Island 企业网络是 Island 的 SASE 架构,它将安全策略的执行从网络代理层转移到浏览器和终端,因此大多数流量无需经过远程云端检测点即可直接到达目的地。它通过单一策略引擎提供 ZTNA、SWG、CASB、DLP、RBI 和 DEX 等安全功能,并在交互发生时立即执行。大多数会话直接传输。只有在真正需要时才会进行检测。
什么是 Island Enterprise Network?它与传统的 SASE 有何不同?
Island Enterprise Network 是 Island 企业平台的网络和连接组件,于 2026 年 3 月推出。它提供完整的安全访问服务边缘 (SASE) 堆栈,包括私有访问、安全 Web 网关、数据丢失防护、云访问安全代理、远程浏览器隔离和数字体验监控,所有这些都由一个策略引擎进行管理。
与传统SASE架构的关键区别在于策略执行的位置。Zscaler、Netskope和Palo Alto Prisma等厂商的传统SASE产品会将所有流量路由到云端代理节点,在那里进行解密和检查,然后再转发到目标位置。Island Enterprise Network则恰恰相反:它在浏览器和设备层面执行策略,在数据离开会话之前就已生效。网络层仅在路由或检查能够提供本地策略执行无法实现的价值时才会选择性地使用。
Island 将此称为“完美数据包”架构。对于大多数会话,无需代理绕行。流量直接传输。安全措施随用户一同传递,而非通过集中式节点。
为什么 SASE 回传在现代企业环境中会失效?
代理优先的SASE架构是为企业应用部署在数据中心、大部分企业流量都通过HTTP协议传输的时代而设计的。这种模型要求所有流量都必须经过一个中央检查点,因为没有其他地方可以强制执行策略。这种架构在2010年是合理的,但如今已无法适应实际的工作流程。
当今的差距主要体现在三个方面。
首先,现代加密技术能够绕过代理检查。目前,绝大多数网络流量都通过 TLS 1.3 传输,而 HTTP/2、HTTP/3 和 QUIC 已成为各大主流浏览器的标准协议。证书绑定技术使得越来越多的应用程序无法解密流量。Chrome 和 Firefox 等浏览器已经部署了后量子加密技术。这些协议在结构上与传统的破解检查架构不兼容。当代理无法解密流量时,它会将该流量排除在检查范围之外。每一次豁免都意味着一个会话处于安全边界之外。
其次,延迟和摩擦会促使用户寻找变通方法。当强制执行依赖于将每个会话路由到远端云节点时,用户会明显感受到这种影响。CRM 会话会卡顿,视频通话会断断续续,当代理检测干扰现代应用程序的行为时,SaaS 工作流程就会中断。用户会找到绕过这些摩擦的方法。这些变通方法扩大了攻击面。
这些数据证实了这一差距。根据 LayerX 的数据…… 2025 年浏览器安全报告77%的企业员工会将数据粘贴到GenAI提示框中,其中82%的操作是通过个人、非托管账户进行的。所有这些操作都不会经过企业代理服务器。Zscaler、Netskope或任何网络层检测工具都无法检测到这些操作。
在所有企业浏览器活动中,组织无法了解 89% 的 AI 使用情况,因为 67% 的员工通过个人帐户访问 GenAI 工具,另有 21% 的员工使用未启用单点登录 (SSO) 的企业帐户。代理服务器根本无法看到这些会话。
第三,人工智能使得这种可见性差距变得不容忽视。用户将内部数据粘贴到 ChatGPT 提示框中。人工智能代理通过 MCP 调用外部工具。生成的输出被上传到代码库。所有这些信息都不会以代理可以解读的方式在网络中传输。网络检查只能看到连接,却无法看到剪贴板操作、租户上下文、提示内容,或者用户在浏览器输入框中输入的内容。传统的 SASE 供应商只能根据其架构的允许程度做出响应:要么阻止人工智能,要么允许它。但这两种选择都无法有效控制人工智能。
结果是 浏览器安全 无论 SASE 堆栈多么成熟,都存在一个存在于所有传统安全控制之外的漏洞。
Island Enterprise Network 如何在不使用代理的情况下实施安全措施?
