O que é um proxy reverso

Diferenças entre um proxy reverso e um proxy de encaminhamento

É fácil confundir esses dois tipos de servidores proxy, então vamos analisá-los.

Ao se posicionar na frente de um servidor web, um proxy reverso garante que nenhum cliente se comunique diretamente com o servidor. Um proxy de encaminhamento (outro modo de CASB) se posiciona na frente dos terminais do cliente para interceptar solicitações recebidas e garantir que nenhum servidor se comunique diretamente com um cliente. Esses diferentes tipos de servidores podem parecer funcionalmente semelhantes, mas os proxies de encaminhamento geralmente dependem de um agente de software instalado nos terminais para encaminhar o tráfego, enquanto os proxies reversos não.

O que é um servidor proxy reverso

“Servidor proxy reverso” é essencialmente um termo mais formal para um proxy reverso. (O mesmo vale para “servidor proxy de encaminhamento”, no caso de um proxy de encaminhamento.) Hoje em dia, tendemos a abandonar a palavra “servidor” porque ela lembra hardware, como algo físico, enquanto a tecnologia geralmente assume a forma de um aplicativo ou serviço na nuvem.

Como funciona um proxy reverso?

Situado no fluxo de tráfego, um proxy reverso se integra ao serviço de autenticação de uma organização (por exemplo, logon único). Depois que a TI configura serviços e aplicativos para realizar transações com o proxy reverso, o proxy pode operar em linha sem um agente. Isso oferece uma experiência de usuário simples, com o tráfego de entrada para aplicativos gerenciados na nuvem e similares redirecionados automaticamente para o proxy reverso.

Vamos analisar esse processo um pouco mais de perto.

Um proxy reverso pode proteger dados sigilosos (por exemplo, dados de PCI, PII) agindo como um intermediário ou substituto para o servidor no qual esses dados residem. As solicitações do cliente são roteadas primeiro para o proxy reverso, depois por meio de uma porta especificada em qualquer firewall aplicável e, em seguida, para o servidor de conteúdo e, finalmente, de volta. O cliente e o servidor nunca se comunicam diretamente, mas o cliente interpreta as respostas como se tivessem se comunicado. Aqui estão as etapas básicas:

1. O cliente envia uma solicitação, que o proxy reverso intercepta
2. O proxy reverso encaminha a solicitação de entrada para o firewall (o proxy reverso pode ser configurado para responder diretamente às solicitações de arquivos em seu cache sem se comunicar com o servidor; veja mais detalhes sobre isso nos casos de uso)
3. O firewall bloqueia a solicitação ou a encaminha para o servidor
4. O servidor envia a resposta através do firewall para o proxy
5. O proxy reverso envia a resposta ao cliente

O proxy reverso também pode sanitizar as respostas do servidor em busca de informações que poderiam permitir a um hacker redirecioná-las para recursos internos protegidos ou explorar outras vulnerabilidades.

Software de código aberto e proxies reversos

Os proxies reversos são frequentemente criados em software de código aberto (OSS) porque permitem que os desenvolvedores acessem, modifiquem e distribuam o código-fonte. Muitos proxies reversos de código aberto oferecem recursos flexíveis e personalizáveis, permitindo que os usuários adaptem o proxy de acordo com suas necessidades.

Por exemplo, Nginx, Apache e HAProxy são todos proxies reversos que, por meio de sua funcionalidade de OSS, fornecem balanceamento de carga, armazenamento em cache, descarregamento de SSL e roteamento de solicitações HTTP. O OSS também pode ser ideal para fins de segurança, pois permite que muitas pessoas revisem o código para identificar vulnerabilidades e propor correções.

Casos de uso do proxy reverso

O proxy reverso, como um modo de implantação do CASB, é essencial para o modelo de Security Service Edge (SSE), juntamente com o Secure Web Gateway (SWG), acesso à rede zero trust (ZTNA) e outros serviços de segurança disponibilizados na nuvem.

Além do SSE, casos de uso específicos comuns para proxies reversos incluem:

Proteger dispositivos não gerenciados

Muitos de seus funcionários podem usar vários dispositivos para trabalhar, incluindo dispositivos pessoais. Além disso, muitos fornecedores, parceiros e clientes podem precisar acessar seus aplicativos internos em seus próprios dispositivos não gerenciados, o que representa um risco à sua segurança.

Você pode instalar agentes, como VPNs , para gerenciar dispositivos que sua organização possui, mas terminais não gerenciados são uma história diferente. Funcionários terceirizados não permitem que você instale agentes em seus terminais, e muitos funcionários também não querem agentes em seus dispositivos pessoais. Em vez disso, um proxy reverso oferece proteção sem agentes contra vazamento de dados e malware de qualquer dispositivo não gerenciado que acesse seus aplicativos e recursos na nuvem.

Proteção de dados

Um proxy reverso pode aplicar políticas de prevenção contra perda de dados para impedir uploads e downloads acidentais ou intencionais de informações sigilosas, de ou para aplicativos na nuvem autorizados. Como opera em linha e inspeciona o tráfego criptografado (especialmente um proxy reverso baseado na nuvem), ele pode garantir que os dados enviados ou baixados estejam em conformidade com suas políticas.

Prevenção contra ameaças

Um arquivo infectado em um serviço na nuvem pode se espalhar para aplicativos e dispositivos conectados, especialmente dispositivos não gerenciados. Ao impedir, sem agentes, uploads ou downloads de arquivos infectados de ou para recursos na nuvem, um proxy reverso oferece proteção avançada contra ameaças, como malware e ransomware.

Por natureza, nossa arquitetura também oculta servidores e seus endereços IP dos clientes, o que protege seus recursos da web contra ameaças como ataques de negação de serviço distribuída (DDoS).

