¿Qué es un proxy de reenvío?

¿Cómo funciona un proxy de reenvío?

Un proxy de reenvío es mucho más que un controlador de tráfico. Como intermediario, el proxy puede proteger a los usuarios del acceso directo hacia o desde ciberdelincuentes, así como evitar que comprometan datos y recursos empresariales, intencionalmente o no. Opera “en línea”, colocándose directamente en el flujo de tráfico, lo que permite a una organización identificar cualquier desafío a la seguridad y aplicar las políticas necesarias en tiempo real.

Los proxies son buffers que ayudan a mantener las aplicaciones y los datos a salvo de cualquier daño, ya sea el resultado de errores del usuario por descuido o de la exfiltración de datos y el malware.

Proxy de reenvío frente a cortafuegos tradicional

En comparación con los cortafuegos como medio de protección de sistemas contra amenazas externas, un proxy de reenvío se diferencia en dos aspectos clave:

1. Los cortafuegos tradicionales utilizan un enfoque de paso a través, reenviando el tráfico al destinatario previsto mientras aún se inspecciona su contenido.
2. Si se determina que el tráfico no es seguro, el cortafuegos envía una alerta, pero es posible que la reciba demasiado tarde. Un proxy, por otro lado, no reenvía tráfico hasta que su contenido haya pasado por un proceso de autenticación y se haya determinado que es seguro.

Si bien no es posible hacer una comparación directa entre un proxy y un cortafuegos, vale la pena señalar que un proxy de reenvío basado en la nube también puede inspeccionar el tráfico cifrado. Dado que la mayor parte del tráfico actual está cifrado, es fundamental tener visibilidad del mismo, pero el proceso de descifrar, inspeccionar y volver a cifrar el tráfico requiere un uso intensivo de recursos informáticos. Los cortafuegos basados en dispositivos, con limitaciones de procesamiento inherentes, no pueden manejar un gran volumen de cifrado sin agregar latencia (sin embargo, un cortafuegos en la nube puede).

Cada vez más, los debates sobre servidores proxy de reenvío van de la mano con las conversaciones sobre corredores de seguridad de acceso a la nube (CASB), herramientas de seguridad en la nube que pueden implementarse en modo de servidor proxy de reenvío. Con un CASB, un agente de software instalado en un dispositivo de usuario reenvía el tráfico a un punto de inspección en la nube, que aplica políticas de seguridad en tiempo real para fomentar conexiones seguras con recursos basados en la nube, como aplicaciones SaaS y plataformas IaaS.

A medida que aumenta la adopción de aplicaciones SaaS y el trabajo remoto, el uso del modo de proxy de reenvío basado en la nube de un CASB (a diferencia de un cortafuegos o un dispositivo proxy, local o implementado virtualmente) puede ser una forma poderosa de proteger los dispositivos administrados de una organización.

Sin embargo, cuando se trata de dispositivos no administrados, es decir, dispositivos propios de los usuarios o dispositivos de socios de terceros, los servidores proxy de reenvío no pueden garantizar la seguridad de sus transacciones, ya que provienen del solicitante, no del cliente. De hecho, este caso de uso es mejor utilizar al hermano del proxy directo, el proxy inverso.

Proxy de reenvío frente a proxy inverso

Es fácil confundir los servidores proxy directos e inversos, así que vamos a analizarlos.

Al situarse ante un servidor web, un proxy inverso garantiza que ningún cliente se comunique directamente con el servidor. Un proxy de reenvío se ubica frente a los terminales del cliente para interceptar solicitudes entrantes y garantizar que ningún servidor se comunique directamente con un cliente, como un navegador web. Pueden sonar funcionalmente similares, pero los proxies de reenvío generalmente dependen de un agente de software instalado en los extremos para reenviar tráfico, mientras que los proxies inversos no.

Otra diferencia clave es que los servidores proxy inversos contienen un equilibrador de carga, que puede usarse para optimizar las solicitudes de los clientes que de otra manera podrían saturar un único servidor con alta demanda, promoviendo una alta disponibilidad y mejores tiempos de carga al quitarle presión al servidor backend. Lo hacen principalmente de dos maneras diferentes:

1. Un proxy inverso puede almacenar en caché contenido de un servidor de origen en almacenamiento temporal y, a continuación, enviar el contenido a los clientes que lo soliciten sin realizar más transacciones con el servidor (esto se denomina aceleración web). El DNS se puede utilizar para enrutar solicitudes de manera uniforme entre múltiples proxies inversos.
2. Si un sitio web de gran tamaño u otro servicio web utiliza varios servidores de origen, un proxy inverso puede distribuir las peticiones entre ellos para garantizar una carga uniforme del servidor.

Por qué se necesita hoy en día un proxy de reenvío

El modelo de perímetro seguro, que tiene décadas de antigüedad y también llamado seguridad de “castillo y foso”, fue diseñado para evitar que el tráfico malicioso entrara a la red interna desde Internet. Hoy, con aplicaciones en la nube y muchos usuarios situados fuera del perímetro tradicional, conectándose desde cualquier lugar a sus aplicaciones privadas, SaaS y datos en nubes públicas, ese modelo ha quedado obsoleto.

Si sigue con el modelo tradicional, sus usuarios se conectarán a través de una red privada virtual (VPN) (en un enlace MPLS, en el caso de los trabajadores en sucursales) a su centro de datos, que luego envía el tráfico a través de su pila de seguridad de puerta de enlace de salida a la nube y viceversa. Esto amplía su superficie de ataque, exponiéndole a un riesgo significativo. Además, crea una experiencia digital terrible para sus usuarios.

