Geleceğin Güvenlik Katmanı: Enterprise Browser Yaklaşımı ve Prisma Access Browser

Tarayıcı artık sadece “internete girdiğimiz” bir uygulama değil; çoğu kurumda kullanıcının gününün neredeyse tamamı tarayıcı içinde geçiyor. CRM, ERP, ticketing, e-posta, kuruma özel web applicationları… Hepsi tarayıcı sekmeleri halinde karşımızda. Bu da saldırı yüzeyinin doğal olarak tarayıcıya kayması anlamına geliyor.

Klasik mimariler (VPN + SWG + endpoint agent) bu dönüşümü uzun süre idare etti, ancak sektörde hibrit çalışma, BYOD ve SaaS ağırlıklı bir eğilim görmeye başladık . Palo Alto Networks’ün Prisma Access Secure Enterprise Browser (Prisma Access Browser / Prisma Browser) yaklaşımı, tam burada yeni bir katman öneriyor: güvenliği doğrudan tarayıcının içine taşımak.

Bu yazıda, “browser security” kavramını, enterprise browser yaklaşımını ve Prisma Access Browser’ın bu resimdeki yerini kısaca ele alacağız.

Kurumların güvenlik mimarisinde tarayıcıyı özel olarak ele alma motivasyonunu üç başlıkta toplayabiliriz:

Saldırı yüzeyi artık tarayıcılara taşındı

• Phishing ve kimlik hırsızlığı girişimleri,
• Kötü amaçlı URL ve dosyalar,
• OAuth token’larının, session cookie’lerinin çalınması,
• Zararlı veya manipüle edilmiş browser eklentileri,

gibi çok sayıda saldırı tipi doğrudan tarayıcı üzerinden çalışıyor. Palo Alto Networks, Prisma Access Browser’ı özellikle phishing, malware, eavesdropping ve data exfiltration risklerine karşı güçlendirilmiş bir kurumsal tarayıcı olarak tanımlıyor.

Veri sızıntısı vektörleri tarayıcıda

SaaS/web uygulamalarda çalışan verinin tarayıcı üzerinden dışarı çıkışı da kritik bir başlık:

• Kurumsal SaaS → kişisel SaaS hesabına copy–paste,
• Hassas dokümanların local’e indirilmesi,
• Ekran görüntüsü, print, ekran paylaşımı ile veri taşınması,
• Upload/download hareketleri ile dış sistemlere veri gönderimi.

Klasik SWG veya sadece ağ seviyesindeki DLP, bu hareketlerin tamamını yeterince detaylı control edemeyebiliyor.

BYOD ve 3rd party cihazlar

Kurumsal cihaz sayısı kadar, unmanaged cihaz sayısı da artıyor:

• Freelance çalışanlar,
• Tedarikçi / iş ortağı ekipleri,
• Konsültanlar, proje bazlı çalışanlar,
• Kişisel cihazından erişim yapmak isteyen çalışanlar.

Bu cihazlara tam anlamıyla agent kurmak veya “kurumsal laptop + VPN + VDI” kombinasyonunu yaymak çoğu kurum için maliyetli ve operasyonel olarak zor. Palo Alto Networks, Prisma Access Browser’ı hem managed hem de unmanaged cihazlarda aynı güvenlik politikalarını uygulayabilen bir çözüm olarak konumlandırıyor.

Enterprise Browser tanımı kabaca şöyle diyebiliriz:

Kurumsal kullanım için tasarlanmış, güvenlik politikalarını doğrudan tarayıcı seviyesinde enforce eden, kullanıcı aktivitelerini yöneten ve hassas veriyi koruyan güvenli, yönetilebilir bir web çalışma ortamı.

Öne çıkan tipik özellikler:

• Kimlik entegrasyonları (IdP / SSO ile uyum),
• Uygulama ve sayfa seviyesinde erişim ve veri politikaları,
• Copy–paste / download / upload / print / screen capture vb. üzerinde kontrol,
• Merkezden yönetilen konfigürasyon,extention ve detaylı loglama.

