¿Qué es un proxy de reenvío?

¿Cómo funciona un proxy de reenvío?

Un proxy de reenvío es mucho más que un controlador de tráfico. Como intermediario, el proxy puede proteger a los usuarios del acceso directo o de los malintencionados, así como evitar que pongan en peligro los datos y los recursos de la empresa, intencionadamente o no. Funciona "en línea", situándose directamente en el flujo de tráfico, lo que permite a una organización identificar cualquier amenaza para la seguridad y aplicar las políticas necesarias en tiempo real.

Los proxies son amortiguadores que ayudan a mantener las aplicaciones y los datos a salvo de daños, ya sean consecuencia de errores del usuario o de la exfiltración maliciosa de datos y malware.

Proxy de reenvío vs. firewall tradicional

Comparado con los firewalls como medio de protección de los sistemas frente a amenazas externas, un proxy de reenvío difiere en dos aspectos clave:

1. Los firewalls tradicionales utilizan un enfoque de paso a través, reenviando el tráfico al destinatario previsto mientras se sigue inspeccionando su contenido.
2. Si se determina que el tráfico no es seguro, el firewall envía una alerta, pero es posible que la reciba demasiado tarde. Un proxy, por otro lado, no reenvía tráfico hasta que su contenido haya pasado por un proceso de autenticación y se haya determinado que es seguro.

Aunque no se trata de una comparación directa entre proxy y firewall, cabe señalar que un proxy de reenvío basado en la nube también puede inspeccionar el tráfico cifrado. Dado que la mayor parte del tráfico actual está cifrado, es fundamental tener visibilidad sobre él, pero el proceso de descifrar, inspeccionar y volver a cifrar el tráfico requiere un gran esfuerzo informático. Los firewalls basados en dispositivos, con limitaciones de procesamiento inherentes, no pueden gestionar un gran volumen de cifrado sin añadir latencia (sin embargo, un firewall en la nube sí puede).

Los debates sobre los proxies de reenvío van cada vez más de la mano de las conversaciones sobre los agentes de seguridad de acceso a la nube (CASB), que son herramientas de seguridad en la nube que pueden desplegarse en modo de proxy de reenvío. Con un CASB, un agente de software instalado en un dispositivo de usuario reenvía el tráfico a un punto de inspección en la nube, que aplica políticas de seguridad en tiempo real para fomentar conexiones seguras con recursos basados en la nube, como aplicaciones SaaS y plataformas IaaS.

A medida que aumenta la adopción de aplicaciones SaaS y el trabajo a distancia, el uso del modo de proxy de reenvío basado en la nube de un CASB (a diferencia de un firewall o un dispositivo proxy, en las instalaciones o implementado virtualmente) puede ser una manera eficaz de proteger los dispositivos gestionados de una organización.

Sin embargo, cuando se trata de dispositivos no gestionados, es decir, BYOD o dispositivos de asociados externos, los proxies de reenvío no son del todo capaces de garantizar la seguridad de sus transacciones, ya que proceden del solicitante, no del cliente. De hecho, este caso de uso está mejor cubierto por el hermano del proxy directo, el proxy inverso.

Proxy directo vs. Proxy inverso

Es fácil confundir los proxies directos e inversos, así que vamos a desglosarlos.

Al situarse frente a un servidor web, un servidor proxy inverso garantiza que ningún cliente se comunique directamente con el servidor. Un proxy de reenvío se ubica frente a los puntos finales del cliente para interceptar solicitudes entrantes y garantizar que ningún servidor se comunique directamente con un cliente, como un navegador web. Estos tipos de proxies suenan funcionalmente similares, pero los proxies de reenvío suelen depender de un agente de software instalado en los puntos finales para reenviar el tráfico, mientras que los proxies inversos no.

Otra diferencia clave es que los proxies inversos contienen un equilibrador de carga, que puede utilizarse para optimizar las peticiones de los clientes que, de otro modo, podrían saturar un único servidor con una gran demanda, promoviendo una alta disponibilidad y mejores tiempos de carga al quitar presión al servidor backend. Lo hacen principalmente de dos maneras diferentes:

1. Un proxy inverso puede almacenar en caché contenido de un servidor de origen en almacenamiento temporal y, a continuación, enviar el contenido a los clientes que lo soliciten sin realizar más transacciones con el servidor (esto se denomina aceleración web). El DNS se puede utilizar para enrutar solicitudes de manera uniforme entre múltiples proxies inversos.
2. Si un sitio web de gran tamaño u otro servicio web utiliza varios servidores de origen, un proxy inverso puede distribuir las peticiones entre ellos para garantizar una carga uniforme del servidor.

Por qué se necesita hoy en día un proxy de reenvío

El modelo de perímetro de seguridad de hace décadas, también llamado seguridad de "castle and moat", se diseñó para evitar que el tráfico malicioso entrara en la red interna desde Internet. En la actualidad, teniendo en cuenta que las aplicaciones están en la nube y que muchos usuarios se encuentran fuera del perímetro tradicional, conectándose desde cualquier lugar a sus aplicaciones privadas, SaaS y datos en nubes públicas, ese modelo ha quedado obsoleto.

Si se queda con el modelo tradicional, sus usuarios se conectan a través de una red privada virtual (VPN) (en un enlace MPLS, en el caso de los trabajadores en sucursales) a su centro de datos, que luego envía el tráfico a través de su pila de seguridad de puerta de enlace de salida a la nube y de vuelta. Esto amplía su superficie de ataque, exponiéndolo a un riesgo significativo. Además, crea una experiencia digital terrible para sus usuarios.

