В архитектуре Zero Trust Network Access важным требованием является проверка соответствия конечных устройств установленным политикам безопасности перед предоставлением доступа к ресурсам. Поскольку основным инструментом доступа пользователей к корпоративным и интернет-ресурсам является веб-браузер, система должна обеспечивать контроль используемого браузера.

Идентификация браузера по заголовку User-Agent не обеспечивает достаточного уровня доверия, поскольку этот параметр может быть изменен. Система централизованного управления корпоративными браузерами не гарантирует, что пользователь будет работать именно через управляемый браузер. Для обеспечения безопасного доступа должны использоваться дополнительные механизмы доверенной идентификации и проверки браузера.

В UserGate SWG реализован механизм проверки подлинности браузера, который может выступать в качестве одного из условий в политиках доступа к ресурсам. В качестве доверенного браузера используется версия Яндекс Браузера для организаций.

Архитектура решения

Архитектура решения предполагает развертывание в корпоративной сети организации сервера регистрации (enrollment host), на котором будет хранится база данных зарегистрированных браузеров и выполняться генерация криптографических ключей, используемых для проверки подлинности браузеров. В качестве механизма проверки подлинности применяются методы семейства стандартов JOSE (JSON Object Signing and Encryption).

Яндекс Браузер регистрируется на сервере регистрации и регулярно запрашивает у него актуальный JWT (JSON Web Token). Этот JWT включается во все HTTPS-сообщения в специальный заголовок и служит для проверки подлинности браузера на UserGate SWG.

HTTP-заголовки, добавляемые Яндекс Браузером:

X-Ybe-Authorization: Bearer <JWT string> — токен авторизации (JWT);
X-Ybe-DeviceId: <DeviceId> — идентификатор устройства, по которому можно идентифицировать инсталляцию браузера в системе управления Яндекс Браузера;
X-Ybe-Id: <SessionId> — идентификатор сессии.

UserGate SWG периодически обращается к серверу регистрации для получения набора открытых ключей в формате JWKS (JSON Web Key Set). При обработке сообщений, содержащих токены авторизации от доверенного браузера, и при наличии политик, включающих проверку подлинности браузера в качестве условия доступа, UserGate SWG проверяет подпись токена с помощью открытого ключа и принимает решение о предоставлении или отказе в доступе. Для предотвращения попадания токена авторизации за контур защиты UserGate SWG удаляет из сообщения служебные заголовки, добавленные Яндекс Браузером, если сработало правило, в котором есть условие проверки подлинности браузера.

Настройка работы с доверенными браузерами

Для работы с доверенными браузерами выполните следующие шаги:

1. Разверните систему управления корпоративными браузерами и настройте политику безопасности браузеров. Установите корпоративные браузеры на устройствах пользователей. Документация по настройке и развертыванию корпоративных браузеров предоставляется компанией Яндекс.

2. Разверните в корпоративной сети и настройте сервер регистрации (enrollment host). Инсталляционные файлы и документация по настройке предоставляется компанией Яндекс.

3. Настройте подключение UserGate SWG к серверу регистрации.

4. Предоставьте пользователям доступ к ресурсам через доверенный браузер на UserGate SWG с помощью правил фильтрации контента или правил reverse-прокси.

Подключение к серверу регистрации

Для подключения UserGate SWG к серверу регистрации доверенных браузеров перейдите в раздел Настройки ➜ Пользователи и устройства ➜ Доверенные браузеры, нажмите Добавить и укажите параметры подключения.

Параметр	Описание
Название	Название подключения
Описание	Описание подключения
URL сервиса Enrollment Host	URL сервера регистрации доверенных браузеров, развернутого в компании
Issuer в стандарте JWT	Параметр задается администратором в переменных среды сервера регистрации Яндекс Браузера (URL_IDP) и передается в составе токена JWT. Используется для идентификации сервера регистрации, выдавшего JWT, если в сети имеется нескольких таких серверов
Порт	Порт подключения к серверу регистрации доверенных браузеров. По умолчанию: 8080
Bearer-токен	Ключ доступа к серверу регистрации доверенных браузеров. Определяется администратором сервиса регистрации

Состояние подключения к серверу регистрации доверенных браузеров отображается в колонке «Статус» списка подключений веб-интерфейса.

