Что такое Island Enterprise Network? Как работает SASE-архив с приоритетом браузера?

Island Enterprise Network — это архитектура SASE от Island, которая переносит проверку соответствия требованиям с уровня сетевого прокси на уровень браузера и конечной точки, поэтому большая часть трафика достигает пункта назначения напрямую, минуя удаленную точку проверки в облаке. Она обеспечивает ZTNA, SWG, CASB, DLP, RBI и DEX из единого механизма политик, применяемых в момент взаимодействия. Большинство сессий проходят напрямую. Проверка происходит только тогда, когда она действительно приносит пользу.

Что такое Island Enterprise Network и чем она отличается от традиционной системы SASE?

Island Enterprise Network — это сетевой и коммуникационный компонент корпоративной платформы Island, запущенной в марте 2026 года. Он предлагает полный стек защищенного доступа на периферии сервиса (SASE), включая частный доступ, защищенный веб-шлюз, предотвращение потери данных, брокер безопасности доступа к облаку, удаленную изоляцию браузеров и мониторинг цифрового взаимодействия, — все это управляется из единого механизма политик.

Ключевое архитектурное отличие от традиционного SASE заключается в месте применения правил. Устаревшие продукты SASE от таких поставщиков, как Zscaler, Netskope и Palo Alto Prisma, направляют весь трафик через облачные прокси-узлы, расшифровывают и проверяют его там, а затем перенаправляют к месту назначения. Island Enterprise Network делает наоборот: он применяет правила внутри браузера и на уровне устройства, прежде чем данные покинут сессию. Сетевой уровень используется выборочно, только тогда, когда маршрутизация или проверка добавляют ценность, которую локальное применение правил не может обеспечить.

Компания Island называет это архитектурой «идеального пакета». Для большинства сессий нет обходного пути через прокси-сервер. Трафик идёт напрямую. Безопасность обеспечивается пользователем, а не через централизованный узел.

Почему передача данных через SASE-адаптер не подходит для современных корпоративных систем?

Архитектура SASE с приоритетом прокси-сервера была разработана для эпохи, когда корпоративные приложения размещались в центрах обработки данных, а большая часть корпоративного трафика проходила по протоколу HTTP. Эта модель требовала маршрутизации всего трафика через центральную точку контроля, поскольку другого места для обеспечения соблюдения политик не было. Такая архитектура имела смысл в 2010 году. Сейчас она уже не соответствует реальному способу организации работы.

Сегодня разрыв определяется тремя конкретными неудачами.

Во-первых, современное шифрование обходит проверку прокси-сервера. Большая часть веб-трафика сейчас проходит по протоколу TLS 1.3, а HTTP/2, HTTP/3 и QUIC являются стандартными протоколами во всех основных браузерах. Привязка сертификатов предотвращает расшифровку для растущего числа приложений. Постквантовые криптографические реализации уже используются в Chrome и Firefox. Эти протоколы структурно несовместимы с устаревшими архитектурами, основанными на взломе и проверке. Когда прокси-сервер не может расшифровать трафик, он исключает его из проверки. Каждое исключение — это сессия за пределами периметра безопасности.

Во-вторых, задержки и неудобства приводят к необходимости обходных путей. Когда принудительное выполнение операций зависит от маршрутизации каждой сессии через удаленный облачный узел, пользователи это ощущают. Сессии CRM замедляются. Видеозвонки прерываются. Рабочие процессы SaaS нарушаются, когда проверка прокси-сервера мешает работе современных приложений. Пользователи находят способы обойти эти неудобства. Эти обходные пути расширяют поверхность атаки.

Цифры подтверждают разрыв. По данным LayerX. Отчет о безопасности браузеров за 2025 год77% сотрудников предприятий вставляют данные в подсказки GenAI, и 82% этой активности происходит через личные, неуправляемые учетные записи. Ничто из этого не проходит через корпоративный прокси-сервер. Ничто из этого не видно Zscaler, Netskope или любому инструменту анализа сетевого уровня.

В целом, в рамках всей корпоративной активности в браузерах, организации не имеют представления о 89% использования ИИ в организации, поскольку 67% сотрудников получают доступ к инструментам GenAI через личные учетные записи, а еще 21% используют корпоративные учетные записи без единого входа (SSO). Прокси-сервер вообще не видит сессию.

