Zscaler Blog
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
AbonnierenWarum Proxies und Firewalls zur Abwehr heutiger Bedrohungen unverzichtbar sind
Seit den Frühzeiten des Internets stellen Webproxys einen unverzichtbaren Bestandteil von Security-Stacks dar. Dafür gibt es viele gute Gründe. Proxys kombinieren hervorragende Performance mit umfassender Sicherheit und gewährleisten Risikoanalysen für alle Traffic-Typen. Tatsächlich ermöglichen Proxys eine sehr viel gründlichere Analyse, als eigenständige Firewalls sie gewährleisten können. Webproxys haben den großen Vorteil, dass sie sämtliche Dateien öffnen und überprüfen können – und zwar völlig ohne Beeinträchtigung der User Experience.
Was unterscheidet einen Proxy von einer Firewall?
Die Unterschiede zwischen einer Firewall und einem Proxy lassen sich an einer einfachen Analogie veranschaulichen. Stellen Sie sich vor, was passiert, wenn bei Ihrer Organisation ein Paket eingeht. Der Mitarbeiter in der Poststelle liest das Versandetikett und entscheidet, dass er weitere Informationen zum Inhalt benötigt. Er lässt das Paket also von einem Röntgengerät scannen. Leider sind Röntgenscanner nicht zu 100 % zuverlässig. Um wirklich auf Nummer sicher zu gehen, muss ein Mitarbeiter das Paket öffnen und den Inhalt überprüfen.
Ähnlich wie das Röntgengerät gewährleisten Firewalls zwar ein bestimmtes Schutzniveau, erkennen jedoch nicht alle Bedrohungen. Ein Webproxy hingegen entspricht dem Mitarbeiter, der das verdächtige Paket öffnet. Proxys liefern detaillierte Informationen über den Inhalt von Traffic-Paketen – dies scließt auch Payloads ein. Ein wesentlicher Unterschied zum Mitarbeiter, der ein physisches Paket manuell öffnet, besteht darin, dass der Proxy Datenpakete mit sehr viel höherer Geschwindigkeit entpackt, überprüft und wieder verpackt.
Manche Anbieter von Firewall-Lösungen tun so, als ließen sich Proxy-Architekturen auf expliziten Proxy-Modus und PAC-Dateien (Proxy-Auto-Config) reduzieren. Diese Sichtweise greift jedoch zu kurz. Richtig ist vielmehr, dass Proxys Unternehmen verschiedene Alternativen zum herkömmlichen Routing bereitstellen, um den Traffic zu Proxy-Sicherheitsservices weiterzuleiten, die gängigen Firewall-Lösungen durch sehr viel höhere Zuverlässigkeit und Skalierbarkeit überlegen sind.
Tatsächlich basiert das gesamte Internet auf der Proxy-Technologie. Man denke etwa an Content Delivery Networks (CDN), wie sie von Netflix und anderen Streamingservices genutzt werden. Hierbei handelt es sich um geografisch distribuierte Servergruppen, die zusammenarbeiten, um eine schnelle Bereitstellung von Internetinhalten für Netflix-Kunden zu ermöglichen. Ein weiteres Beispiel sind Application Delivery Controllers (ADCs), die in einem Rechenzentrum zwischen Firewall und Anwendungsservern installiert sind, um die Performance von Anwendungen zu optimieren und einen Lastenausgleich zwischen Servern durchzuführen. Und dann gibt es noch Secure Web Gateways (SWGs), die beliebig skalierbare Schutzmechanismen bereitstellen und den User-Zugriff aufs Internet überwachen.
Firewalls gewährleisten keine lückenlose Überprüfung
Proxy-Traffic (HTTP, HTTPS und FTP) macht den Großteil des Internet-Traffics aus. Firewalls unterstützen die Steuerung des Traffics, indem sie Richtlinien auf Datenströme anwenden, die nicht in diese Kategorien fallen. Die Rechenleistung von Firewalls – das gilt auch für sogenannte Next-Generation Firewalls – reicht indes nicht aus, um den gesamten verschlüsselten bzw. HTTPS-Traffic zu überprüfen, der fast 90 % des Web-Traffics ausmacht. Wie soll eine Sicherheitslösung jedoch zuverlässigen Schutz bieten, wenn sie keine lückenlose Überprüfung des gesamten Traffics gewährleistet? Im Funktionsumfang heutiger Next-Generation Firewalls sind zumeist mehrere integrierte Sicherheitsservices inbegriffen (einschließlich Data Loss Prevention), die verhindern sollen, dass Bedrohungen ins Unternehmen eindringen und vertrauliche Daten exfiltriert werden. Diese Funktionen haben jedoch allenfalls einen begrenzten Nutzen, wenn sie nur einen Bruchteil des Traffics im Blick haben.
Webproxys und SASE schaffen Abhilfe
Webproxys hingegen sind darauf ausgelegt, verschlüsselten Traffic auch bei hohen Datenvolumen lückenlos zu überprüfen und alle Sicherheits- und Risikokontrollen zuverlässig anzuwenden. Durch die Weiterleitung über Proxy-Sicherheitsservices werden verschiedene Alternativen zum herkömmlichen Routing des Traffics ins Internet bereitgestellt. Dadurch bieten Webproxys eine hochgradig skalierbare und sichere Lösung für Unternehmen, die ihren Traffic ohne Beeinträchtigung der Performance schützen und steuern wollen.
In SWGs, die auf dem SASE-Modell (Secure Access Service Edge) basieren, sind diese Funktionen inbegriffen. Mehrinstanzenfähige SASE-Lösungen, die nach dem Servicemodell bereitgestellt und verwaltet werden, kombinieren Kosteneffizienz mit hochgradiger Skalierbarkeit – und ersparen Ihnen die Notwendigkeit, Ihre Infrastruktur bedarfsgerecht zu aktualisieren bzw. zu skalieren.
Sämtliche Zscaler-Kunden, darunter auch einige global führende multinationale Konzerne, profitieren im Rahmen der SASE-basierten Zscaler-Lösung von den Vorteilen von SWG. Gartner definiert SWG nicht nur als unverzichtbare Komponente des SASE-Konzepts, sondern als grundlegende Technologiearchitektur, auf der jede SASE-Platfform aufbauen sollte.
Weitere Informationen zur SASE-Lösung von Zscaler erhalten Sie auf dieser Seite sowie im PDF-Dokument SASE im Überblick zum Herunterladen
Lesen Sie auch den Gartner-Report zu SASE: The Future of Network Security is in the Cloud
Scott Bullock lebt und arbeitet im australischen Melbourne als Global Technical Marketing Engineer bei Zscaler
War dieser Beitrag nützlich?
Weitere Zscaler-Blogs erkunden
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.