Qu’est-ce qu’un proxy direct ?

Comment fonctionne un proxy direct ?

Un proxy direct est bien plus qu’un simple contrôleur de trafic. En tant qu’intermédiaire, le proxy peut protéger les utilisateurs contre l’accès direct d’acteurs malveillants et les empêcher de compromettre les données et les ressources de l’entreprise, que ce soit intentionnellement ou non. Il fonctionne en mode inline, situé directement dans le flux du trafic, ce qui permet à une entreprise d’identifier tout problème de sécurité et d’appliquer les politiques appropriées en temps réel.

Les proxies sont des tampons qui contribuent à protéger les applications et les données contre toute atteinte, qu’elle résulte d’une erreur d’un utilisateur ou d’une exfiltration malveillante de données ou encore de malwares.

Proxy direct vs. pare-feu traditionnel

Le proxy direct diffère des pare-feu, qui servent à protéger les systèmes contre les menaces externes, sur deux points essentiels :

1. Les pare-feu traditionnels utilisent une approche de type « passthrough », qui consiste à transférer le trafic vers le destinataire final tout en inspectant son contenu.
2. Si le trafic s’avère dangereux, le pare-feu envoie une alerte, mais celle-ci risque d’être reçue trop tard. Un proxy, en revanche, ne transmet pas le trafic tant que son contenu n’a pas été soumis à un processus d’authentification et n’a pas été jugé sûr.

Bien qu’il ne s’agisse pas d’une comparaison directe entre un proxy et un pare-feu, il convient de noter qu’un proxy direct basé sur le cloud peut également inspecter le trafic chiffré. La plupart du trafic actuel étant chiffré, il est essentiel de pouvoir le visualiser correctement. Toutefois, le processus de déchiffrement, d’inspection et de rechiffrement du trafic est très gourmand en ressources informatiques. Les pare-feu basés sur des appliances, avec leurs limitations inhérentes en termes de traitement, ne peuvent pas gérer un volume élevé de chiffrement sans ajouter de latence (cependant, un pare-feu cloud le peut).

Les proxys directs sont de plus en plus associés aux solutions de sécurité cloud comme les CASB (Cloud Access Security Broker), qui peuvent être déployées en mode proxy direct. Avec un CASB, un agent logiciel installé sur un appareil utilisateur transfère le trafic vers un point d’inspection dans le cloud, qui applique des politiques de sécurité en temps réel afin de renforcer la sécurité des connexions avec les ressources cloud telles que les applications SaaS et les plateformes IaaS.

Avec l’adoption croissante des applications SaaS et du télétravail, l’utilisation du mode proxy direct basé sur le cloud d’un CASB (par opposition à un pare-feu ou à un dispositif proxy, sur site ou déployé virtuellement) peut constituer un puissant moyen de protéger les appareils gérés d’une entreprise.

Cependant, lorsqu’il s’agit d’appareils non gérés, c’est-à-dire les appareils BYOD ou ceux de partenaires tiers, les proxies directs ne sont pas vraiment en mesure d’assurer la sécurité des transactions, car celles-ci proviennent du demandeur et non du client. En effet, ce cas d’utilisation est mieux pris en charge par le proxy inverse, cousin du proxy direct.

Proxy direct vs. proxy inverse

Il est facile de confondre les proxys directs et inverses, aussi allons-nous les détailler.

Situé devant un serveur Web, un proxy inverse garantit qu’aucun client ne communique directement avec le serveur. Un proxy direct se trouve devant les terminaux clients afin d’intercepter les requêtes entrantes et de garantir qu’aucun serveur ne communique directement avec un client tel qu’un navigateur web. Ces types de proxies peuvent sembler similaires d’un point de vue fonctionnel, mais les proxys directs dépendent généralement d’un agent logiciel installé sur les terminaux pour transférer le trafic, ce qui n’est pas le cas des proxys inverses.