Во-третьих, ИИ сделал невозможным игнорирование пробела в видимости. Пользователь вставляет внутренние данные в командную строку ChatGPT. Агент ИИ вызывает внешний инструмент через MCP. Сгенерированный вывод перемещается в репозиторий кода. Ничто из этого не передается по сети таким образом, чтобы прокси-сервер мог это интерпретировать. Сетевая проверка видит соединения. Она не может видеть действия в буфере обмена, контекст клиента, содержимое командной строки или то, что пользователь ввел в поле ввода браузера. Традиционные поставщики SASE реагируют единственным способом, который позволяет их архитектура: блокируют ИИ или разрешают его. Ни один из вариантов не является определяющим.

Результатом является безопасность браузера Пробел, который находится за пределами любых традиционных мер безопасности, независимо от того, насколько зрелым является стек SASE.

Как Island Enterprise Network обеспечивает безопасность без прокси-сервера?

Island Enterprise Network переносит точку применения правил с сети на браузер и конечную точку. Для трафика браузера политика применяется непосредственно на уровне DOM, до отрисовки контента и до того, как данные покинут сессию. Island работает внутри Chromium, поэтому он видит отрисованный контент и намерения пользователя напрямую, а не выводит их из метаданных пакетов. Отсутствует переадресация трафика, перехват TLS и проверка подлинности.

Это работает, потому что Island контролирует сам браузер. Корпоративный браузер Island построен на Chromium. Расширение корпоративного браузера Island расширяет возможности, аналогичные Chrome и Edge, без необходимости переключения на другой браузер. Оба расширения предоставляют Island прямой доступ к уровню представления: отображаемой странице, полю ввода, событию буфера обмена, диалогу загрузки файла. Это сигналы, недоступные для прокси-сервера SASE.

Для трафика, поступающего извне браузера, настольных приложений, фоновых служб и устаревших протоколов, Island Desktop перехватывает трафик на уровне устройства и выборочно направляет его в глобальную сеть Island для проверки только тогда, когда этого требует политика. Туннелирование на основе WireGuard обеспечивает зашифрованную передачу данных по всем портам и протоколам.

Идентификация, состояние устройства, геолокация, контекст приложения и действия пользователя оцениваются локально, в режиме реального времени, в момент взаимодействия. Один механизм политик управляет браузером, конечной точкой и сетью. Отсутствует цепочка служб между отдельными консолями или отдельными механизмами проверки.

Компания Island утверждает, что до 90% сессий проходят напрямую, без обратной связи. Развертывание на управляемых и неуправляемых устройствах занимает всего пять минут. Доступ к приложению осуществляется до 10 раз быстрее, когда трафик идет по прямому пути, а не через прокси-сервер.

Какие возможности SASE (Sales-Assessed Securities, обратная связь и электронная почта) предоставляет Island Enterprise Network?

Island Enterprise Network предоставляет полный стек SASE из единой плоскости управления. Каждая функция по умолчанию обеспечивается на уровне браузера и конечной точки, а сеть используется в качестве резервного варианта для сценариев, когда обеспечение на уровне устройства невозможно. Платформа охватывает Безопасность SaaS и веб-трафик через тот же механизм политик, без отдельных консолей или наборов правил.

Доступ к частному острову (ZTNA). Доступ на уровне приложений с нулевым доверием для веб-приложений и не веб-приложений, соответствующий стандарту NIST SP 800-207. Доступ предоставляется для каждого приложения, для каждой сессии, на основе роли пользователя, состояния устройства, местоположения и идентификации, и оценивается непрерывно, а не только при входе в систему. Частные ресурсы остаются недоступными из интернета. Island Desktop распространяет эту модель на все порты и протоколы, включая SSH, RDP, SMB, SIP и QUIC, через туннели на основе WireGuard.

Безопасный веб-шлюз (SWG). Обработка трафика браузера осуществляется на уровне DOM с применением фильтрации URL-адресов, защиты от вредоносных программ, фишинга и DNS-безопасности до отрисовки страниц. Отсутствует обход прокси-сервера. Отсутствует проверка TLS. Для трафика, поступающего извне браузера, Island Desktop выборочно направляет его в облачную среду SWG Island, применяя проверку SSL/TLS только тогда, когда этого требует политика.

Защита данных (DLP). Island защищает данные на уровне DOM до шифрования. Защита распространяется на события буфера обмена, загрузку и скачивание файлов, а также снимки экрана. Для обнаружения используются сопоставление шаблонов, точное совпадение данных (EDM), OCR и классификаторы на основе искусственного интеллекта. Одна и та же политика применяется ко всем браузерам, конечным точкам и сетевым каналам без необходимости отдельных настроек.

