¿Qué es un proxy inverso?

¿Cuál es la diferencia entre un proxy inverso y un proxy de reenvío?

Es fácil confundir estos dos tipos de servidores proxy, así que vamos a analizarlos detalladamente.

Al situarse frente a un servidor web, un proxy inverso garantiza que ningún cliente se comunique directamente con el servidor. Un proxy de reenvío (otro modo de CASB) se sitúa frente a los puntos finales de los clientes para interceptar las solicitudes entrantes y garantizar que ningún servidor se comunique directamente con un cliente. Estos distintos tipos de servidores pueden parecer similares desde el punto de vista funcional, pero los proxies de reenvío suelen depender de un agente de software instalado en los puntos finales para reenviar el tráfico, mientras que los proxies inversos no lo hacen.

¿Qué es un servidor proxy inverso?

"Servidor proxy inverso" es esencialmente un término más formal para un proxy inverso. (Lo mismo ocurre con "servidor proxy de reenvío" para un proxy de reenvío). Hoy en día, tendemos a no incluir el término "servidor" porque parece sugerir hardware, como una caja física, mientras que es una tecnología que a menudo toma la forma de una aplicación o servicio en la nube.

¿Cómo funciona un proxy inverso?

Situado en el flujo de tráfico, un proxy inverso se integra con el servicio de autenticación de una organización (ej., inicio de sesión único). Una vez que el departamento de TI configura los servicios y las aplicaciones para realizar transacciones con el proxy inverso, éste puede funcionar en línea sin necesidad de un agente. Esto ofrece una experiencia de usuario sencilla, con el tráfico entrante a las aplicaciones gestionadas en la nube y similares redirigido al proxy inverso automáticamente.

Veamos este proceso con más detalle.

Un proxy inverso puede proteger los datos confidenciales (por ejemplo, datos PCI, PII) actuando como intermediario o interlocutor para el servidor en el que residen dichos datos. Las solicitudes de los clientes se envían primero al proxy inverso, luego a través de un puerto especificado en cualquier firewall aplicable, posteriormente al servidor de contenido, y finalmente, se devuelven. El cliente y el servidor nunca se comunican directamente, pero el cliente interpreta las respuestas como si lo hubieran hecho. Estos son los pasos básicos:

1. El cliente envía una solicitud, que el proxy inverso intercepta
2. El proxy inverso reenvía la solicitud entrante al firewall (el proxy inverso puede configurarse para responder directamente a las solicitudes de archivos de su caché sin comunicarse con el servidor -véase más detalles al respecto en los casos de uso).
3. El firewall bloquea la solicitud o la reenvía al servidor
4. El servidor envía la respuesta a través del firewall al proxy
5. El proxy inverso envía la respuesta al cliente

El proxy inverso también puede examinar las respuestas del servidor en busca de información que podría permitir a un hacker redirigir a recursos internos protegidos o aprovechar otras vulnerabilidades.

Software de código abierto y proxies inversos

Los proxies inversos se construyen a menudo sobre software de código abierto (OSS) debido a que permite a los desarrolladores acceder, modificar y distribuir el código fuente. Muchos proxies inversos de código abierto ofrecen características flexibles y personalizables, lo que permite a los usuarios adaptar el proxy a sus necesidades.

Por ejemplo, Nginx, Apache y HAProxy son todos servidores proxy inversos que, a través de su funcionalidad OSS, proporcionan equilibrio de carga, almacenamiento en caché, descarga de SSL y enrutamiento de solicitudes http. El software de código abierto (OSS) también puede ser ideal para fines de seguridad, ya que permite que muchas personas revisen el código para identificar vulnerabilidades y proponer soluciones.

Casos de uso de proxy inverso

El proxy inverso, como modo de implementación de CASB, es fundamental para el modelo de perímetro de servicio de seguridad (SSE) junto con la puerta de enlace web segura (SWG), el acceso a la red Zero Trust (ZTNA) y otros servicios de seguridad entregados en la nube.

