O que é um proxy de encaminhamento

Como funciona um proxy de encaminhamento

Um proxy de encaminhamento é muito mais do que um controlador de tráfego. Como intermediário, o proxy pode proteger os usuários do acesso direto ou indireto de pessoas mal-intencionadas, bem como impedi-los de comprometer dados e recursos da empresa, intencionalmente ou não. Ele opera “em linha”, diretamente no fluxo de tráfego, permitindo que uma organização identifique quaisquer desafios de segurança e aplique as políticas necessárias em tempo real.

Proxies são buffers que ajudam a manter aplicativos e dados protegidos contra danos, sejam eles resultado de erros de usuário ou de exfiltração maliciosa de dados e malware.

Proxy de encaminhamento vs. firewall tradicional

Comparado aos firewalls como meio de proteger sistemas contra ameaças externas, um proxy de encaminhamento difere em dois aspectos principais:

1. Firewalls tradicionais usam uma abordagem de passagem, encaminhando o tráfego para o destinatário pretendido enquanto seu conteúdo ainda está sendo inspecionado.
2. Se o tráfego for considerado inseguro, o firewall envia um alerta, mas ele pode ser recebido tarde demais. Um proxy, por outro lado, não encaminha tráfego até que seu conteúdo passe por um processo de autenticação e seja considerado seguro.

Embora não seja uma comparação direta entre proxy e firewall, vale a pena notar que um proxy de encaminhamento baseado na nuvem também pode inspecionar tráfego criptografado. Como a maior parte do tráfego atual é criptografado, é essencial ter visibilidade sobre ele, mas o processo de descriptografar, inspecionar e criptografar novamente o tráfego exige muito processamento. Firewalls baseados em dispositivos, com limitações de processamento inerentes, não conseguem lidar com um alto volume de criptografia sem adicionar latência (no entanto, um firewall na nuvem consegue).

Cada vez mais, as discussões sobre proxies de encaminhamento andam de mãos dadas com conversas sobre agentes de segurança de acesso à nuvem (CASBs), ferramentas de segurança na nuvem que podem ser implantadas no modo proxy de encaminhamento. Com um CASB, um agente de software instalado em um dispositivo de usuário encaminha o tráfego para um ponto de inspeção na nuvem, que aplica políticas de segurança em tempo real para promover conexões seguras com recursos baseados na nuvem, como aplicativos SaaS e plataformas IaaS.

À medida que a adoção de aplicativos SaaS e o trabalho remoto aumentam, usar o modo de proxy de encaminhamento baseado na nuvem de um CASB (ao invés de um dispositivo de firewall ou proxy, local ou implantado virtualmente) pode ser uma maneira poderosa de proteger os dispositivos gerenciados de uma organização.

Entretanto, quando se trata de dispositivos não gerenciados, ou seja, dispositivos pessoais ou de parceiros terceirizados, os proxies de encaminhamento não conseguem garantir a segurança de suas transações, pois elas vêm do solicitante, não do cliente. De fato, esse caso de uso é melhor atendido pelo irmão do proxy de encaminhamento, o proxy reverso.

Proxy de encaminhamento vs. proxy reverso

É fácil confundir proxies de encaminhamento e proxies reversos, então vamos detalhar cada um deles.

Ao situar-se à frente de um servidor web, um servidor proxy reverso garante que nenhum cliente se comunique diretamente com o servidor. Um proxy de encaminhamento situa-se à frente dos terminais do cliente para interceptar solicitações de entrada e garantir que nenhum servidor se comunique diretamente com um cliente, como um navegador web. Esses tipos de proxies parecem funcionalmente semelhantes, mas os proxies de encaminhamento geralmente dependem de um agente de software instalado nos terminais para encaminhar o tráfego, enquanto os proxies reversos não.

Outra diferença importante é que os proxies reversos contêm um balanceador de carga, que pode ser usado para otimizar solicitações de clientes que poderiam sobrecarregar um único servidor com alta demanda, promovendo alta disponibilidade e melhores tempos de carregamento ao aliviar a pressão do servidor de back-end. Eles fazem isso principalmente de duas maneiras diferentes:

1. Um proxy reverso pode armazenar em cache o conteúdo de um servidor de origem em armazenamento temporário e, em seguida, enviá-lo aos clientes que o solicitam sem realizar mais transações com o servidor (isso é chamado de aceleração web). O DNS pode ser usado para rotear solicitações uniformemente entre vários proxies reversos.
2. Se um site grande ou outro serviço web usar vários servidores de origem, um proxy reverso pode distribuir solicitações entre eles para garantir cargas uniformes no servidor.

Por que um proxy de encaminhamento é necessário hoje

O modelo de perímetro seguro, também chamado de segurança do tipo “castelo e fosso”, foi projetado para impedir que tráfego malicioso entre na rede interna vindo da internet. Hoje, com aplicativos na nuvem e muitos usuários fora do perímetro tradicional, conectando-se de qualquer lugar aos seus aplicativos privados, SaaS e dados em nuvens públicas, esse modelo se tornou obsoleto.

Se você mantiver o modelo legado, seus usuários se conectarão por meio de uma VPN (em um link de MPLS, no caso de funcionários em filiais) ao seu data center, que então enviará o tráfego por meio da pilha de segurança do gateway de saída para a nuvem e vice-versa. Isso amplia sua superfície de ataque, expondo você a riscos significativos. Além disso, cria uma experiência digital terrível para seus usuários.