Autre différence clé, les proxies inverses contiennent un équilibreur de charge qui peut être utilisé pour optimiser les requêtes des clients qui, autrement, pourraient submerger un seul serveur soumis à une forte demande, ce qui favorise une haute disponibilité et de meilleurs temps de chargement tout en soulageant le serveur backend. Ils le font principalement de deux manières différentes :

1. Un proxy inverse peut mettre en cache le contenu d’un serveur d’origine dans un stockage temporaire, puis envoyer le contenu aux clients qui le demandent sans autre transaction avec le serveur (c’est ce qu’on appelle l’accélération Web). Les DNS peuvent être utilisés pour acheminer les demandes de manière uniforme entre plusieurs proxys inverses.
2. Si un grand site Web ou un autre service Web utilise plusieurs serveurs d’origine, un proxy inverse peut répartir les demandes entre ceux-ci afin d’assurer une charge uniforme sur les serveurs.

Pourquoi un proxy direct est-il désormais indispensable ?

Le modèle de périmètre sécurisé vieux de plusieurs décennies, également appelé sécurité cloisonnée, a été conçu pour empêcher le trafic malveillant provenant d’Internet d’entrer dans le réseau interne. Ce modèle est désormais obsolète en raison de la généralisation des applications dans le cloud et du nombre croissant d’utilisateurs situés en dehors du périmètre traditionnel, qui se connectent depuis n’importe où aux applications privées, aux SaaS et aux données stockées dans les clouds publics.

Si vous restez fidèle à l’ancien modèle, vos utilisateurs se connectent via un réseau privé virtuel (VPN), (sur une liaison MPLS, dans le cas des employés travaillant dans des sites distants) à votre data center, qui envoie ensuite le trafic via votre pile de sécurité de passerelle sortante vers le cloud, puis le renvoie. Cela élargit votre surface d’attaque, vous exposant à de sérieux risques. De plus, cela crée une médiocre expérience numérique pour vos utilisateurs.

Les applications cloud ont été conçues pour être accessibles directement, via le chemin le plus court, pour une expérience rapide et productive. Les appliances du data center qui autorisent le passthrough ne sont tout simplement pas adaptées à cette tâche. Pour des connexions rapides, directes et sécurisées, vous devez utiliser un proxy direct qui exploite les performances et l’évolutivité du cloud.

Cas d’utilisation du proxy direct

Pour migrer vers le cloud, vous devez disposer d’une stratégie de sécurité qui s’appuie sur une architecture proxy basée sur le cloud. Voici quelques principaux cas d’utilisation pour les organisations qui souhaitent adopter un proxy direct (et le CASB en particulier).

Découverte de l'informatique fantôme

L’utilisation du cloud est répartie entre les applications SaaS, les groupes d’utilisateurs et les emplacements. Les applications non autorisées (c’est-à-dire l’informatique fantôme) abondent, mais sans les solutions adéquates, il est difficile, voire impossible, de maintenir une visibilité sur ce à quoi les utilisateurs accèdent. Un proxy direct vers un CASB garantit la surveillance et la journalisation de tout le trafic provenant des appareils utilisateurs autorisés, ce qui permet au service informatique d’identifier les applications non autorisées et d’en contrôler l’accès, soit individuellement, soit par catégorie.

Protection des données

Les applications SaaS étant conçues pour permettre un partage rapide et facile, il n’est pas rare que les utilisateurs téléchargent des données professionnelles critiques vers des emplacements inappropriés. Un proxy direct basé sur le cloud est le meilleur moyen d’empêcher les utilisateurs de télécharger des informations sensibles vers des destinations cloud risquées, car il fonctionne en mode inline et dispose d’une capacité suffisante pour inspecter l’ensemble du trafic. De plus, il peut masquer les adresses IP.