Más allá de SSE, los casos de uso específicos comunes para proxies inversos incluyen:

Proteger a los dispositivos no gestionados

Muchos de sus empleados pueden usar varios dispositivos para trabajar, incluidos los personales. Más allá de eso, muchos proveedores, socios y clientes pueden necesitar acceso a sus aplicaciones internas en sus propios dispositivos no gestionados, lo que supone un riesgo para su seguridad.

Puede instalar agentes como VPN para gestionar los dispositivos que posee su organización, pero los puntos finales no gestionados son otra historia. Los terceros no le permitirán instalar agentes en sus puntos finales, y muchos empleados tampoco quieren agentes en sus dispositivos personales. En su lugar, un proxy inverso ofrece protección sin agentes contra la fuga de datos y el malware desde cualquier dispositivo no gestionado que acceda a sus aplicaciones y recursos en la nube.

Protección de datos

Un proxy inverso puede aplicar las políticas de prevención de pérdida de datos para evitar cargas o descargas accidentales o intencionadas de información confidencial hacia o desde aplicaciones en la nube sancionadas. Dado que funciona en línea e inspecciona el tráfico cifrado (especialmente un proxy inverso basado en la nube), puede garantizar que los datos cargados o descargados se ajustan a sus políticas.

Prevención de amenazas

Un archivo infectado en un servicio en la nube puede propagarse a las aplicaciones y dispositivos conectados, especialmente a los no gestionados. Al impedir sin agente las cargas o descargas de archivos infectados hacia o desde los recursos en la nube, un proxy inverso proporciona una protección avanzada contra el malware y el ransomware.

Por naturaleza, los proxies inversos también ocultan los servidores y sus direcciones IP a los clientes, lo que protege los recursos web de amenazas como los ataques distribuidos de denegación de servicio (DDoS).

Equilibrio de carga

Los proxies inversos pueden utilizarse para gestionar las solicitudes de los clientes que, de otro modo, podrían sobrecargar a un único servidor con una gran demanda, lo que favorece una alta disponibilidad y mejores tiempos de carga al eliminar la presión del servidor backend. Lo hacen principalmente de dos maneras diferentes:

1. Un proxy inverso puede almacenar en caché el contenido de un servidor de origen en un almacenamiento temporal y, a continuación, enviar el contenido a los clientes que lo soliciten sin realizar más transacciones con el servidor (esto se denomina aceleración web). Se puede utilizar un sistema de nombres de dominio (DNS) para enrutar solicitudes de manera uniforme entre múltiples servidores proxy inversos.
2. Si un sitio web de gran tamaño u otro servicio web utiliza varios servidores de origen, un proxy inverso puede distribuir las peticiones entre ellos para garantizar una carga uniforme del servidor.

Ventajas de utilizar un proxy inverso

Teniendo en cuenta esos casos de uso, las ventajas de utilizar un proxy inverso se manifiestan en tres áreas principales:

• Seguridad de datos y prevención de amenazas: los servidores proxy inversos brindan funcionalidad de firewall de aplicaciones web (WAF) al supervisar y filtrar el tráfico (incluido el tráfico cifrado) entre puntos finales administrados y no administrados y el servidor web, protegiéndolo de inyecciones de SQL, scripts entre sitios y otros ciberataques.
• Escalabilidad y gestión de recursos: este es un beneficio de dos partes. Los proxies inversos favorecen la escala operativa al eliminar la necesidad de instalar agentes en cada punto final del usuario antes de poder ofrecer un acceso seguro a los recursos gestionados. También permiten escalar la infraestructura gracias a funciones como el equilibrio de la carga de los servidores, la gestión del tráfico de las API, etc.
• Rendimiento y productividad: los proxies inversos en la nube pueden analizar y aplicar políticas de seguridad al tráfico, incluido el tráfico de usuarios remotos, sin necesidad de reenviarlo a través del centro de datos, lo cual es clave para optimizar el rendimiento del usuario final. También tienen una escala efectivamente ilimitada para inspeccionar el tráfico TLS/SSL (la mayor parte del tráfico actual), mientras que los firewalls basados en dispositivos y los proxies rara vez pueden inspeccionar el cifrado TLS/SSL sin grandes caídas de rendimiento.

