proxy kan fortolke. Netværksinspektion ser forbindelser. Den kan ikke se handlinger i udklipsholderen, lejerkontekst, promptindhold eller hvad en bruger har skrevet i et browserfelt. Traditionelle SASE-leverandører reagerer på den eneste måde, deres arkitektur tillader det: bloker AI eller tillad det. Ingen af ​​mulighederne styrer det.

Resultatet er a browsersikkerhed hul, der ligger uden for enhver traditionel sikkerhedskontrol, uanset hvor moden SASE-stakken er.

Hvordan håndhæver Island Enterprise Network sikkerhed uden en proxy?

Island Enterprise Network flytter håndhævelsespunktet fra netværket til browseren og slutpunktet. For browsertrafik anvendes politikken nativt på DOM-laget, før indhold gengives, og før data forlader sessionen. Island opererer inde i Chromium, så det ser gengivet indhold og brugerintention direkte, ikke udledt af pakkemetadata. Der er ingen omdirigering af trafik, ingen TLS-aflytning og ingen break-and-inspect.

Dette fungerer, fordi Island styrer selve browseren. Islands Enterprise Browser er bygget på Chromium. Islands Enterprise Browser Extension udvider lignende funktioner som Chrome og Edge uden at kræve et browserskift. Begge giver Island direkte adgang til præsentationslaget: den gengivne side, inputfeltet, udklipsholderhændelsen og filuploaddialogen. Det er disse signaler, som proxy SASE ikke kan nå.

For trafik uden for browseren, desktopapplikationer, baggrundstjenester og ældre protokoller opfanger Island Desktop trafik på enhedsniveau og styrer den selektivt til Islands globale netværk til inspektion, kun når politikken kræver det. WireGuard-baseret tunneling håndterer krypteret transport på tværs af alle porte og protokoller.

Identitet, enhedsstatus, geoplacering, applikationskontekst og brugerhandlinger evalueres lokalt i realtid i interaktionsøjeblikket. Én politikmotor styrer browser, slutpunkt og netværk. Der er ingen tjenestekæde på tværs af separate konsoller eller separate inspektionsmotorer.

Island hævder, at op til 90 % af sessionerne går direkte uden backhaul. Implementering til administrerede og ikke-administrerede enheder tager så lidt som fem minutter. Applikationsadgang er op til 10 gange hurtigere, når trafikken tager den direkte sti i stedet for at route gennem en proxy-node.

Hvilke SASE-funktioner inkluderer Island Enterprise Network?

Island Enterprise Network leverer den fulde SASE-stakk fra et enkelt kontrolplan. Hver funktion håndhæves som standard på browser- og slutpunktslaget, hvor netværket bruges som reserve i scenarier, hvor håndhævelse på enhedsniveau ikke er mulig. Platformen dækker SaaS sikkerhed og webtrafik gennem den samme politikmotor, uden separate konsoller eller regelsæt.

Privat adgang til øen (ZTNA). Nultillidsadgang på applikationsniveau for web- og ikke-webapplikationer, i overensstemmelse med NIST SP 800-207. Adgang gives pr. applikation, pr. session, baseret på brugerrolle, enhedens position, placering og identitet, og evalueres løbende i stedet for kun ved login. Private ressourcer forbliver utilgængelige fra internettet. Island Desktop udvider den samme model til alle porte og protokoller, herunder SSH, RDP, SMB, SIP og QUIC via WireGuard-baserede tunneler.

Sikker webgateway (SWG). Browsertrafik håndhæves på DOM-laget med URL-filtrering, anti-malware, anti-phishing og DNS-sikkerhed, før sider gengives. Ingen proxy-omledning. Ingen TLS-inspektion. For trafik uden for browseren styrer Island Desktop selektivt til Islands cloud-SWG og anvender kun SSL/TLS-inspektion, når politikken kræver det.

Databeskyttelse (DLP). Island beskytter data på DOM-laget før kryptering. Dækningen omfatter udklipsholderhændelser, filuploads, downloads og skærmbilleder. Detektion bruger mønstermatchning, præcis datamatchning (EDM), OCR og AI-klassifikatorer. Den samme politik gælder på tværs af browser-, slutpunkts- og netværkskanaler uden at kræve separate konfigurationer.

SaaS API-beskyttelse (CASB). Synlighed og kontrol i SaaS-miljøer via native API'er, overvågning af filer, tilladelser, konfigurationer og delingsaktivitet uden omdirigering af trafik. De samme DLP-detektorer, der bruges inline, anvender out-of-band på indhold, der er lagret i skyen. Afhjælpning kan automatiseres, administrator-gennemgås eller være brugerdrevet.

