- Создайте workspace — границу политики и аудита.
- Пригласите людей по email и назначьте роль.
- Задайте одну политику workspace: режим маршрутизации, рабочие домены, bypass-правила, категории и разрешённые egress-регионы.
- Пользователи устанавливают расширение браузера, входят и автоматически получают политику. Участники текущей beta устанавливают Chrome/Chromium-пакет.
- Отслеживайте сессии, устройства и audit-события; отзывайте сессии из кабинета.
Управляемый браузерный доступ
Управляемый браузерный доступ для команд — без device-VPN и агента ОС
BusinessProxy даёт небольшим командам управляемый браузерный маршрут без внедрения SASE и VPN на всё устройство. Пользователи устанавливают расширение браузера, входят и автоматически получают политику workspace. Текущий beta-пакет основан на Chrome/Chromium.
На неуправляемых устройствах BusinessProxy управляет только тем профилем браузера, где расширение установлено и включено. Для текущего Chrome/Chromium-пакета используйте Chrome Enterprise или MDM, когда нужна обязательная установка расширения и заблокированные настройки.
Настройка
Настройте команду за пять шагов
Нужен другой набор правил для другой группы? Создайте ещё один workspace. SSO/SAML, SCIM и выделенные enterprise-контроли — только Enterprise/по запросу, пока не реализованы.
Маршрутизация
Режимы маршрутизации
| Режим | Как работает |
|---|---|
| Весь браузерный трафик | `proxy_all` использует Chrome `fixed_servers`. Маршрутизируемые браузерные запросы идут через BusinessProxy, кроме local/API/bypass-исключений. |
| Только рабочие домены | `work_only` использует сгенерированный PAC-скрипт. Одобренные рабочие домены идут через proxy, остальное — напрямую. |
| Bypass | Local, API и заданные администратором bypass-исключения идут напрямую. |
| Учётные данные | Случайные учётные данные сессии краткоживущие и ротируются автоматически через расширение. |
Что контролирует
- Browser proxy settings во время подключения
- Политику маршрутизации workspace
- Решения по доменам/категориям/регионам
- Лимиты сессий и отзыв
- Managed-настройки расширения при распространении через Chrome Enterprise/MDM
Что не контролирует
- Трафик всего устройства
- Другие браузеры на неуправляемых устройствах
- Сетевой стек ОС
- Личные приложения, звонки, локальные инструменты
- Удаление/отключение на неуправляемых устройствах
Как это работает
Как устроена сессия
Короткоживущая, подотчётная и легко отзываемая — каждую сессию просто выдать, просто проверить и просто закрыть.
Модель сессии
Модель короткоживущих сессий
При подключении пользователя бэкенд выдаёт случайные краткоживущие секреты proxy-сессии (~2 мин TTL), которые расширение авторотирует. Они проверяются на сервере через односторонний keyed digest и не хранятся как переиспользуемый plaintext — отдельно от пароля аккаунта.
Подотчётность
Подотчётный доступ
Каждая сессия привязана к проверенному пользователю и подписанному ключу устройства. Администраторы видят, кто и откуда подключился, и могут отозвать доступ в один клик.
Безопасность
Проверяемые факты безопасности с точной областью действия
- Нет TLS/HTTPS-инспекции на браузерном proxy-маршруте.
- В пакете расширения нет content-скриптов.
- Host permission для всех сайтов используется для ответа на proxy-auth challenge маршрутизируемых запросов.
- Proxy-учётные данные отделены от учётных данных аккаунта.
- Приватные/внутренние сетевые диапазоны блокируются политикой.
- Audit-события workspace хранятся отдельно от usage-событий.
Подрядчики
Управляемый браузерный доступ для внешних людей
Дайте внешнему человеку управляемый браузерный маршрут для проектной работы без выдачи device-VPN и широкого сетевого доступа.
BYOD
Рабочий браузинг без захвата устройства
Держите рабочий браузинг подотчётным на личных ноутбуках, пока личные приложения, звонки, банк и локальные инструменты остаются вне прокси-маршрута.
Поддержка и Ops
Управляемый браузинг, который не ломает остальную работу
Дайте поддержке и Ops стабильный управляемый браузерный маршрут для SaaS, не ломая звонки и не-браузерную работу.
Частые вопросы
BusinessProxy — это VPN?
Нет. BusinessProxy не устанавливает device-VPN и не маршрутизирует всю машину. Он управляет браузерным маршрутом через обязательное расширение браузера. Текущий beta-пакет основан на Chrome/Chromium. Не-браузерный трафик, локальные приложения, звонки и другие браузеры остаются вне маршрута BusinessProxy.
Пользователи что-то устанавливают?
Да. Пользователям нужно расширение BusinessProxy для Chrome. Смысл в том, что нет агента уровня ОС и нет VPN-клиента на всё устройство. Для принудительного внедрения администраторы должны распространять расширение и managed-настройки через Chrome Enterprise или MDM.
Инспектируете ли вы содержимое HTTPS-страниц?
Нет на браузерном proxy-маршруте. BusinessProxy применяет политики по доменам, сетевым метаданным, категориям и allow/deny-правилам. На этом маршруте он не расшифровывает содержимое HTTPS-страниц, не читает DOM и не инспектирует поля форм.
Почему расширение запрашивает доступ ко всем сайтам?
Chrome требует host permission для всех сайтов, чтобы расширение могло получать и отвечать на proxy-authentication challenge для запросов, которые Chrome отправляет через настроенный proxy. У расширения нет content-скриптов; оно не внедряется в страницы и не изменяет их содержимое.
Могут ли пользователи обойти его на неуправляемых устройствах?
Да, вне управляемого браузерного маршрута. На неуправляемом устройстве пользователь может использовать другой браузер, другой неуправляемый профиль или удалить/отключить расширение. Если важно предотвращать обход для текущего Chrome/Chromium-пакета, внедряйте через Chrome Enterprise или MDM: обязательная установка расширения и заблокированные managed-настройки.
Являются ли proxy-учётные данные паролем аккаунта?
Нет. Логин в аккаунт и доступ к proxy используют разные секреты. Proxy-учётные данные — это случайные краткоживущие секреты сессии. BusinessProxy проверяет их через серверный ключевой односторонний дайджест, не хранит сырой proxy-секрет и не переиспользует пароль аккаунта.
Начните с пилота расширения браузера
В текущей beta закрепите Chrome/Chromium-пакет через Chrome Enterprise или MDM, если важно принудительное enforcement.