Che cos'è un reverse proxy?

Qual è la differenza tra un proxy inverso e un proxy di inoltro?

È facile confondere questi due tipi di server proxy, ed è quindi utile approfondirne le caratteristiche.

Collocandosi di fronte a un server web, un proxy inverso garantisce che nessun client comunichi direttamente con il server. Un forward proxy, o proxy di inoltro, (un'altra modalità del CASB) si colloca invece di fronte agli endpoint client per intercettare le richieste in arrivo e garantire che nessun server comunichi direttamente con un client. Questi diversi tipi di server possono sembrare simili dal punto di vista del funzionamento, ma i forward proxy di solito dipendono da un agente software installato sugli endpoint per inoltrare il traffico, mentre i reverse proxy.

Cos'è un server proxy inverso?

"Server reverse proxy" è semplicemente un termine più formale per indicare il reverse proxy stesso (lo stesso vale per "server forward proxy" in relazione al forward proxy). Oggi si tende a tralasciare il termine "server" perché può far pensare all'hardware, e quindi a dei dispositivi fisici, mentre questa tecnologia assume spesso la forma di un'applicazione o di un servizio cloud.

Come funziona un proxy inverso?

Inserendosi nel flusso del traffico, un proxy inverso si integra con il servizio di autenticazione di un'organizzazione (come il single sign-on). Una volta che l'IT configura i servizi e le app affinché possano effettuare transazioni con il proxy inverso, quest'ultimo può funzionare inline senza agente. In questo modo, è possibile offrire un'esperienza utente semplice, in cui il traffico in entrata verso le app cloud gestite ed entità analoghe viene reindirizzato in automatico verso il proxy inverso.

Approfondiamo questo processo.

Un reverse proxy è in grado di proteggere i dati sensibili (come dati PCI e PII) agendo come intermediario o sostituto del server su cui risiedono tali dati. Le richieste dei client vengono instradate prima verso il reverse proxy, quindi attraverso una porta specificata in un qualsiasi firewall idoneo, e in seguito verso il server dei contenuti, per tornare indietro alla fine. Il client e il server non comunicano mai direttamente, ma il client interpreta le risposte come se lo avessero fatto. Ecco i passaggi fondamentali:

1. Il client invia una richiesta che il reverse proxy intercetta
2. Il reverse proxy inoltra la richiesta in entrata al firewall (il reverse proxy può essere configurato per rispondere direttamente alle richieste per i file nella sua cache senza comunicare con il server; sono disponibili ulteriori dettagli su questo argomento nei casi d'uso)
3. Il firewall blocca la richiesta o la inoltra al server
4. Il server invia la risposta attraverso il firewall al proxy
5. Il reverse proxy invia la risposta al client

Il reverse proxy può inoltre analizzare le risposte del server alla ricerca di informazioni che potrebbero consentire a un hacker di effettuare il reindirizzamento verso delle risorse interne protette o di sfruttare altre vulnerabilità.

Software open source e reverse proxy

I reverse proxy sono spesso basati su software open source (OSS), perché consentono agli sviluppatori di accedere, modificare e distribuire il codice sorgente. Molti reverse proxy open source offrono funzionalità flessibili e personalizzabili, che permettono agli utenti di adattare il proxy in base alle proprie esigenze.

Ad esempio, Nginx, Apache e HAProxy sono tutti reverse proxy che, tramite la loro funzionalità OSS, forniscono bilanciamento del carico, memorizzazione nella cache, offload SSL e routing delle richieste http. L'OSS può rivelarsi ideale anche per scopi di sicurezza, in quanto consente a più utenti di esaminare il codice per identificare vulnerabilità e proporre soluzioni.

Casi d'uso del proxy inverso

Il reverse proxy, come modalità di distribuzione del CASB, è fondamentale per il modello Security Service Edge (SSE), insieme a Secure Web Gateway (SWG), ZTNA (Zero Trust Network Access) e altri servizi di sicurezza forniti sul cloud.