Предоставление доступа к ресурсам через доверенный браузер

В зависимости от сценария применения UserGate SWG может использовать проверку подлинности браузера в качестве одного из условий для предоставления доступа к ресурсам в правилах фильтрации контента или в правилах reverse-прокси:

Чтобы разрешить доступ к интернет-ресурсам только через доверенный браузер, применяйте правила фильтрации контента.
Чтобы разрешить доступ к корпоративным ресурсам только через доверенный браузер, используйте правила реверс-прокси.

ПримечаниеУбедитесь, что пользовательские устройства имеют сетевой доступ к серверу регистрации доверенных браузеров. Это необходимо для получения браузером веб-токенов (JWT).

Настройка доступа к интернет-ресурсам через доверенный браузер

Для предоставления доступа к веб-ресурсам через доверенный браузер:

1. На UserGate SWG заранее настройте правила SSL-инспектирования и аутентификации пользователей (если пользователи или группы пользователей будут использоваться в качестве условий предоставления доступа). Подробнее о правилах инспектирования SSL — в разделе «Инспектирование SSL»; о методах аутентификации — в разделе «Пользователи и группы».

2. Создайте правило фильтрации контента, в котором проверка подлинности браузера используется в качестве дополнительного условия.

В разделе Настройки ➜ Политики безопасности ➜ Фильтрация контента, нажмите Добавить и укажите обязательные параметры правила:

На вкладке Общие:
- установите флажок включения правила;
- укажите название правила;
- в поле Действие выберите Разрешить.
На вкладке Доверенные браузеры выберите созданное ранее подключение к серверу регистрации доверенных браузеров.
Укажите дополнительные условия фильтрации трафика (например, разрешенные категории URL, списки URL, типы контента, группы пользователей и т. д.).

Подробнее о создании правил фильтрации контента — в разделе «Фильтрация контента».

3. Так как встроенное правило фильтрации контента «Default allow» разрешает любой доступ, для блокировки использования недоверенных браузеров создайте запрещающее правило с инверсным условием идентификации доверенного браузера.

Вы также можете создать дополнительное правило фильтрации контента для формирования предупреждения пользователям, использующим недоверенный браузер с указанием ссылки на ресурс для скачивания доверенного браузера на странице блокировки. Для этого:

1. В разделе Настройки ➜ Политики безопасности ➜ Фильтрация контента, нажмите Добавить и укажите обязательные параметры правила:

На вкладке Общие:
- установите флажок включения правила;
- укажите название правила;
- в поле Действие выберите Запретить;
- выберите настроенную заранее страницу блокировки со ссылкой на скачивание доверенного Яндекс Браузера.
На вкладке Доверенные браузеры выберите созданное ранее подключение к серверу регистрации доверенных браузеров и включите Инвертировать внизу окна.

Подробнее о создании правил фильтрации контента — в разделе «Фильтрация контента»; о шаблонах страниц — в разделе «Шаблоны страниц».

2. Чтобы пользователи могли загрузить доверенный браузер, создайте разрешающее правило для доступа к указанному ресурсу и разместите его выше запрещающего правила.

Настройка доступа к корпоративным ресурсам через доверенный браузер

Для предоставления доступа к корпоративным ресурсам через доверенный браузер выполните следующие шаги:

1. Для обмена трафиком c публикуемыми ресурсами по защищенному соединению создайте на UserGate SWG профиль SSL, содержащий нужные криптографические протоколы, и импортируйте сертификат публикуемого ресурса.

Подробнее о профилях SSL — в разделе «Профили SSL»; о сертификатах — в разделе «Управление сертификатами».

2. Создайте правило reverse-прокси, в котором проверка подлинности браузера используется в качестве дополнительного условия.

В разделе Настройки ➜ Глобальный портал ➜ Правила reverse-прокси, нажмите Добавить и укажите обязательные параметры правила:

На вкладке Общие:
- установите флажок включения правила;
- укажите название правила;
- выберите сервер или балансировщик reverse-прокси, которому UserGate SWG будет пересылать запросы;
- укажите порты, на которых UserGate SWG будет слушать входящие запросы;
- выберите заранее созданный профиль SSL и сертификат публикуемого сервера.
На вкладке Источник выберите минимум одну зону источника трафика, а также, если необходимо, добавьте списки IP-адресов, доменных имен или GeoIP-адреса, для которых будет разрешен обмен трафиком с веб-серверами.
На вкладке Подмена путей настройте переопределение путей URL
На вкладке Доверенные браузеры выберите созданное ранее подключение к серверу регистрации доверенных браузеров.