Island 企业网络将策略执行点从网络转移到浏览器和终端。对于浏览器流量,策略在 DOM 层原生应用,在内容渲染之前、数据离开会话之前。Island 运行在 Chromium 内核中,因此它可以直接感知渲染后的内容和用户意图,而不是从数据包元数据中推断。它不会进行流量重定向、TLS 拦截或中断检查。
之所以能实现这一点,是因为 Island 直接控制浏览器本身。Island 的企业浏览器基于 Chromium 内核构建。Island 的企业浏览器扩展程序无需切换浏览器即可为 Chrome 和 Edge 扩展类似的功能。两者都使 Island 能够直接访问表示层:渲染后的页面、输入框、剪贴板事件、文件上传对话框等。这些都是代理 SASE 无法获取的信号。
对于浏览器外流量、桌面应用程序、后台服务和传统协议,Island Desktop 会在设备级别拦截流量,并仅在策略要求时将其选择性地引导至 Island 的全球网络进行检查。基于 WireGuard 的隧道技术可处理所有端口和协议的加密传输。
身份、设备状态、地理位置、应用上下文和用户操作均在交互瞬间实时进行本地评估。一个策略引擎即可管理浏览器、终端和网络。不存在跨不同控制台或独立检测引擎的服务链。
Island 声称高达 90% 的会话直接传输,无需回程链路。部署到托管和非托管设备仅需五分钟。与通过代理节点路由相比,流量走直接路径时,应用程序访问速度最多可提升 10 倍。
Island Enterprise Network包含哪些SASE功能?
Island Enterprise Network 通过单一控制平面提供完整的 SASE 协议栈。默认情况下,每项功能都在浏览器和端点层强制执行,而网络则作为设备级强制执行无法实现时的备用方案。该平台涵盖 SaaS安全 通过同一策略引擎处理网络流量,无需单独的控制台或规则集。
岛屿私人通道(ZTNA)。 Island Desktop 为 Web 和非 Web 应用程序提供应用层零信任访问控制,符合 NIST SP 800-207 标准。访问权限按应用程序、按会话授予,并基于用户角色、设备状态、位置和身份进行持续评估,而不仅仅是在登录时评估。私有资源无法从互联网访问。Island Desktop 通过基于 WireGuard 的隧道,将此模型扩展到所有端口和协议,包括 SSH、RDP、SMB、SIP 和 QUIC。
安全 Web 网关 (SWG)。 浏览器流量在 DOM 层受到严格控制,页面渲染前会应用 URL 过滤、反恶意软件、反钓鱼和 DNS 安全措施。不通过代理服务器,也不进行 TLS 检查。对于浏览器外流量,Island Desktop 会选择性地将流量重定向到 Island 的云端安全网关 (SWG),仅在策略要求时才应用 SSL/TLS 检查。
数据保护(DLP)。 Island 在加密之前,于 DOM 层保护数据。其保护范围涵盖剪贴板事件、文件上传、下载和屏幕截图。检测方法包括模式匹配、精确数据匹配 (EDM)、OCR 和 AI 分类器。同一策略适用于浏览器、终端和网络渠道,无需单独配置。
SaaS API 保护(CASB)。 通过原生 API 实现对 SaaS 环境的可见性和控制,无需重新路由流量即可监控文件、权限、配置和共享活动。与内联应用相同的 DLP 检测器可带外应用于云存储内容。修复过程可自动执行、由管理员审核或由用户驱动。
人工智能和智能体人工智能治理。 Island 在交互点(数据离开设备之前)对 AI 进行管理。内容感知检测功能可实时检查 ChatGPT、Microsoft Copilot 和 Gemini 等工具中的提示、上传内容和数据。对于代理型 AI,工具调用、MCP 访问和代理间通信均在表示层进行管理,并记录完整的审计跟踪日志。
远程浏览器隔离(RBI)。 本地隔离在浏览器内部原生运行,禁用未分类网站上的高风险 Chromium API。基于云的 RBI 仅针对少数需要这些 API 才能正常运行的网站动态调用。
数字体验监测(DEX)。 应用程序性能、设备健康状况、网络延迟和资源利用率均通过浏览器和 Island Desktop 进行捕获。由于强制执行不会扭曲流量路径,因此 DEX 反映的是真实的用户体验,而非代理路由的近似结果。
Island Enterprise Network 与 Zscaler、Netskope 和 Cloudflare 相比如何?
