Модель безопасности
Эта страница — источник истины для security review: видимость браузерного маршрута, разрешения расширения, обработка proxy-учётных данных, сроки хранения и граница между браузерным proxy и Layer-7 доступом к приватным приложениям.
На браузерном proxy-маршруте BusinessProxy не расшифровывает содержимое HTTPS-страниц. Private App Access, если включён, — отдельный Layer-7 reverse-proxy маршрут с другой видимостью.
Таблица данных
| Тип данных | Зачем обрабатываем | Хранение | Кому передаётся |
|---|---|---|---|
| Email аккаунта | Аккаунт, верификация, биллинг и поддержка. | Пока аккаунт активен, затем согласно процессу удаления аккаунта/правового хранения. | Auth/email/payment-провайдерам при необходимости. |
| ID устройства и публичный ключ | Привязка запросов proxy-сессии к зарегистрированному ключу устройства. | Пока активна запись устройства аккаунта/workspace, если не удалена. | Инфраструктурным провайдерам. |
| ID proxy-сессии | Подключение, heartbeat, отзыв и история сессии. | Пока аккаунт активен сегодня; не удаляется 30-дневной очисткой usage, пока не добавлена отдельная политика удаления. | Инфраструктурным провайдерам. |
| Сырой proxy-секрет | Не хранится. Используется только расширением/proxy-потоком во время активной сессии. | Не хранится как сырой секрет. | Не передаётся как сырой секрет. |
| Ключевой дайджест proxy-секрета | Проверка случайных краткоживущих proxy-учётных данных сессии. | Хранится вместе с записью proxy-сессии, пока реализация не изменится. | Инфраструктурным провайдерам. |
| Объём трафика / usage-событие | Лимиты, отчётность использования и планирование ёмкости. | 30 дней для usage-событий. | Инфраструктурным провайдерам; payment/accounting-провайдерам при необходимости. |
| Домен назначения / категория blocked-события | Фильтрация, предотвращение abuse и проверка политики. | 30 дней для blocked-событий. | Локальный версионированный список категорий; внешний вендор только при добавлении позже. |
| Audit-события workspace | Подотчётное администрирование и security review. | 180 дней. | Инфраструктурным провайдерам. |
| Admin/audit source IP | Безопасность администратора, расследование fraud/abuse и audit-логи. | 180 дней, если хранится в audit-логах; ротация raw service logs документируется отдельно (~14 дней). | Инфраструктурным/security-провайдерам при использовании. |
| HTTPS-контент страниц на browser-proxy path | Не собирается и не расшифровывается на браузерном маршруте. | н/д | н/д |
Логин в аккаунт и proxy-доступ используют разные секреты. Proxy-учётные данные — случайные краткоживущие секреты сессии, выдаваемые расширению. BusinessProxy проверяет их через серверный ключевой односторонний дайджест, не хранит сырой proxy-секрет и не переиспользует пароль аккаунта.
BusinessProxy создан для подотчётного рабочего браузинга. Шлюз применяет лимиты тарифа, ограничения сессий, правила доменов/категорий, ограничения портов, блокировку приватных/внутренних сетей и подписанные устройством запросы сессии. Это не инструмент анонимности, scraping или обхода ограничений.
У BusinessProxy два маршрута доступа, и они видят разное. Мы говорим об этом прямо.
| Браузерный прокси-маршрут (Слой 1) | Alias / reverse-proxy маршрут (Слой 2) |
|---|---|
| Не расшифровывает содержимое HTTPS-страниц. | Терминирует и ретранслирует HTTP для alias-маршрута приложения. |
| Видит доменные/сетевые метаданные, нужные для маршрутизации и политики. | Передаёт HTTP-метод, путь, заголовки и тела запроса/ответа в транзите. |
| Фильтрация только по доменам/категориям; без инспекции DOM или форм. | Обрабатывает L7-метаданные для маршрутизации, политик и аудита. |
| Контент страниц не логируется и не хранится, потому что не расшифровывается на этом маршруте. | Тела запроса/ответа проходят транзитом и не должны логироваться или храниться. |
Если вы пускаете внутреннее приложение через alias-маршрут, вы должны знать, что он работает на уровне L7. Это намеренное раскрытие, а не сноска.
Частые вопросы
Нет на браузерном proxy-маршруте. BusinessProxy применяет политики по доменам, сетевым метаданным, категориям и allow/deny-правилам. На этом маршруте он не расшифровывает содержимое HTTPS-страниц, не читает DOM и не инспектирует поля форм.
Фильтрация работает по доменам и категориям. Шлюз применяет версионированный список категорий и ваши allow/deny-правила до выхода трафика через одобренный egress-регион. Это не content/DLP-инспекция и не чтение страницы.
Chrome требует host permission для всех сайтов, чтобы расширение могло получать и отвечать на proxy-authentication challenge для запросов, которые Chrome отправляет через настроенный proxy. У расширения нет content-скриптов; оно не внедряется в страницы и не изменяет их содержимое.
Нет. Логин в аккаунт и доступ к proxy используют разные секреты. Proxy-учётные данные — это случайные краткоживущие секреты сессии. BusinessProxy проверяет их через серверный ключевой односторонний дайджест, не хранит сырой proxy-секрет и не переиспользует пароль аккаунта.
Источник истины — таблица данных на странице безопасности. Usage- и blocked-события хранятся 30 дней, audit-события workspace — 180 дней, а записи proxy-сессий остаются, пока аккаунт активен, если не добавлена отдельная политика удаления.
Разрешения расширения → Сроки хранения логов → Центр доверия →