Palo Alto tarafında bu yaklaşım, SASE mimarisiyle birleşerek konumlanıyor. Prisma Access Browser, doğrudan Prisma SASE platformunun bir parçası olarak, tarayıcıya ZTNA 2.0, URL filtering, DNS security, sandboxing ve veri odaklı controller taşımayı hedefliyor

Palo Alto Networks PAB(Prisma access Browser)’ı kendi sitesinde şöyle tanımlıyor:

“Prisma Access Secure Enterprise Browser (Prisma Access Browser)”

• Kurumsal kullanım için tasarlanmış,
• Phishing, zararlı yazılım, dinleme ve veri sızdırma gibi tehditlere karşı güçlendirilmiş,
• Güvenliği doğrudan tarayıcıya taşıyan bir çözüm.
• SASE-native bir tarayıcı

Ürün, klasik “browser eklentisi” yaklaşımından farklı olarak, doğrudan Palo Alto SASE mimarisine entegre bir şekilde çalışıyor:

• Prisma SASE / Prisma Access üzerinden sağlanan ağ güvenliği (URL filtering, threat prevention, WildFire sandboxing vb.) tarayıcı içi trafiğe uygulanıyor.
• Aynı platform üzerinden, hem internet hem de kurumsal özel uygulamalara (private apps) erişim kontrol edilebiliyor.

Bu sayede müşteri, “tarayıcı + SASE” ikilisini tek çatıdan yönetebiliyor.

Masaüstü ve mobil için tek tarayıcı yaklaşımı

Prisma Access Browser sadece masaüstü için değil; Android ve iOS için de Prisma Access Browser mobile uygulamasıyla geliyor:

• Aynı politika motoru, mobil tarayıcıda da geçerli oluyor.
• MDM üzerinden (Intune vb.) konfigüre edilerek, mobil cihazlarda da sadece güvenli tarayıcı üzerinden kurumsal SaaS’a erişim zorunlu kılınabiliyor.

Prisma Access Browser’ın öne çıkan yeteneklerini kabaca özetlersek:

Veri hareketi ve sızıntı kontrolü

• Kurumsal uygulamalardan veri indirme, yükleme, kopyalama, yapıştırma, yazdırma, ekran görüntüsü / ekran paylaşımı gibi aksiyonlar üzerinde detaylı kontrol.
• Özellikle BYOD ve tedarikçi cihazlarında, sadece tarayıcı içinde “güvenli çalışma alanı” (secure workspace) yaratma yaklaşımı.
• Gerekirse belirli SaaS uygulamalarını native mobil uygulamada değil, zorunlu olarak güvenli tarayıcı içinde açma opsiyonu.

Kimlik, cihaz durumu ve uygulama bağlamını birleştirme

• Cihazın managed / unmanaged olması,
• Kullanıcının grubu ve konumu,
• Erişilen uygulama

gibi parametreleri kural setlerine dahil ederek, oturum bazlı ve risk bazlı erişim politikaları tanımlanabiliyor.

VDI ve klasik VPN’e alternatif bir model

Prisma Access Browser, özellikle iş yükleri web ve SaaS uygulamalarında yoğunlaşan kurumlarda, VDI ve klasik VPN mimarilerine güçlü bir alternatif oluşturuyor. Kullanıcı, tam bir sanal masaüstü oturumu açmak yerine, güvenli kurumsal tarayıcı üzerinden doğrudan ihtiyaç duyduğu uygulamalara erişebiliyor.

Bu modelde:

• Web/SaaS odaklı kullanıcılar, CRM, ticketing, çağrı merkezi uygulamaları, e-posta ve iç portallar gibi tüm işlerini Prisma Access Browser içinden yürütebiliyor.
  Bu sayede, bu profil için VDI oturumu açma veya sürekli VPN bağlantısı kurma ihtiyacı büyük ölçüde ortadan kalkıyor.
• BYOD ve tedarikçi cihazları, ağa tam erişim vermeden yönetilebiliyor.
  Kurum, yalnızca Prisma Access Browser üzerinden belirlenmiş kurumsal uygulamalara erişim tanımlayabiliyor; veri hareketi (indirme, yükleme, kopyalama, yazdırma, ekran paylaşımı vb.) tarayıcı seviyesinde kontrol edilebiliyor. Bu yapı, geleneksel “VPN ver, tüm ağa sok” modeline göre çok daha dar ve kontrollü bir erişim yüzeyi sağlayabiliyor.
• Ağ ve erişim politikaları, tarayıcı ile SASE katmanı arasında uçtan uca tutarlı kalabiliyor.
  Kullanıcı hangi lokasyondan, hangi cihazdan bağlanırsa bağlansın; aynı URL filtreleme, tehdit önleme, veri ve erişim politikaları devreye girebiliyor. Bu da VDI/VPN ağırlıklı dağınık yapılara göre operasyonel anlamda ciddi bir sadeleşme sağlayabiliyor.