Oltre all'SSE, i casi d'uso specifici più comuni dei reverse proxy includono:

Protezione dei dispositivi non gestiti

I dipendenti possono utilizzare vari dispositivi per svolgere il proprio lavoro, compresi quelli personali. Inoltre, molti fornitori, partner e clienti possono aver bisogno di accedere alle applicazioni interne dai loro dispositivi non gestiti, e questo rappresenta un rischio per la sicurezza.

È possibile installare agenti come le VPN per gestire i dispositivi di proprietà dell'organizzazione, ma per gli endpoint non gestiti la situazione cambia. Le terze parti non consentono di installare agenti sui loro endpoint, e molti dipendenti non desiderano agenti sui propri dispositivi personali. Un reverse proxy offre invece una protezione senza agente contro la fuga dei dati e i malware applicabile a qualunque dispositivo non gestito che accede alle applicazioni e alle risorse sul cloud.

Protezione dati

Un reverse proxy è in grado di applicare le policy per prevenire la perdita dei dati impedendo l'upload o il download accidentale o intenzionale di informazioni sensibili attraverso le app cloud autorizzate. Poiché opera inline e ispeziona il traffico cifrato (specialmente un reverse proxy con base cloud), assicura che i dati che vengono caricati o scaricati rispettino le policy aziendali.

Prevenzione delle minacce

Un file infetto in un servizio cloud può diffondersi ad app e dispositivi connessi, in particolare a quelli non gestiti. Impedendo l'upload o il download di file infetti dalle risorse cloud senza la necessità di un agente, un reverse proxy fornisce una protezione dalle minacce avanzate per contrastare malware e ransomware.

Per loro natura, i reverse proxy nascondono anche i server e i relativi indirizzi IP ai client, proteggendo così le risorse web da minacce come gli attacchi DDoS (Distributed Denial of Service).

Bilanciamento del carico

I reverse proxy possono essere utilizzati per gestire le richieste dei client che potrebbero altrimenti sovraccaricare un singolo server, favorendo l'alta disponibilità, migliorando i tempi di caricamento ed eliminando la pressione dal server di backend. Essi agiscono principalmente in due modalità differenti:

1. Un reverse proxy può memorizzare temporaneamente nella cache il contenuto di un server di origine, quindi inviare il contenuto ai client che lo richiedono senza ulteriori transazioni con il server (questa modalità è definita "accelerazione web"). Per instradare le richieste in modo uniforme tra più reverse proxy, può essere utilizzato il sistema dei nomi di dominio (DNS).
2. Se un sito web di grandi dimensioni, o un altro servizio web, utilizza più server di origine, un reverse proxy può distribuire le richieste e garantire carichi uniformi tra i server.

I vantaggi dell'utilizzo di un reverse proxy

Tenendo a mente questi casi d'uso, i vantaggi derivanti dall'utilizzo di un reverse proxy rientrano in tre aree principali:

• Sicurezza dei dati e prevenzione delle minacce: i reverse proxy forniscono funzionalità firewall per le applicazioni web (WAF), monitorando e filtrando il traffico (incluso il traffico cifrato) tra endpoint gestiti e non gestiti e il server web, proteggendo quest'ultimo da SQL injection, cross-site scripting e altri attacchi informatici.
• Scalabilità e gestione delle risorse: in quest'area, si ottiene un duplice vantaggio. I reverse proxy supportano la scalabilità operativa eliminando la necessità di installare agenti sugli endpoint degli utenti, prima di offrire un accesso sicuro alle risorse gestite; inoltre, supportano la scalabilità dell'infrastruttura tramite funzionalità come il bilanciamento del carico del server, la gestione del traffico delle API e altro.
• Prestazioni e produttività: i reverse proxy con base cloud sono in grado di analizzare e applicare policy di sicurezza al traffico, incluso quello degli utenti in remoto, senza doverlo trasferire al data center, un aspetto fondamentale per ottimizzare le prestazioni a favore degli utenti finali. Offrono inoltre una scalabilità praticamente illimitata per l'ispezione del traffico TLS/SSL (che costituisce la maggior parte del traffico di oggi), mentre è raro che i firewall e i proxy basati su dispositivi fisici riescano a ispezionare la crittografia TLS/SSL senza influire gravemente sulle prestazioni.