Island Enterprise Network 和传统的 SASE 供应商都在解决同一个根本问题:如何使用 SaaS 和 AI 工具从任何设备为分布式员工实施安全策略?架构的差异在于策略执行的位置,而这种差异会对覆盖范围、性能和 AI 治理产生实际影响。
在Zscaler 所有流量都通过其零信任交换云进行路由,并在 150 多个数据中心大规模应用内联检查。它是目前最成熟的代理优先 SSE 平台。其不足之处在于检查模型:Zscaler 在网络层解密、检查并重新加密会话。它无法查看剪贴板操作、DOM 层内容或用户在 ChatGPT 提示符中输入的内容。AI 治理仅限于在连接层做出允许/阻止的决策。Zscaler 可在任何设备上运行,但对每个会话内部发生的事情了解甚少。
Netskope Netskope 在数据保护方面独树一帜,其深度内联云访问安全代理 (CASB) 和实例感知型数据防泄漏 (DLP) 策略能够区分企业账户和个人账户。其 NewEdge 网络专为内联安全处理而构建。在 SaaS DLP 场景下,Netskope 的可视性比 Zscaler 更丰富,但两者存在相同的架构局限性:安全策略的执行发生在云代理中,而非浏览器端。因此,在数据到达网络之前,页面内部发生的操作是不可见的。
Cloudflare一 Cloudflare 提供覆盖全球 330 多个城市的最大边缘网络,以及业内最简便的零安全网络部署 (ZTNA) 体验。它部署速度最快,也最便于小型企业使用。其云访问安全代理 (CASB) 和数据防泄漏 (DLP) 功能较新,成熟度不及 Netskope 或 Zscaler。与 Netskope 和 Zscaler 一样,Cloudflare 的防护措施是在网络层而非浏览器层实施的。
Island 企业网络采用完全不同的执行层面。由于它在浏览器内部和终端上运行,因此能够看到代理 SASE 无法看到的内容:渲染的内容、剪贴板事件、提示文本、应用程序之间的文件传输以及代理工具调用。其缺点在于部署模式。Island 需要用户切换到基于 Chromium 的 Island 浏览器,或者在 Chrome 或 Edge 浏览器上安装扩展程序。对于那些需要在浏览器级别执行安全策略但又不希望用户更换浏览器的组织,则需要评估另一类方案。
哪些用户应该考虑使用 Island Enterprise Network,以及在什么情况下浏览器扩展程序方案更合适?
Island Enterprise Network 非常适合那些致力于将安全架构整合到单一平台,并愿意将 Island 的浏览器或扩展程序作为主要安全执行点的组织。部署模式要求用户迁移到 Island 基于 Chromium 的浏览器,或在 Chrome 或 Edge 上部署 Island 扩展程序。对于浏览器管理严格或终端环境标准化的组织而言,这完全可以实现。但对于浏览器环境异构、使用个人设备的外包人员,或需要在 Safari、Firefox 以及其他基于 Chromium 的浏览器(包括 ChatGPT Atlas 和 Perplexity Comet)上实现安全防护的团队而言,部署范围更广,路径也更复杂。
无论组织使用哪家 SASE 供应商提供的服务,浏览器层面的强制执行漏洞都是真实存在的。代理 SASE 无法访问浏览器会话内部信息。对于以下情况,这一漏洞尤为突出: 自带设备和非托管设备 在某些情况下,传统 SASE 所需的代理和证书往往根本无法安装;而在 AI 治理中,相关活动发生在浏览器输入字段中,而不是在网络上。
正在评估如何弥合这一差距的组织有两种途径。第一种是Island的方案:开发专用的企业浏览器或扩展程序,使单一供应商能够完全控制浏览器本身。第二种是开发企业浏览器扩展程序,该程序可在用户已有的任何浏览器上运行,无需更改浏览器、调整网络架构或进行迁移项目。
LayerX 如何解决这个问题
Island Enterprise Network 面临的挑战——代理 SASE 无法查看浏览器会话内部——正是 LayerX 旨在解决的问题。LayerX 的无代理 AI 和浏览器安全平台以企业浏览器扩展的形式提供最后一公里可见性和实时强制执行,可在员工已使用的任何浏览器上运行,包括 Chrome、Edge、Safari、Firefox 和任何基于 Chromium 的浏览器,无需用户更换浏览器或重构网络架构。对于需要浏览器级安全防护的组织而言,LayerX 是理想之选。 人工智能使用控制LayerX 提供跨个人和企业账户的影子 AI 发现、AI DLP 和身份治理功能,在交互点提供风险自适应的智能防护措施,涵盖监控、警告、预防和编辑等各个环节,且不会影响用户体验。其执行模型与 Island Enterprise Network 的最终层级相同,但部署方向不同:LayerX 不是控制浏览器,而是将策略执行扩展到企业中已运行的任何浏览器。
Island Enterprise Network是如何部署的?