Защита API SaaS (CASB). Обеспечение прозрачности и контроля в средах SaaS через собственные API, мониторинг файлов, разрешений, конфигураций и активности обмена данными без переадресации трафика. Те же детекторы DLP, что и в режиме реального времени, применяются внеполосно к контенту, хранящемуся в облаке. Устранение проблем может быть автоматизировано, проверено администратором или инициировано пользователем.

Управление ИИ и агентным ИИ. Система Island управляет ИИ в точке взаимодействия, до того, как данные покинут устройство. Обнаружение с учетом содержимого проверяет запросы, загрузки и данные в режиме реального времени в таких инструментах, как ChatGPT, Microsoft Copilot и Gemini. В случае агентного ИИ вызовы инструментов, доступ к MCP и общение между агентами регулируются на уровне представления и регистрируются с полным журналом аудита.

Удалённая изоляция браузера (RBI). Локальная изоляция работает непосредственно в браузере, отключая высокорискованные API Chromium на сайтах без категорий. Облачная RBI запускается динамически только для небольшого подмножества сайтов, которым эти API необходимы для функционирования.

Мониторинг цифрового взаимодействия (DEX). Производительность приложений, состояние устройств, задержка сети и использование ресурсов фиксируются в браузере и через Island Desktop. Поскольку принудительное применение правил не искажает маршрут трафика, DEX отражает реальный пользовательский опыт, а не приблизительную маршрутизацию через прокси-сервер.

Чем Island Enterprise Network отличается от Zscaler, Netskope и Cloudflare?

Компания Island Enterprise Network и традиционные поставщики SASE решают одну и ту же фундаментальную проблему: как обеспечить соблюдение политики безопасности для распределенной рабочей силы, использующей инструменты SaaS и ИИ с любого устройства? Архитектуры различаются в том, где происходит обеспечение соблюдения политики, и это различие имеет реальные последствия для охвата, производительности и управления ИИ.

Zscaler Zscaler направляет весь трафик через свою облачную платформу Zero Trust Exchange, применяя встроенную проверку в масштабе более чем 150 центров обработки данных. Это самая зрелая платформа SSE с приоритетом прокси-сервера из доступных на рынке. Компромисс заключается в модели проверки: Zscaler расшифровывает, проверяет и повторно шифрует сессии на сетевом уровне. Он не может видеть действия в буфере обмена, содержимое DOM-дерева или то, что пользователь ввел в подсказку ChatGPT. Управление с помощью ИИ ограничено решениями о разрешении/блокировке на уровне соединения. Zscaler работает на всех устройствах, но видит гораздо меньше того, что происходит внутри каждой сессии.

Netskope Netskope выделяется на фоне конкурентов благодаря глубокой встроенной защите данных (CASB) и политикам DLP с учетом экземпляров, которые различают корпоративные и личные учетные записи. Ее сеть NewEdge специально разработана для обработки данных в режиме реального времени. Возможности Netskope для обеспечения прозрачности в сценариях SaaS DLP шире, чем у Zscaler, но у нее есть то же архитектурное ограничение: контроль осуществляется в облачном прокси, а не в браузере. Действия, происходящие внутри страницы до того, как данные попадут в сеть, остаются невидимыми.

Облачная вспышка Один Предлагает крупнейшую глобальную сеть периферии сети (более 330 городов) и самый простой в отрасли опыт развертывания ZTNA. Он быстрее всего развертывается и наиболее доступен для небольших организаций. Его возможности CASB и DLP более новые и менее развитые, чем у Netskope или Zscaler. Как и оба, Cloudflare обеспечивает безопасность на сетевом уровне, а не на уровне браузера.

Island Enterprise Network занимает совершенно иную плоскость контроля. Поскольку она работает внутри браузера и на конечной точке, она видит то, что не может увидеть прокси-сервер SASE: отображаемый контент, события буфера обмена, текстовые подсказки, передачу файлов между приложениями и вызовы инструментов агентов. Компромисс заключается в модели развертывания. Island требует либо переключения браузера (на браузер Island на основе Chromium), либо расширения для Chrome или Edge. Организации, которым необходим контроль на уровне браузера без необходимости смены браузера пользователями, могут рассмотреть отдельную категорию вариантов.

Кому следует рассмотреть Island Enterprise Network, и когда подход с использованием расширений для браузера имеет больше смысла?

