Zpedia 

/ Che cos'è un forward proxy?

Che cos'è un forward proxy?

Un forward proxy, o proxy di inoltro, è un intermediario che si interpone tra uno o più dispositivi utente e Internet. Invece di convalidare una richiesta del client e inviarla direttamente a un server web, un server forward proxy valuta la richiesta, esegue le azioni necessarie e la indirizza alla destinazione per conto del client. Il proxy valuta e ispeziona quindi ogni risposta, adotta le dovute misure e, se opportuno, esegue l'inoltro al client di origine.
Dimostrazione di Zscaler CASB
Sicurezza dei datiSecOps e Endpoint Security
  1. Come funziona
  2. Confronto con il firewall
  3. Confronto con il reverse proxy
  4. Perché è necessario
  5. Casi d'uso
  6. Come sceglierne uno
  7. Perché scegliere Zscaler?
  8. Risorse suggerite
  9. Argomenti correlati

Come funziona un forward proxy?

Un forward proxy è molto più di un semplice controllore del traffico. In quanto intermediario, questo tipo di proxy è in grado di proteggere gli utenti dall'accesso diretto da parte di potenziali aggressori e impedire a questi ultimi di compromettere dati e risorse aziendali, intenzionalmente o meno. Funziona "inline", ovvero direttamente nel flusso del traffico, e questo consente all'organizzazione di identificare eventuali problemi di sicurezza e di applicare le policy necessarie in tempo reale.

I proxy sono buffer che aiutano a mantenere le applicazioni e i dati al sicuro dai danni, siano essi il risultato di errori degli utenti o di esfiltrazioni di dati e malware.

Forward proxy e firewall tradizionale a confronto

Rispetto ai firewall utilizzati per proteggere i sistemi da minacce esterne, un forward proxy differisce per due aspetti fondamentali:

  1. I firewall tradizionali utilizzano un approccio passthrough, ovvero inoltrano il traffico al relativo destinatario mentre i contenuti sono ancora in fase di analisi.
  2. Se il traffico viene ritenuto non sicuro, il firewall invia un avviso, che però potrebbe arrivare quando è ormai troppo tardi. Al contrario, un proxy non inoltra il traffico finché il relativo contenuto non viene sottoposto a un processo di autenticazione e quindi ritenuto sicuro.

Sebbene non sia strettamente legato al confronto tra proxy e firewall, vale la pena notare che un forward proxy con base cloud è anche in grado di ispezionare il traffico cifrato. Dato che il traffico oggi è in gran parte cifrato, è fondamentale avere la massima visibilità su di esso; tuttavia, decifrare, ispezionare e cifrare nuovamente il traffico richiede elevate risorse computazionali. I firewall basati su apparecchiature fisiche, con limitazioni di elaborazione intrinseche, non sono in grado di gestire un volume elevato di operazioni di crittografia senza aggiungere latenza (mentre i firewall cloud sì).

Sempre più spesso, le discussioni sui forward proxy vanno di pari passo con quelle sui CASB (Cloud Access Security Broker), che sono strumenti per la sicurezza sul cloud implementabili in modalità forward proxy. Quando si impiega un CASB, un agente software installato su un dispositivo utente inoltra il traffico a un punto di ispezione sul cloud, che applica policy di sicurezza in tempo reale per promuovere connessioni sicure con risorse cloud come app SaaS e piattaforme IaaS.

Data la diffusione delle app SaaS e del lavoro da remoto, l'utilizzo del CASB in modalità forward proxy cloud (anziché di un firewall o un dispositivo proxy in locale o virtuale) può rivelarsi un modo efficace per proteggere i dispositivi gestiti dell'organizzazione.

Quando si tratta di dispositivi non gestiti, ovvero dispositivi personali (BYOD) o dispositivi di partner terzi, i forward proxy non sono in grado di garantire la sicurezza delle transazioni, in quanto queste provengono dal richiedente e non dal client. Questo caso d'uso è gestito meglio dal reverse proxy.

Forward e reverse proxy a confronto

È facile confondere i forward proxy con i reverse proxy, quindi analizziamoli un po' più nel dettaglio.