Las aplicaciones en la nube se diseñaron para ser accesibles directamente, a través del camino más corto, a fin de proporcionar una experiencia rápida y productiva. Los dispositivos del centro de datos que trabajan permitiendo el paso simplemente no están a la altura. Para lograr conexiones rápidas, directas y seguras, necesita usar un proxy de reenvío que aproveche el rendimiento y la escala de la nube.

Casos de uso de proxy de reenvío

A medida que se traslada a la nube, necesita una estrategia de seguridad basada en una arquitectura de proxy basada en la nube. A continuación se presentan algunos casos de uso importantes para organizaciones que buscan adoptar el proxy de reenvío (y CASB en particular).

Descubrimiento de TI en la sombra

El uso de la nube se reparte entre aplicaciones SaaS, grupos de usuarios y diferentes ubicaciones. Abundan las aplicaciones no autorizadas (es decir, TI en la sombra), pero mantener visibilidad sobre a qué acceden los usuarios es difícil, si no imposible, sin las soluciones adecuadas. El proxy de reenvío a un CASB garantiza la supervisión y el registro de todo el tráfico proveniente de dispositivos de usuarios autorizados, lo que permite que TI identifique aplicaciones no autorizadas y controle el acceso a ellas, ya sea individualmente o por categoría.

Protección de datos

Debido a que las aplicaciones SaaS están diseñadas para permitir compartir de manera rápida y sencilla, es común que los usuarios carguen datos comerciales críticos en ubicaciones inapropiadas. Un proxy de reenvío basado en la nube es la mejor manera de evitar que los usuarios carguen información confidencial a destinos de nube arriesgados porque opera en línea y tiene la escala para inspeccionar todo el tráfico; además, puede ocultar direcciones IP.

Prevención de amenazas

Además de ser una vía atractiva para la exfiltración de datos, las aplicaciones SaaS pueden ser un conducto para la propagación de malware. La funcionalidad de uso compartido rápido puede ser secuestrada para distribuir archivos infectados dentro de las organizaciones y entre ellas. Un proxy de reenvío evita que los archivos infectados se carguen a los recursos de la nube al permitir que tecnologías como la protección contra amenazas avanzadas (ATP) y el entorno protegido en la nube operen en línea e intercepten las amenazas en tránsito.

Cómo elegir un proxy de reenvío

En cierto modo, los servidores proxy de reenvío tienen mala reputación. Se sabe que son caros y muy complejos de configurar y gestionar. Pueden añadir latencia y crear una mala experiencia para el usuario. Además, si un proxy sufre un tiempo de inactividad, puede interrumpir significativamente sus operaciones. Todo esto se debe a que, históricamente, los servidores proxy se han implementado como dispositivos físicos o virtualizados.

Los servidores proxy de reenvío pueden suponer una gran ventaja para la seguridad cuando se entregan en línea desde la nube, donde no tienen ninguno de los inconvenientes de sus homólogos basados en dispositivos. Una arquitectura proxy basada en la nube elimina el gasto de compra y mantenimiento de dispositivos, y se adapta según sea necesario para satisfacer las crecientes demandas de tráfico. Esta escalabilidad sin precedentes también resuelve el desafío clave de inspeccionar el tráfico cifrado en TLS/SSL en busca de amenazas y filtraciones de datos, que requiere un uso demasiado intensivo de recursos para los servidores proxy tradicionales.

El proxy de reenvío basado en la nube adecuado permite:

• Protección consistente contra amenazas y datos en todos sus canales de datos en la nube con una política sencilla.
• Seguridad unificada como parte de una oferta de SASE que admite casos de uso relacionados con CASB, puerta de enlace web segura y ZTNA para proteger el acceso a aplicaciones y API en la nube, la web y los recursos internos, respectivamente.
• Simplicidad del ecosistema de TI a través de una arquitectura de un solo paso que renuncia a los dispositivos y proporciona una funcionalidad avanzada sin la necesidad de configuraciones de proxy complejas como el encadenamiento de proxy.

¿Por qué Zscaler?

Al elegir un proxy de reenvío, o un CASB, específicamente, es importante elegir un proveedor que tenga una solución probada en línea y sea un líder de confianza en el ámbito de la seguridad. Zscaler está construido sobre una arquitectura de proxy nativa de la nube para ofrecer todas las ventajas que hemos comentado. Operamos la mayor nube de seguridad en línea del mundo, con más de 150 centros de datos en los cinco continentes, atendiendo a clientes en 185 países y procesando cientos de miles de millones de transacciones cada día.

Diseñado para el rendimiento, Zscaler enruta de manera inteligente el tráfico a nuestro centro de datos más cercano, donde nos conectamos con las principales aplicaciones como Microsoft 365, Zoom, Salesforce y más para garantizar la distancia más corta entre los usuarios y sus aplicaciones. Este rendimiento mejorado conduce a una experiencia de usuario mejorada que refuerza la productividad empresarial.

Zscaler ofrece capacidades CASB líderes, como:

• Coincidencia exacta de datos (EDM) para la prevención de pérdida de datos (DLP)
• Sandbox en la nube para protección avanzada contra amenazas (ATP)
• Puerta de enlace web segura integrada (SWG)
• Una arquitectura zero trust (ZTA) consistente con la visión de Gartner para SASE

Brindamos seguridad consistente en todo su ecosistema de TI y donde sea que se conecten los usuarios, lo que permite que su organización y miles más adopten de forma segura la transformación digital y las iniciativas de trabajo desde cualquier lugar para su personal remoto e híbrido.