Island Enterprise Network идеально подходит для организаций, уже стремящихся к консолидации своей системы безопасности на единой платформе и готовых стандартизировать использование браузера или расширения Island в качестве основной точки обеспечения безопасности. Модель развертывания требует либо миграции пользователей на браузер Island на основе Chromium, либо развертывания расширения Island в Chrome или Edge. Для организаций со строгим контролем браузеров или стандартизированными средами конечных точек это вполне выполнимая задача. Для организаций с гетерогенными средами браузеров, подрядными работниками, использующими личные устройства, или командами, которым необходима безопасность в Safari, Firefox и других браузерах на основе Chromium, включая ChatGPT Atlas и Perplexity Comet, область развертывания шире, а путь более сложен.

Проблема обеспечения безопасности на уровне браузера существует независимо от того, какого поставщика SASE использует организация. Прокси-SASE не видит внутренние сессии браузера. Эта проблема особенно остро проявляется для BYOD и неуправляемые устройства сценарии, в которых агенты и сертификаты, необходимые для традиционного SASE, часто вообще невозможно установить, а также для управления ИИ, где соответствующая деятельность происходит в поле ввода браузера, а не в сети.

Организации, оценивающие способы устранения этого пробела, имеют два пути. Первый — это подход компании Island: специализированный корпоративный браузер или расширение, которое предоставляет единому поставщику контроль над самим браузером. Второй — это корпоративное расширение для браузера, которое работает с любым браузером, уже установленным у пользователей, без необходимости смены браузера, корректировки сетевой архитектуры или проекта миграции.

Как LayerX решает эту проблему

Проблема, которую решает Island Enterprise Network (прокси-сервер SASE не может видеть внутренние сессии браузера), — это та же проблема, для решения которой и был создан LayerX. Платформа LayerX, использующая искусственный интеллект и браузерную безопасность без агентов, обеспечивает видимость на последнем этапе и принудительное применение мер в режиме реального времени в качестве корпоративного расширения для браузеров, работающего с любым браузером, который уже используют сотрудники, включая Chrome, Edge, Safari, Firefox и любой браузер на основе Chromium, без необходимости смены браузера или перестройки сетевой архитектуры. Для организаций, которым требуется защита на уровне браузера. контроль использования ИИLayerX, обеспечивая обнаружение теневого ИИ, защиту от утечки данных с помощью ИИ и управление идентификацией в личных и корпоративных учетных записях, предоставляет адаптивные к рискам интеллектуальные средства защиты в точке взаимодействия — от мониторинга и предупреждения до предотвращения и редактирования, без влияния на пользовательский опыт. Модель обеспечения соблюдения политик достигает того же уровня «последней мили», что и Island Enterprise Network, но с другой стороны развертывания: вместо управления браузером LayerX распространяет применение политик на любой браузер, уже работающий в корпоративной сети.

Запросите Демо

Как развертывается Island Enterprise Network?

Сеть Island Enterprise Network разработана для поэтапного развертывания, при этом каждый этап обеспечивает самостоятельную ценность с первого дня.

Этап 1: Расширение острова. Мгновенный контроль политик в существующих браузерах Chrome или Edge. Без переконфигурации сети. Без полной замены. Управление начинается с первого дня. Это самый быстрый путь к обеспечению соблюдения политик на уровне браузера для организаций, которые не хотят немедленно переводить пользователей на новый браузер.

Этап 2: Веб-браузер Island Enterprise. Создан на основе Chromium с нативной поддержкой IPv6, TLS 1.3, HTTP/3 и постквантовой криптографии. Полное обеспечение безопасности на уровне DOM. Не требуется использование списков обхода. Пользователи получают фирменный интерфейс браузера со встроенными инструментами повышения производительности.

Этап 3: Островной рабочий стол. Расширяет ту же модель политик на настольные приложения, устаревшие протоколы и трафик на уровне устройств. Одна идентификация. Одна оценка состояния. Единая структура политик для всех браузеров и устройств.

Этап 4: Явный прокси и IPsec. Для сред, где невозможно развернуть браузер или агент на конечной точке, Island поддерживает явное прокси-серверное развертывание (PAC-файл) для управляемых развертываний без агентов и туннели IPsec для покрытия на уровне сайта, включая филиалы и инфраструктуру IoT/OT.

Глобальная сеть Island работает на базе трех гипермасштабируемых провайдеров (GCP, AWS, Azure) с двумя независимыми сетевыми стеками и более чем 100 точками присутствия по всему миру. Каждая точка присутствия использует полный набор сервисов. Клиенты и коннекторы подключаются к нескольким точкам присутствия одновременно, поэтому региональный сбой в облаке не приводит к сбоям в работе пользователей.