Island Enterprise Network 的设计理念是逐步部署,每个阶段从第一天起就能提供独立的价值。
第一阶段:岛屿扩建。 立即对现有 Chrome 或 Edge 浏览器进行策略控制。无需重新配置网络,无需彻底更换浏览器。治理从第一天起即可生效。对于不想立即将用户迁移到新浏览器的组织而言,这是实现浏览器级策略强制执行的最快途径。
第二阶段:Island 企业浏览器。 基于 Chromium 内核,原生支持 IPv6、TLS 1.3、HTTP/3 和后量子加密技术。完全 DOM 级安全策略,无需绕过列表。用户可享受品牌化的浏览器体验,并内置多种效率工具。
第三阶段:岛屿桌面。 将同一策略模型扩展到桌面应用程序、传统协议和设备级流量。一个身份,一次安全态势评估,一个跨浏览器和设备的策略框架。
第四阶段:显式代理和 IPsec。 对于无法部署浏览器或终端代理的环境,Island 支持无代理管理部署的显式代理(PAC 文件)和站点级覆盖的 IPsec 隧道,包括分支机构和 IoT/OT 基础设施。
Island 的全球网络横跨三大超大规模云平台(GCP、AWS 和 Azure),拥有两套独立的网络堆栈,并在全球设有 100 多个接入点 (PoP)。每个 PoP 都运行完整的服务堆栈。客户端和连接器可同时连接到多个 PoP,因此区域性云服务中断不会对用户体验造成影响。
常見問題解答
Island Enterprise Network 能否替代 Zscaler?
Island Enterprise Network 涵盖了与 Zscaler 相同的 SASE 功能集,包括 ZTNA、SWG、CASB、DLP、RBI 和 DEX,但它是在浏览器和端点层强制执行这些功能,而不是通过云代理。企业可以将 Island 完全替代 Zscaler,也可以将其与现有的网络安全工具结合使用,以弥补代理 SASE 无法解决的浏览器层可见性问题。具体选择取决于企业是希望整合到单一平台上,还是希望在不替换现有网络控制的情况下扩展会话层的覆盖范围。
Island Enterprise Network 是否要求员工使用特定的浏览器?
Island 提供两种部署选项。Island 企业浏览器是一款基于 Chromium 内核的浏览器,可替换用户现有的浏览器,并提供最深层次的原生安全策略。Island 扩展程序可部署在现有的 Chrome 或 Edge 浏览器上,无需切换浏览器,并涵盖大部分相同的功能,但在某些方面存在限制,扩展程序级别的访问权限无法与完整浏览器的功能相媲美。对于需要在 Safari、Firefox 或其他浏览器上实现安全策略的组织而言,Island 目前的部署模式更为复杂。
什么是“完美包裹”?为什么它对自封信封(SASE)很重要?
“完美数据包”是 Island 对其路由理念的称呼:对于每个会话,流量都会选择最优路径。在大多数情况下,这意味着完全不需要网络路径,强制执行在浏览器或终端本地进行,数据包直接发送到目的地。只有当检查或路由能够真正带来价值时,流量才会流经 Island 的全球网络。这一点至关重要,因为传统的 SASE 架构默认会将所有流量通过云代理回传,无论是否需要检查,都会给所有会话带来延迟。Island 声称,在其架构下,高达 90% 的会话都能直接传输。
Island Enterprise Network 能否管理 ChatGPT 和 Microsoft Copilot 等人工智能工具?
是的。由于 Island 在浏览器 DOM 层运行,它可以实时查看提示内容、剪贴板事件、文件上传以及 ChatGPT、Microsoft Copilot、Gemini 和 Perplexity 等 AI 工具的输出。策略可以在交互点应用,在数据离开会话之前即可生效。对于包括工具调用和 MCP 访问在内的代理型 AI 工作流程,Island 会在表示层记录和管理活动,而不是依赖于无法解读提示意图或会话内容的网络层检查。
Island Enterprise Network 和 Island Enterprise Browser 有什么区别?
Island Enterprise Browser 是 Island 自主开发和分发的基于 Chromium 的完整浏览器。它提供最强大的原生 DOM 安全防护,并包含 AI 写作辅助、广告拦截器和密码管理等高效功能。Island Enterprise Network 是一款 SASE 和网络连接产品,提供 ZTNA、SWG、CASB、DLP 及相关功能,所有功能均可通过完整浏览器或 Island Extension 使用。Island Enterprise Network 是平台的一个层级;Island Enterprise Browser 是其主要客户端。
LayerX 可在任何浏览器、任何设备和任何身份上提供浏览器级别的强制执行,而无需用户改变其工作方式。 索取方案演示