Os aplicativos na nuvem foram projetados para serem acessados diretamente, pela rota mais curta, para oferecer uma experiência rápida e produtiva. Os dispositivos no data center que permitem a passagem simplesmente não são adequados para a tarefa. Para obter conexões rápidas, diretas e seguras, você precisa de um proxy de encaminhamento que aproveite o desempenho e a escala da nuvem.

Casos de uso de proxy de encaminhamento

Ao migrar para a nuvem, você precisa de uma estratégia de segurança desenvolvida sobre uma arquitetura de proxy baseada na nuvem. Aqui estão alguns dos principais casos de uso para organizações que buscam adotar o proxy de encaminhamento (e o CASB em particular).

Detecção da TI invisível

O uso da nuvem é distribuído entre aplicativos SaaS, grupos de usuários e locais. Existem muitos aplicativos não autorizados (ou seja, TI invisível), mas manter a visibilidade sobre o que os usuários acessam é difícil, se não impossível, sem as soluções certas. O proxy de encaminhamento conectado ao CASB garante o monitoramento e o registro de todo o tráfego de dispositivos de usuários autorizados, permitindo que a TI identifique aplicativos não autorizados e controle o acesso a eles, individualmente ou por categoria.

Proteção de dados

Como os aplicativos SaaS são criados para permitir o compartilhamento rápido e fácil, é comum que os usuários carreguem dados comerciais críticos para locais inapropriados. Um proxy de encaminhamento baseado na nuvem é a melhor maneira de impedir que os usuários enviem informações sigilosas para destinos arriscados na nuvem, porque ele opera em linha e tem capacidade de inspecionar todo o tráfego. Além disso, ele pode ocultar endereços IP.

Prevenção contra ameaças

Além de ser uma via atrativa para exfiltração de dados, os aplicativos SaaS podem ser um canal para a propagação de malware. A funcionalidade de compartilhamento rápido pode ser sequestrada para distribuir arquivos infectados dentro e entre organizações. Um proxy de encaminhamento impede que arquivos infectados sejam enviados para recursos na nuvem, permitindo que tecnologias como proteção avançada contra ameaças (ATP) e sandbox na nuvem operem em linha e interceptem ameaças em trânsito.

Como escolher um proxy de encaminhamento

De certa forma, os servidores proxy de encaminhamento têm má reputação. Eles são conhecidos por serem caros e complexos de configurar e gerenciar. Eles podem adicionar latência e criar uma experiência insatisfatória para os usuários. Além disso, se um proxy ficar indisponível, isso poderá interromper significativamente suas operações. Tudo isso ocorre porque, historicamente, os proxies foram implantados como dispositivos físicos ou virtualizados.

Os proxies de encaminhamento podem ser uma grande vantagem de segurança quando disponibilizados em linha a partir da nuvem, onde não apresentam nenhuma das desvantagens de seus equivalentes baseados em dispositivos. Uma arquitetura de proxy baseada na nuvem elimina as despesas de compra e manutenção de dispositivos e pode ser dimensionada conforme necessário para atender à demanda. Essa capacidade de dimensionamento sem precedentes também resolve o principal desafio da inspeção do tráfego criptografado em TLS/SSL em busca de ameaças e vazamentos de dados, o que exige muito processamento de proxies legados.

O proxy de encaminhamento baseado na nuvem correto oferece:

• Proteção consistente de dados e ameaças em todos os seus canais de dados na nuvem com uma política simples.
• Segurança unificada como parte de uma oferta de SASE, com suporte a casos de uso relacionados a CASB, Secure Web Gatewaye ZTNA para proteger o acesso a aplicativos e APIs na nuvem, à web e a recursos internos, respectivamente.
• Simplicidade do ecossistema de TI por meio de uma arquitetura de passagem única que dispensa dispositivos e fornece funcionalidade avançada sem a necessidade de configurações complexas de proxy, como encadeamento de proxy.

Por que a Zscaler?

Ao escolher um proxy de encaminhamento, ou um CASB especificamente, é importante escolher um fornecedor que tenha uma solução em linha comprovada e seja um líder reconhecido em segurança. A Zscaler foi desenvolvida em uma arquitetura de proxy nativa da nuvem para oferecer todas as vantagens que discutimos. Operamos a maior nuvem de segurança em linha do mundo, com mais de 150 data centers em seis continentes, atendendo clientes em 185 países e processando centenas de bilhões de transações todos os dias.

Projetada para oferecer desempenho, a Zscaler encaminha o tráfego de forma inteligente para o nosso data center mais próximo, onde fazemos peering com os principais aplicativos, como Microsoft 365, Zoom, Salesforce e outros, para garantir a menor distância entre os usuários e seus aplicativos. Esse desempenho aprimorado resulta em uma melhor experiência de usuário, o que reforça a produtividade da empresa.

A Zscaler fornece recursos avançados de CASB, como:

• Correspondência exata de dados (EDM) para prevenção contra perda de dados (DLP)
• Sandbox na nuvem para proteção avançada contra ameaças (ATP)
• Secure Web Gateway (SWG)
• Uma arquitetura zero trust (ZTA) consistente com a visão da Gartner para SASE

Fornecemos segurança consistente em todo o seu ecossistema de TI e onde quer que os usuários se conectem, permitindo que sua organização e milhares de outras adotem com segurança a transformação digital e iniciativas de trabalho de qualquer lugar para suas equipes de trabalho remotas e híbridas.