Le criticità dei reverse proxy

I reverse proxy, o proxy inversi, offrono notevoli vantaggi per la sicurezza quando si tratta di proteggere i dispositivi non gestiti e le applicazioni aziendali, ma presentano anche diversi punti deboli, come:

• Mancanza di sicurezza per le risorse non gestite: se un utente ha bisogno di un accesso sicuro a un'app o a una risorsa non integrata con l'SSO, il reverse proxy non può aiutare. Quest'ultimo, infatti, monitora solo il traffico destinato alle risorse autorizzate, non tutto il traffico, e per proteggere le risorse non autorizzate allo stesso modo è necessario un forward proxy, o proxy di inoltro.
• Rischio di blocchi frequenti: i reverse proxy sono in genere funzionano con versioni specifiche delle applicazioni; quindi, quando un'applicazione viene aggiornata e il nuovo codice è inviato al proxy, quest'ultimo può bloccarsi. L'applicazione non aggiornata potrebbe quindi non essere disponibile fino a quando il proxy non è riprogrammato, causando frustrazione per gli utenti e cali della produttività.

C'è un modo migliore: Cloud-Based Browser Isolation

Oggi, sempre più organizzazioni ricorrono all'isolamento del browser con base cloud per evitare le limitazioni e i rischi di rottura dei reverse proxy e consentire ugualmente l'utilizzo sicuro dei dispositivi non gestiti senza agenti.

Quando un utente accede a un'applicazione cloud gestita, Zscaler Cloud Browser Isolation virtualizza la sessione e renderizza i contenuti in un ambiente isolato sul cloud, inviando la sessione all'utente sotto forma di flusso di pixel. L'esperienza utente è identica all'esperienza nativa di quell'app cloud, ad eccezione del fatto che la funzionalità di CBI impedisce ai dispositivi non gestiti di scaricare, copiare, incollare o stampare i dati sensibili presenti nell'app.

Di conseguenza, la funzionalità di CBI è la soluzione ideale per supportare la flessibilità e la produttività di una base estesa di utenti prevenendo al contempo fughe accidentali, esfiltrazioni dolose e la proliferazione di malware tramite i dispositivi non gestiti.

Zscaler Cloud-Based Browser Isolation

Zscaler Browser Isolation™ offre una difesa impareggiabile contro le fughe dei dati e le minacce basate sul web grazie all'isolamento web zero trust più avanzato del settore.

Un'esperienza utente impareggiabile

Ottieni connessioni ultraveloci ad app e siti web grazie alla nostra esclusiva tecnologia di streaming dei pixel e alla nostra architettura proxy direct-to-cloud. Gli utenti ricevono un flusso di pixel altamente performante sul proprio browser, ottenendo la massima sicurezza senza cali della produttività.

Una protezione costante per gli utenti ovunque

Proteggi qualsiasi utente, su qualsiasi dispositivo e in qualsiasi luogo con una policy di isolamento zero trust che abbraccia la sede centrale, i siti mobili o da remoto e funzioni e reparti specifici.

Meno problemi di gestione

La distribuzione e la gestione richiedono pochi secondi con Zscaler Client Connector o un'opzione senza agente per instradare il traffico tramite Zscaler Zero Trust Exchange™, che si integra in modo nativo con Browser Isolation.

Compatibilità universale

Approfitta della copertura per tutti i principali browser per rispondere alle preferenze dei tuoi utenti. La persistenza dei cookie per le sessioni isolate mantiene intatte le impostazioni principali, le preferenze e le informazioni di accesso degli utenti.