Ürün dokümanları, datasheet’ler ve çeşitli paylaşımlar üzerinden bakınca, aşağıdaki senaryolar için enterprise browser yaklaşımının öne çıktığını görüyoruz:

Tedarikçi ve 3^rd Party erişimi

• Kurum, iç sistemlerine erişen çok sayıda tedarikçi / outsource ekiple çalışıyor.
• Her birine kurumsal laptop ve VPN vermek yerine;
  • Prisma Access Browser üzerinden, sadece tanımlı SaaS ve private uygulamalara erişim veriliyor.
  • Veri hareketi (download/upload/copy/print) tarayıcı seviyesinde kontrol ediliyor.
  • Erişimler merkezi olarak loglanıyor.

BYOD ve hibrit çalışma

• Çalışanlar, kişisel cihazlarından da kurumsal SaaS’lara erişmek istiyor.
• Kurum ise bu cihazlara tam kapsamlı agent ve GPO politikaları yüklemek istemiyor.
• Bu durumda:
  • Kişisel cihazda sadece Prisma Browser veya mobilde Prisma Access Browser ile kurumsal alana erişim veriliyor.
  • Kişisel tarayıcı ile kurumsal hesap ayrımı net bir şekilde sağlanmış oluyor.

Hassas SaaS ve web uygulamalarına ekstra koruma

• CRM, HR, ERP, finansal uygulamalar gibi hassas SaaS’larda/web app’larda:
  • Ekran paylaşımının, yazdırmanın veya clipboard kullanımının kısıtlanması,
  • Belirli sayfalarda watermark eklenmesi,
  • Sadece güvenli tarayıcıdan erişim zorunluluğu,

gibi politikalar enterprise browser katmanında çok detaylı ve user spesifik tanımlanabiliyor.

Biz Netsmart tarafında, müşterilerle güvenlik mimarisi konuşurken tarayıcıyı artık ayrı bir katman olarak ele alıyoruz. Özellikle SaaS kullanımının arttığı, uzaktan çalışma ve 3rd party erişiminin günlük hayatın parçası olduğu ortamlarda Prisma Access Browser çok net bir ihtiyaç olarak ortaya çıkıyor.

Kurum olarak şu sorulara “evet” diyorsanız, enterprise browser konseptini değerlendirmenin zamanı gelmiş olabilir:

• Kullanıcılarınızın ve 3rd party ekiplerin önemli bir kısmı SaaS ve web uygulamalarında mı çalışıyor?
• BYOD veya tedarikçi cihazlarından erişim sizde de kalıcı bir ihtiyaç haline geldi mi?
• VDI/VPN kombinasyonu, hem maliyet hem de yönetim tarafında size ek yük getiriyor mu?
• Bazı kritik SaaS/web uygulamalarda veri hareketini (indirme, kopyalama, yazdırma, ekran paylaşımı vb.) daha sıkı yönetme ihtiyacı hissediyor musunuz?
• Kimlik, ağ ve tarayıcı güvenliğini tek çatı altında düşünmek, yol haritanızda yer alıyor mu?

Bu sorular sizde de tanıdık geliyorsa, bir sonraki adım; mevcut VPN/VDI/SASE vb. planlarınızı birlikte masaya yatırıp, Prisma Access Browser’ın bu mimariye nerede oturduğunu netleştirmek oluyor. Netsmart olarak deneyimli kadromuzla hem mimari tasarım hem de PoC süreçlerinde mimaride nereye konumlanıp neleri replace edebileceğimizi beraber kurgulayabiliyoruz.

Sorularınız için [email protected] , Teknik destek için [email protected] adresine konu ile ilgili mail atmanız yeterli olacaktır.

Ali Gürhan Kara

 - 12 Ocak 2026, Pazartesi