Posizionandosi davanti a un server web, un reverse proxy fa in modo che nessun client comunichi direttamente con il server. Un forward proxy, invece, si colloca di fronte agli endpoint client per intercettare le richieste in arrivo e garantire che nessun server comunichi direttamente con il client, ad esempio un browser web. Questi tipi di proxy possono sembrare simili dal punto di vista funzionale, ma solitamente dipendono da un agente software installato sugli endpoint per l'inoltro del traffico, cosa che non accade con i reverse proxy.

Un'altra differenza fondamentale è che i reverse proxy contengono un bilanciatore del carico, il quale può essere utilizzato per ottimizzare le richieste dei client, che in caso di elevata domanda potrebbero sovraccaricare un singolo server; in questo modo, possono favorire un'elevata disponibilità e tempi di caricamento migliori riducendo la pressione sul server di backend. Questa funzione viene svolta dai reverse proxy attraverso due modalità principali:

  1. Un reverse proxy può memorizzare temporaneamente nella cache il contenuto di un server di origine, quindi inviare il contenuto ai client che lo richiedono senza ulteriori transazioni con il server (questa modalità è definita accelerazione web). Il DNS può essere utilizzato per instradare le richieste in modo uniforme tra più reverse proxy.
  2. Se un sito web di grandi dimensioni, o un altro servizio web, utilizza più server di origine, un reverse proxy può distribuire le richieste e garantire carichi uniformi tra i server.

Perché oggi è necessario un forward proxy

Il modello basato sul perimetro sicuro, vecchio di decenni, chiamato anche sicurezza "castle and moat", è stato progettato per impedire al traffico dannoso di entrare nella rete interna attraverso Internet. Oggi, con le applicazioni che si sono spostate sul cloud e molti utenti che operano al di fuori del perimetro tradizionale e si collegano da qualsiasi luogo ad app private, SaaS e dati su cloud pubblici, questo modello è diventato obsoleto.

Quando si adotta un approccio legacy, gli utenti si collegano tramite una rete privata virtuale (VPN), attraverso un collegamento MPLS nel caso dei dipendenti nelle filiali, al data center, il quale invia il traffico attraverso il set di soluzioni di sicurezza del gateway in uscita al cloud e viceversa. In questo modo, la superficie di attacco si estende, esponendo l'azienda a rischi critici. Inoltre, questo modello crea un'esperienza digitale pessima per gli utenti.

Le applicazioni cloud sono state progettate per essere accessibili in modo diretto, attraverso il percorso più breve, e per offrire un'esperienza veloce e produttiva. Gli apparecchi fisici che consentono il passthrough non sono efficienti in questo contesto. Per connessioni veloci, dirette e sicure, è necessario utilizzare un forward proxy che sfrutti le prestazioni e la scalabilità del cloud.

I casi d'uso del forward proxy

Con il passaggio al cloud, è necessaria una strategia di sicurezza che si fondi su un'architettura proxy con base cloud. Ecco alcuni dei principali casi d'uso per le organizzazioni che desiderano adottare il forward proxy (e il CASB in particolare):

Rilevamento dello Shadow IT

L'utilizzo del cloud si divide tra applicazioni SaaS, gruppi di utenti e sedi diverse. Le app non autorizzate (che compongono lo shadow IT) abbondano, e mantenere la visibilità su ciò a cui gli utenti accedono è difficile, se non impossibile, senza le soluzioni giuste. Il forward proxy a un CASB garantisce il monitoraggio e la registrazione di tutto il traffico proveniente dai dispositivi degli utenti autorizzati, consentendo all'IT di identificare le app non autorizzate e di gestirne l'accesso, individualmente o per categoria.

Protezione dati

Dato che le app SaaS sono progettate per consentire una condivisione rapida e semplice, capita spesso che gli utenti carichino dati aziendali critici in luoghi non idonei. L'utilizzo di un forward proxy con base cloud è il modo migliore per impedire agli utenti di caricare informazioni sensibili su destinazioni cloud rischiose, perché opera inline ed è sufficientemente scalabile da riuscire a ispezionare tutto il traffico; inoltre, è in grado di nascondere gli indirizzi IP.