AI og agentisk AI-styring. Island styrer AI på interaktionspunktet, før data forlader enheden. Indholdsbevidst detektion inspicerer prompts, uploads og data i realtid på tværs af værktøjer som ChatGPT, Microsoft Copilot og Gemini. For agent-AI styres værktøjskald, MCP-adgang og agent-til-agent-kommunikation på præsentationslaget og logges med et fuldt revisionsspor.

Fjernbrowserisolering (RBI). Lokal isolation kører indbygget i browseren og deaktiverer højrisiko Chromium API'er på ukategoriserede websteder. Cloudbaseret RBI kaldes dynamisk kun for den lille delmængde af websteder, der kræver disse API'er for at fungere.

Digital oplevelsesovervågning (DEX). Applikationens ydeevne, enhedstilstand, netværkslatens og ressourceudnyttelse registreres i browseren og via Island Desktop. Da håndhævelsen ikke forvrænger trafikstien, afspejler DEX den faktiske brugeroplevelse og ikke en proxy-rutet tilnærmelse.

Hvordan klarer Island Enterprise Network sig i forhold til Zscaler, Netskope og Cloudflare?

Island Enterprise Network og traditionelle SASE-leverandører løser det samme underliggende problem: hvordan håndhæver man sikkerhedspolitikker for en distribueret arbejdsstyrke ved hjælp af SaaS- og AI-værktøjer fra enhver enhed? Arkitekturerne varierer med hensyn til, hvor håndhævelsen finder sted, og den forskel har reelle konsekvenser for dækning, ydeevne og AI-styring.

Zscaler ruter al trafik gennem sin Zero Trust Exchange-cloud og anvender inline-inspektion i stor skala på tværs af mere end 150 datacentre. Det er den mest modne proxy-first SSE-platform på markedet. Afvejningen er inspektionsmodellen: Zscaler dekrypterer, inspicerer og krypterer sessioner igen på netværkslaget. Den kan ikke se handlinger i udklipsholderen, indhold på DOM-niveau eller hvad en bruger har skrevet i en ChatGPT-prompt. AI-styring er begrænset til at tillade/blokere beslutninger på forbindelsesniveau. Zscaler fungerer på alle enheder, men ser langt mindre af, hvad der sker i hver session.

Netscope differentierer sig inden for databeskyttelse med dyb indlejret CASB og instansbevidste DLP-politikker, der adskiller virksomhedskonti fra personlige konti. Dens NewEdge-netværk er specialbygget til indlejret sikkerhedsbehandling. Netskopes synlighed er bedre end Zscalers for SaaS DLP-scenarier, men den deler den samme arkitektoniske begrænsning: håndhævelsen foregår i cloud-proxyen, ikke i browseren. Handlinger, der sker inde på siden, før data rammer netværket, forbliver usynlige.

Cloudflare One tilbyder det største globale edge-netværk (330+ byer) og den enkleste ZTNA-implementeringsoplevelse i branchen. Det er det hurtigste at sætte op og det mest tilgængelige for mindre organisationer. Dets CASB- og DLP-funktioner er nyere og mindre modne end Netskope eller Zscaler. Ligesom begge håndhæver Cloudflare på netværkslaget, ikke browserlaget.

Island Enterprise Network optager et helt andet håndhævelsesplan. Fordi det opererer inde i browseren og ved slutpunktet, ser det, hvad proxy SASE ikke kan: gengivet indhold, udklipsholderhændelser, prompttekst, filoverførsler mellem apps og agentværktøjskald. Afvejningen er implementeringsmodellen. Island kræver enten et browserskift (til Islands Chromium-baserede browser) eller en udvidelse på Chrome eller Edge. Organisationer, der har brug for håndhævelse på browserniveau uden at bede brugerne om at skifte browser, har en separat kategori af muligheder at evaluere.

Hvem bør overveje Island Enterprise Network, og hvornår giver en browserudvidelse mere mening?