Balanceamento de carga

Os proxies reversos podem ser usados para lidar com solicitações de clientes que poderiam sobrecarregar um único servidor com alta demanda, promovendo alta disponibilidade e melhores tempos de carregamento ao aliviar a pressão do servidor de backend. Eles fazem isso principalmente de duas maneiras diferentes:

1. Um proxy reverso pode armazenar em cache o conteúdo de um servidor de origem em armazenamento temporário e, em seguida, enviá-lo aos clientes que o solicitam sem realizar mais transações com o servidor (isso é chamado de aceleração web). Um sistema de nomes de domínio (DNS) pode ser usado para rotear solicitações uniformemente entre vários proxies reversos.
2. Se um site grande ou outro serviço web usar vários servidores de origem, um proxy reverso pode distribuir solicitações entre eles para garantir cargas uniformes no servidor.

Benefícios de usar um proxy reverso

Com esses casos de uso em mente, as vantagens de usar um proxy reverso se enquadram em três áreas principais:

• Segurança de dados e prevenção de ameaças: os proxies reversos fornecem funcionalidade de firewall de aplicativo da web (WAF), monitorando e filtrando o tráfego (incluindo tráfego criptografado) entre terminais gerenciados e não gerenciados e o servidor web, protegendo-o contra injeção de SQL, cross-site scripting e outros ataques cibernéticos.
• Capacidade de dimensionamento e gerenciamento de recursos: este é um benefício duplo. Os proxies reversos oferecem suporte à escala operacional, eliminando a necessidade de instalar agentes em cada terminal de usuário antes que você possa oferecer acesso seguro aos recursos gerenciados. Eles também oferecem suporte ao dimensionamento da infraestrutura por meio de recursos como balanceamento de carga de servidor, gerenciamento de tráfego de API e outros.
• Desempenho e produtividade: os proxies reversos baseados na nuvem podem analisar e aplicar políticas de segurança ao tráfego, incluindo tráfego de usuários remotos, sem precisar fazer retorno do tráfego pelo seu data center, o que é fundamental para a otimização do desempenho do usuário final. Eles também têm dimensionamento praticamente ilimitado para inspeção de tráfego em TLS/SSL (a maior parte do tráfego atual), enquanto firewalls e proxies baseados em dispositivos raramente podem inspecionar criptografia TLS/SSL sem grandes quedas de desempenho.

Desafios dos proxies reversos

Os proxies reversos oferecem benefícios de segurança notáveis quando se trata de proteger dispositivos não gerenciados e aplicativos corporativos, mas também trazem limitações notáveis, como:

• Nenhuma segurança para recursos não gerenciados: se um usuário precisar de acesso seguro a um aplicativo ou recurso que não esteja integrado ao seu SSO, ele estará fora do alcance de um proxy reverso. Os proxies reversos monitoram apenas o tráfego destinado a recursos autorizados, não todo o tráfego. Para proteger recursos não autorizados da mesma forma, você precisará de um proxy de encaminhamento.
• Risco de quebra frequente: os proxies reversos geralmente são programados para funcionar com versões específicas de aplicativos. Portanto, quando um aplicativo é atualizado e um novo código é enviado ao proxy, ele pode quebrar. Isso pode fazer com que o aplicativo atualizado fique indisponível até que o proxy possa ser reprogramado, gerando frustração dos usuários e perda de produtividade.

Uma maneira melhor: isolamento do navegador baseado na nuvem

Hoje em dia, mais organizações estão recorrendo ao isolamento do navegador baseado na nuvem para evitar as limitações e os riscos de quebra dos proxies reversos e, ao mesmo tempo, permitir o uso seguro de dispositivos não gerenciados sem agentes de terminal.

Quando um usuário acessa um aplicativo na nuvem gerenciado, o Zscaler Cloud Browser Isolation virtualiza a sessão e renderiza o conteúdo em um ambiente isolado na nuvem, enviando a sessão ao usuário como um fluxo de pixels. A experiência do usuário é idêntica à experiência nativa desse aplicativo na nuvem, exceto que o CBI impede que dispositivos não gerenciados baixem, copiem, colem ou imprimam os dados sigilosos encontrados no aplicativo.

Isso torna o CBI a maneira ideal de oferecer suporte à flexibilidade e à produtividade para sua ampla base de usuários, ao mesmo tempo em que previne vazamentos acidentais, exfiltração maliciosa e proliferação de malware por meio de dispositivos não gerenciados.

Isolamento do navegador baseado na nuvem da Zscaler

O Zscaler Browser Isolation™ fornece defesa incomparável contra ameaças e vazamentos de dados baseados na web, fornecida pelo isolamento web zero trust mais avançado do setor.

Uma experiência de usuário incomparável

Obtenha conexões de alta velocidade com aplicativos e sites com nossa tecnologia exclusiva de streaming de pixels e arquitetura de proxy direto para a nuvem. Os usuários recebem um fluxo de pixels de alto desempenho em seus navegadores, oferecendo segurança sem prejudicar a produtividade.

Proteção consistente para usuários em qualquer lugar

Proteja qualquer usuário, em qualquer dispositivo, em qualquer local com uma política de isolamento zero trust que abrange sede, unidades móveis ou remotas e funções e departamentos altamente segmentados.

Menos problemas de gestão

Implante e gerencie em segundos, aproveitando o Zscaler Client Connector ou uma opção sem agentes para rotear o tráfego pela Zscaler Zero Trust Exchange™ com sua integração nativa de isolamento do navegador.

Compatibilidade universal

Aproveite a cobertura de todos os principais navegadores web para atender às preferências do usuário. A persistência de cookies para sessões isoladas mantém as principais configurações, preferências e informações de login dos usuários intactas.