Prevenzione delle minacce

Oltre a rappresentare un canale interessante per l'esfiltrazione dei dati, le app SaaS possono essere sfruttate per la propagazione dei malware. La funzionalità di condivisione rapida può essere utilizzata per distribuire file infetti all'interno e tra le organizzazioni. Un forward proxy impedisce che i file infetti vengano caricati sulle risorse cloud, consentendo a tecnologie come la protezione dalle minacce avanzate (ATP) e la sandbox sul cloud di operare inline e intercettare le minacce in transito.

Come scegliere un forward proxy

Per certi versi, i server forward proxy hanno una cattiva reputazione: sono infatti noti per essere costosi e complessi da configurare e gestire e perché possono accrescere la latenza e compromettere l'esperienza utente. Inoltre, se un proxy subisce un periodo di inattività, potrebbero esserci ripercussioni gravi sulle operazioni aziendali. Questo accadeva perché, in passato, i proxy venivano distribuiti sotto forma di dispositivi fisici o virtualizzati.

I forward proxy possono rappresentare un notevole vantaggio in termini di sicurezza quando vengono forniti inline dal cloud, dove non presentano nessuno degli svantaggi di quelli basati su dispositivi fisici. Un'architettura proxy con base cloud elimina le spese associate all'acquisto e alla manutenzione degli apparecchi ed è in grado di adattarsi per rispondere alla domanda del traffico. Questa scalabilità senza precedenti risolve anche la sfida rappresentata dall'ispezione del traffico cifrato con TLS/SSL per individuare potenziali minacce e perdite di dati, che richiede invece troppe risorse di elaborazione per i proxy legacy.

Un forward proxy cloud efficiente favorisce:

  • Una tutela uniforme dei dati e una protezione contro le minacce su tutti i canali dei dati cloud con un'unica semplice policy.
  • Una sicurezza unificata nell'ambito di una soluzione SASE, che supporta casi d'uso relativi a CASB, Secure Web Gateway e ZTNA, per proteggere rispettivamente l'accesso alle app e alle API su cloud, web e risorse interne.
  • La semplificazione dell'ecosistema IT, grazie a un'architettura single-pass che elimina gli apparecchi fisici e fornisce funzionalità avanzate, senza la necessità di configurazioni proxy complesse, come il concatenamento.

Perché scegliere Zscaler?

Quando si valuta l'acquisto di un forward proxy, o in particolare un CASB, è importante scegliere un provider affidabile che offra una soluzione inline testata e sia un'eccellenza nel campo della sicurezza. Zscaler offre una soluzione basata su un'architettura proxy nativa del cloud che fornisce tutti i vantaggi menzionati in precedenza. Gestiamo il security cloud inline più grande del mondo, che conta oltre 150 data center in sei continenti, serviamo clienti in 185 Paesi ed elaboriamo centinaia di miliardi di transazioni ogni giorno.

Zscaler offre una soluzione progettata per massimizzare le prestazioni e instradare il traffico in modo intelligente verso il data center più vicino, dove le nostre soluzioni effettuano il peering con molte delle principali applicazioni aziendali, tra cui Microsoft 365, Zoom, Salesforce e molte altre, per ridurre al minimo la distanza tra gli utenti e le loro app. Questo miglioramento delle prestazioni consente di ottenere un'ottima esperienza utente e di aumentare la produttività aziendale.

Zscaler fornisce funzionalità CASB all'avanguardia, come:

Forniamo una sicurezza coerente in tutto l'ecosistema IT e ovunque gli utenti si connettano, per consentire alla tua organizzazione e a migliaia di altre di intraprendere in modo sicuro la trasformazione digitale e le iniziative a supporto del lavoro da qualsiasi luogo e sostenere la forza lavoro da remoto e ibrida.

Risorse suggerite

Cosa si intende per CASB (Cloud Access Security Broker)?
Leggi l'articolo
Una panoramica su Zscaler CASB
Consulta la scheda tecnica
Zscaler Cloud Access Security Broker
Che cos'è un reverse proxy?
Leggi l'articolo
Che cos'è un proxy cloud?
Leggi l'articolo

01 / 03