Глоссарий
Термины BusinessProxy простым языком
Определения терминов, используемых на сайте, в соответствии с тем, как продукт работает на самом деле.
- Управляемый браузерный доступ
- Категория продукта: управляемый, регулируемый политиками веб-доступ для команд через расширение браузера — без агента уровня ОС и без device-VPN.
- Расширение браузера
- Обязательный клиент. Текущая beta — расширение Chrome/Chromium, которое настраивает proxy браузера и отвечает на proxy-аутентификацию. Оно не читает и не изменяет содержимое страниц.
- Браузерный прокси-маршрут (Слой 1)
- Трафик браузера через управляемый proxy по политике расширения. Содержимое HTTPS не расшифровывается; фильтрация только по домену, категории и политике.
- Private App Access
- Функция, публикующая внутреннее веб-приложение через HTTPS-alias и клиентский коннектор. Предлагается как beta с участием команды.
- Alias-маршрут (Слой 2)
- Reverse-proxy Private App Access. Это уровень L7; он передаёт полный HTTP-запрос и ответ (метод, путь, query, заголовки и тело) транзитом. Тела не логируются и не хранятся.
- L7 / Уровень 7
- Прикладной (HTTP) уровень. Reverse-proxy L7 видит метод, путь, заголовки и тело — в отличие от Слоя 1, который не расшифровывает HTTPS.
- Коннектор
- Небольшой процесс внутри вашей сети. Дозванивается наружу к BusinessProxy по TLS, держит туннель, приватно резолвит внутренний upstream и ретранслирует запросы. Без входящих портов.
- Upstream
- Реальное внутреннее веб-приложение, которому коннектор передаёт запросы. Его имя хоста и IP не покидают вашу сеть.
- Alias-хост
- Внешний HTTPS-хост, который открывают пользователи вместо внутреннего адреса.
- Туннель
- Постоянное исходящее соединение коннектора со шлюзом, по которому мультиплексируются alias-запросы. При обрыве доступ закрывается (fail closed).
- Workspace
- Граница тенанта для пользователей, устройств, политики, сессий и аудита. Политика задаётся на workspace.
- Роли
- Роли участников workspace: member, admin и billing. Создатель workspace — owner. SSO/SAML и SCIM — только Enterprise/по запросу.
- Политика маршрутизации
- Политика от бэкенда, которая задаёт расширению режим proxy_all или work_only.
- proxy_all
- Режим, в котором весь трафик браузера идёт через прокси, кроме bypass-исключений (в текущей реализации Chrome/Chromium — fixed_servers).
- work_only
- Режим, в котором через прокси идут только одобренные рабочие домены, а остальное — напрямую (в текущей реализации Chrome/Chromium — PAC-скрипт).
- PAC
- Proxy Auto-Configuration: скрипт браузера, который по каждому запросу решает — через прокси или напрямую.
- Список bypass
- Домены или хосты, которые всегда идут напрямую, минуя прокси.
- Egress
- Точка и регион, где проксированный трафик выходит из BusinessProxy в публичный интернет; регион выбираете вы (US в MVP).
- Учётные данные proxy-сессии
- Случайные краткоживущие секреты сессии (TTL около 2 минут), которые расширение авторотирует. На сервере хранятся только как односторонний keyed digest, не как переиспользуемый plaintext, и отделены от пароля аккаунта.
- Keyed digest
- Серверное одностороннее HMAC-подобное значение для проверки случайных proxy-секретов сессии. Это не хеш пользовательского пароля.
- TTL
- Time-to-live: сколько креденшел или сессия действует до перевыпуска (proxy-креденшел около 2 минут; private-app сессия по умолчанию 60 минут, максимум 480).
- Ключ устройства
- Ключ устройства ECDSA P-256, которым расширение подписывает запросы proxy-сессии.
- Heartbeat
- Периодический сигнал живости от расширения или коннектора; управляет продлением сессии и готовностью коннектора.
- Список категорий
- Версионированный локальный список категорий для решений по доменам и категориям. Сегодня — локальная база; внешний threat-intelligence фид запланирован, но не включён.
- Квота
- Лимиты трафика и использования по тарифу, применяемые к сессиям.
- SASE
- Secure Access Service Edge — крупные облачные платформы «сеть + безопасность». BusinessProxy намеренно легче и ограничен браузером, не замена SASE.
- Граница неуправляемого устройства
- На неуправляемых устройствах BusinessProxy управляет только профилем и маршрутом браузера, где расширение установлено и включено; жёсткий контроль требует Chrome Enterprise или MDM. Это не tamper-proof контроль конечной точки.