Island Enterprise Network er et godt valg for organisationer, der allerede er forpligtet til at konsolidere deres sikkerhedsstak omkring en enkelt platform og er villige til at standardisere Islands browser eller udvidelse som det primære håndhævelsespunkt. Implementeringsmodellen kræver enten migrering af brugere til Islands Chromium-baserede browser eller implementering af Island-udvidelsen på Chrome eller Edge. For organisationer med stram browserstyring eller standardiserede endpoint-miljøer er det en håndterbar opgave. For organisationer med heterogene browsermiljøer, entreprenørmedarbejdere, der bruger personlige enheder, eller teams, der har brug for sikkerhed på tværs af Safari, Firefox og andre Chromium-baserede browsere, herunder ChatGPT Atlas og Perplexity Comet, er implementeringsoverfladen bredere, og stien er mere kompleks.

Manglen på håndhævelse på browserniveau er reel, uanset hvilken SASE-leverandør en organisation kører. Proxy-SASE ser ikke inde i browsersessioner. Denne mangel er særligt udtalt for BYOD og ikke-administreret enhed scenarier, hvor agenter og certifikater, som traditionel SASE kræver, ofte slet ikke kan installeres, og for AI-styring, hvor den relevante aktivitet sker i et browserinputfelt i stedet for på netværket.

Organisationer, der evaluerer, hvordan man kan lukke dette hul, har to fremgangsmåder. Den første er Islands tilgang: en specialbygget virksomhedsbrowser eller -udvidelse, der giver en enkelt leverandør kontrol over selve browseren. Den anden er en Enterprise Browser Extension, der fungerer på alle browsere, som brugerne allerede har, uden at kræve et browserskift, justeringer af netværksarkitekturen eller et migreringsprojekt.

Sådan løser LayerX dette

Udfordringen, som Island Enterprise Network adresserer, og som proxy SASE ikke kan se i browsersessioner, er det samme problem, som LayerX blev bygget til at løse. LayerX' agentløse AI- og browsersikkerhedsplatform leverer overblik i sidste øjeblik og håndhævelse i realtid som en Enterprise Browser Extension, der fungerer på tværs af alle browsere, som medarbejdere allerede bruger, inklusive Chrome, Edge, Safari, Firefox og enhver Chromium-baseret browser, uden at bede nogen om at skifte browser eller omstrukturere netværksarkitekturen. For organisationer, der har brug for browserniveau AI-brugskontrol, skygge-AI-opdagelse, AI DLP og identitetsstyring på tværs af personlige og virksomhedskonti. LayerX leverer risikotilpasningsdygtige smarte beskyttelsesrækværk på interaktionspunktet, fra overvågning til advarsel, forebyggelse til redigering, uden indflydelse på brugeroplevelsen. Håndhævelsesmodellen når det samme sidste-mile-lag som Island Enterprise Network fra en anden implementeringsretning: i stedet for at kontrollere browseren udvider LayerX politikhåndhævelse til enhver browser, der allerede kører i virksomheden.

Anmod om en demo

Hvordan implementeres Island Enterprise Network?

Island Enterprise Network er designet til trinvis implementering, hvor hver fase leverer værdi fra dag ét.

Fase 1: Udvidelse af øen. Øjeblikkelig politikkontrol på eksisterende Chrome- eller Edge-browsere. Ingen netværksomkonfiguration. Ingen rip-and-erstat. Styring starter fra dag ét. Dette er den hurtigste vej til håndhævelse på browserniveau for organisationer, der ikke ønsker at migrere brugere til en ny browser med det samme.

Fase 2: Ø-virksomhedsbrowser. Bygget på Chromium med indbygget understøttelse af IPv6, TLS 1.3, HTTP/3 og post-kvantekryptografi. Fuld håndhævelse på DOM-niveau. Ingen bypass-lister kræves. Brugere får en brandet browseroplevelse med indbyggede produktivitetsværktøjer.

Fase 3: Ø-skrivebord. Udvider den samme politikmodel til desktopapplikationer, ældre protokoller og trafik på enhedsniveau. Én identitet. Én holdningsevaluering. Én politikstruktur på tværs af browsere og enheder.

Fase 4: Eksplicit proxy og IPsec. For miljøer, hvor browser- eller endpoint-agenten ikke kan implementeres, understøtter Island eksplicit proxy (PAC-fil) til agentløse administrerede implementeringer og IPsec-tunneler til dækning på lokationsniveau, herunder filialplaceringer og IoT/OT-infrastruktur.

Islands globale netværk kører på tværs af tre hyperscalere (GCP, AWS, Azure) med to uafhængige netværksstakke og 100+ points of presence globalt. Hver PoP kører full service-stakken. Klienter og connectors opretter forbindelse til flere PoP'er samtidigt, så et regionalt cloud-afbrydelse ikke forårsager brugervendte afbrydelser.