Las aplicaciones en la nube se diseñaron para ser accesibles directamente, a través del camino más corto, a fin de proporcionar una experiencia rápida y productiva. Los dispositivos del centro de datos que trabajan permitiendo el paso simplemente no están a la altura. Para lograr conexiones rápidas, directas y seguras, necesita usar un proxy de reenvío que aproveche el rendimiento y la escala de la nube.

Casos de uso de proxy de reenvío

A medida que se traslada a la nube, necesita una estrategia de seguridad construida sobre una arquitectura proxy basada en la nube. A continuación se presentan algunos casos de uso importantes para organizaciones que buscan adoptar el proxy de reenvío (y CASB en particular).

Descubrimiento de de TI oculta

El uso de la nube se distribuye entre aplicaciones SaaS, grupos de usuarios y ubicaciones. Las aplicaciones no autorizadas (es decir, la TI oculta) abundan, pero mantener la visibilidad sobre a qué acceden los usuarios es difícil, si no imposible, sin las soluciones adecuadas. El proxy de reenvío a un CASB garantiza la supervisión y el registro de todo el tráfico procedente de los dispositivos de usuarios autorizados, lo que permite al departamento de TI identificar aplicaciones no autorizadas y controlar el acceso a ellas, ya sea de manera individual o por categoría.

Protección de datos

Debido a que las aplicaciones SaaS están diseñadas para permitir compartir de manera rápida y sencilla, es común que los usuarios carguen datos comerciales críticos en ubicaciones inapropiadas. Un proxy de reenvío basado en la nube es la mejor solución para evitar que los usuarios suban información confidencial a destinos riesgosos en la nube, ya que funciona en línea y tiene la escala necesaria para inspeccionar todo el tráfico; además, puede ocultar las direcciones IP.

Prevención de amenazas

Además de ser una vía atractiva para la exfiltración de datos, las aplicaciones SaaS pueden ser un conducto para la propagación de malware. La funcionalidad de intercambio rápido puede ser explotada para distribuir archivos infectados dentro de las organizaciones y entre ellas. Un proxy de reenvío evita que los archivos infectados se carguen a los recursos de la nube al permitir que tecnologías como la protección contra amenazas avanzadas (ATP) y el entorno protegido en la nube operen en línea e intercepten las amenazas en tránsito.

Cómo elegir un proxy de reenvío

En cierto modo, los servidores proxy de reenvío tienen mala reputación. Se sabe que son costosos y complejos de configurar y administrar. Pueden agregar latencia y crear una experiencia de usuario deficiente. Además, si un proxy sufre un tiempo de inactividad, puede interrumpir significativamente sus operaciones. Todo esto se debe a que, históricamente, los servidores proxy se han implementado como dispositivos físicos o virtualizados.

Los servidores proxy de reenvío pueden suponer una gran ventaja para la seguridad cuando se ofrecen en línea desde la nube, donde no tienen ninguno de los inconvenientes de sus homólogos basados en dispositivos. Una arquitectura de proxy basada en la nube elimina el gasto de comprar y mantener dispositivos y puede escalar según sea necesario para satisfacer la demanda. Esta escalabilidad sin precedentes también resuelve el desafío clave de inspeccionar el tráfico cifrado TLS/SSL en busca de amenazas y fugas de datos, lo que resulta demasiado intensivo desde el punto de vista informático para los proxies tradicionales.

Un proxy de reenvío basado en la nube adecuado permite:

• Protección uniforme contra amenazas y datos en todos sus canales de datos en la nube con una política sencilla.
• Seguridad unificada como parte de una oferta de SASE que admite casos de uso relacionados con CASB, puerta de enlace web segura y ZTNA para proteger el acceso a aplicaciones y API en la nube, la web y los recursos internos, respectivamente.
• Simplicidad del ecosistema de TI a través de una arquitectura de paso único que renuncia a los dispositivos y proporciona una funcionalidad avanzada sin necesidad de complejas configuraciones de proxy, como el encadenamiento de proxies.

¿Por qué Zscaler?

A la hora de elegir un proxy de reenvío, o un CASB en concreto, es importante elegir un proveedor que disponga de una solución en línea probada y que sea un referente de seguridad de confianza. Zscaler está construido sobre una arquitectura de proxy nativa de la nube para ofrecer todas las ventajas que hemos discutido. Operamos la mayor nube de seguridad en línea del mundo, con más de 150 centros de datos en seis continentes, atendiendo a clientes en 185 países y procesando cientos de miles de millones de transacciones cada día.

Diseñado para el rendimiento, Zscaler dirige el tráfico de manera inteligente a nuestro centro de datos más cercano, donde trabajamos conjuntamente con las mejores aplicaciones como Microsoft 365, Zoom, Salesforce y muchas más para garantizar la distancia más corta entre los usuarios y sus aplicaciones. Este mayor rendimiento se traduce en una experiencia de usuario mejorada que refuerza la productividad de la empresa.

Zscaler ofrece capacidades CASB punteras, como:

• Coincidencia exacta de datos (EDM) para la prevención de pérdida de datos (DLP)
• Entorno aislado en la nube para protección avanzada contra amenazas (ATP)
• Puerta de enlace web segura integrada (SWG)
• Una arquitectura Zero Trust (ZTA) que coincide con la visión de Gartner® para SASE

Proporcionamos una seguridad uniforme en todo su ecosistema de TI y dondequiera que los usuarios se conecten, permitiendo a su organización y a miles más adoptar de manera segura la transformación digital y las iniciativas de trabajo desde cualquier lugar para su fuerza de trabajo remota e híbrida.