Desafíos de los proxies inversos

Los proxies inversos ofrecen beneficios de seguridad notables cuando se trata de proteger los dispositivos no gestionados y las aplicaciones empresariales, pero también presentan deficiencias notables, como:

• No ofrecen seguridad para los recursos no gestionados: si un usuario necesita acceso seguro a una aplicación o recurso que no está integrado con su SSO, está fuera de la búsqueda de un proxy inverso. Los proxies inversos solo supervisan el tráfico destinado a recursos sancionados, no todo el tráfico; para proteger los recursos no sancionados de la misma manera, necesitará un proxy de reenvío.
• Riesgo de rotura frecuente: los proxies inversos suelen estar codificados para funcionar con versiones específicas de aplicaciones, por lo que, cuando una aplicación se actualiza y se envía nuevo código al proxy, éste puede romperse. Esto puede hacer que la aplicación actualizada no esté disponible hasta que el proxy pueda ser recodificado, lo que lleva a usuarios frustrados y a pérdida de productividad.

Una alternativa mejor: Aislamiento del navegador basado en la nube

Hoy en día, más organizaciones recurren al aislamiento del navegador basado en la nube para evitar las limitaciones y los riesgos de fallas de los servidores de proxy inversos y, al mismo tiempo, permitir el uso seguro de dispositivos no administrados sin agentes de punto final.

Cuando un usuario accede a una aplicación en la nube administrada, Zscaler Cloud Browser Isolation virtualiza la sesión y representa el contenido en un entorno aislado en la nube, enviando la sesión al usuario como una secuencia de píxeles. La experiencia del usuario es idéntica a la experiencia nativa de esa aplicación en la nube, salvo que CBI impide que los dispositivos no gestionados descarguen, copien, peguen o impriman los datos confidenciales que se encuentran en la aplicación.

Esto hace que CBI sea la manera ideal de fomentar la flexibilidad y la productividad de su amplia base de usuarios, a la vez que previene las fugas accidentales, la exfiltración maliciosa y la proliferación de malware a través de dispositivos no gestionados.

Aislamiento de navegador basado en la nube de Zscaler

Zscaler Browser Isolation™ proporciona una defensa inigualable contra la fuga de datos y las amenazas basadas en la web, impulsada por el aislamiento web Zero Trust más avanzado del sector.

Una experiencia de usuario inigualable

Obtenga conexiones ultrarrápidas a aplicaciones y sitios web con nuestra exclusiva tecnología de transmisión de píxeles y arquitectura de proxy directa a la nube. Los usuarios reciben un flujo de píxeles de alto rendimiento en su navegador, lo que ofrece seguridad sin afectar la productividad.

Protección uniforme para los usuarios en cualquier lugar

Proteja a cualquier usuario, en cualquier dispositivo, en cualquier ubicación con una política de aislamiento Zero Trust que abarca la sede, los sitios móviles o remotos y las funciones y departamentos altamente específicos.

Menos problemas de gestión

Implemente y administre en segundos, aprovechando Zscaler Client Connector o una opción sin agente para enrutar el tráfico a través de Zscaler Zero Trust Exchange™ con su integración nativa de aislamiento de navegador.

Compatibilidad universal

Disfrute de la cobertura de los principales navegadores web para adaptarse a las preferencias de los usuarios. La persistencia de cookies para sesiones aisladas mantiene intactas las configuraciones clave, las preferencias y la información de inicio de sesión de los usuarios.