Prévention des menaces

Outre le fait qu’elles constituent une voie propice à l’exfiltration de données, les applications SaaS peuvent également servir de vecteur de propagation de malwares. La fonctionnalité de partage rapide peut être détournée pour distribuer des fichiers infectés au sein d’une entreprise et entre plusieurs entreprises. Un proxy direct empêche le téléchargement de fichiers infectés vers des ressources cloud en permettant à des technologies telles que la protection contre les menaces avancées (Advanced threat protection, ATP) et le sandbox cloud de fonctionner en mode inline et d’intercepter les menaces en transit.

Comment choisir un proxy direct

À certains égards, les serveurs proxy directs ont mauvaise réputation. Ils sont considérés comme coûteux et complexes à configurer et à gérer. Ils peuvent ajouter de la latence et engendrer une piètre expérience utilisateur. De plus, une interruption de service du proxy peut considérablement perturber vos opérations. Tout cela s’explique par le fait que, historiquement, les proxys ont été déployés sous forme d’appliances physiques ou virtualisées.

Les proxys directs peuvent constituer un atout de sécurité majeur lorsqu’ils sont fournis en mode inline depuis le cloud, où ils ne présentent aucun des inconvénients de leurs homologues basés sur des appliances. Une architecture de proxy basée sur le cloud élimine les dépenses liées à l’achat et à la maintenance des appliances, et peut évoluer pour répondre aux demandes. Cette évolutivité sans précédent résout également le problème crucial de l’inspection du trafic chiffré TLS/SSL à la recherche de menaces et de fuites de données, qui est trop gourmande en ressources pour les proxys traditionnels.

Le proxy direct basé sur le cloud adéquat permet :

• Une protection cohérente des données et contre les menaces sur tous vos canaux de données cloud avec une politique simple.
• Une sécurité unifiée dans le cadre d’une offre SASE qui prend en charge les cas d’utilisation liés au CASB, au SWG et au ZTNA pour respectivement sécuriser l’accès aux applications et aux API clouds, au Web et aux ressources internes.
• Une simplicité de l’écosystème informatique grâce à une architecture à passage unique qui dispense de l’utilisation d’appliances et fournit des fonctionnalités avancées sans nécessiter de configurations proxy complexes telles que le chaînage de proxy.

Pourquoi Zscaler ?

Lors du choix d’un proxy direct, ou plus précisément d’un CASB, il est important de choisir un fournisseur qui dispose d’une solution inline ayant fait ses preuves, et qui est un leader reconnu dans le domaine de la sécurité. Zscaler est bâti sur une architecture proxy cloud native afin d’offrir tous les avantages que nous avons évoqués. Nous exploitons le plus grand cloud de sécurité inline au monde, avec plus de 150 data centers sur six continents, au service de clients répartis dans 185 pays et traitant des centaines de milliards de transactions chaque jour.

Conçu pour la performance, Zscaler achemine intelligemment le trafic vers notre data center le plus proche, où nous nous connectons aux meilleures applications telles que Microsoft 365, Zoom, Salesforce, et bien d’autres, pour garantir la distance la plus courte entre les utilisateurs et leurs applications. Cette performance renforcée se traduit par une meilleure expérience utilisateur qui dynamise la productivité de l’entreprise.

Zscaler fournit des fonctionnalités CASB de pointe, telles que :

• La correspondance exacte des données (Exact data match, EDM) pour la prévention de la perte de données (Data loss prevention, DLP)
• Le sandbox cloud pour la protection contre les menaces avancées (ATP)
• La Passerelle web sécurisée (Secure web gateway, SWG) intégrée
• Une architecture Zero Trust (ZTA) cohérente avec la vision de Gartner pour le SASE

Nous assurons une sécurité cohérente dans tout votre écosystème informatique et partout où vos utilisateurs se connectent, ce qui permet à votre entreprise et à des milliers d’autres d’adopter en toute sécurité la transformation numérique et les initiatives de télétravail pour les collaborateurs distants et hybrides.