Ressourcen > Sicherheit – Glossar > Was ist unter einem Weiterleitungsproxy zu verstehen?

Was ist unter einem Weiterleitungsproxy zu verstehen?

Was ist unter einem Weiterleitungsproxy zu verstehen?

Ein Weiterleitungsproxy (oft einfach als Proxy bezeichnet) fungiert als Vermittlungsinstanz, die eine Aufgabe stellvertretend für eine andere Entität ausführt. Konkret dient er zur Vermittlung von Verbindungen zwischen den Geräten einzelner User und dem Internet. Ein Gerät verbindet sich nicht direkt mit einem Zielort im Internet, sondern mit dem Proxy, der dann seinerseits anstelle des Geräts eine Verbindung zum Zielort herstellt, um ausgehende Verbindungsanfragen zu überprüfen und ggf. vor der Weiterleitung angemessene Maßnahmen zu ergreifen. Jedwede Kommunikation in Gegenrichtung wird ebenfalls über den Proxy geleitet, der sie überprüft, darauf reagiert und sie dann ggf. an das Ursprungsgerät weiterleitet.

Ein Weiterleitungsproxy ist kein bloßer Verkehrspolizist: Als Vermittler liegt sein eigentlicher sicherheitsrelevanter Wert in der Fähigkeit, User vor direkter Kommunikation mit Bedrohungsakteuren zu schützen und zu verhindern, dass sie Daten und Unternehmensressourcen gefährden – sei es absichtlich oder versehentlich. Der Proxy wird inline geschaltet und befindet sich somit direkt im Datenpfad. Dadurch kann das Unternehmen auftretende Sicherheitsrisiken sofort erkennen und die entsprechenden Richtlinien in Echtzeit durchsetzen. Proxys fungieren als Puffer, die dazu beitragen, Anwendungen und Daten vor Schäden zu schützen, die durch Fahrlässigkeit der User oder aber durch böswillige Datenexfiltration und Malware verursacht werden.

Zwischen Firewalls – die der Mehrzahl der User als gängige Methode zum Schutz des Systems vor externen Bedrohungen bekannt sind – und Weiterleitungsproxys bestehen einige wesentliche Unterschiede. Firewalls basieren auf einem Passthrough-Ansatz, sodass der Traffic bereits an den vorgesehenen Empfänger weitergeleitet wird, bevor die Überprüfung seines Inhalts abgeschlossen ist. Wenn festgestellt wird, dass der Traffic Malware oder andere Bedrohungen enthält, sendet die Firewall zwar eine Warnung, die jedoch möglicherweise zu spät empfangen wird. Ein Proxy hingegen leitet den Traffic erst weiter, nachdem sein Inhalt analysiert und als sicher eingestuft wurde. 

Im Unterschied zu Firewalls können Proxys auch verschlüsselten Traffic überprüfen (vorausgesetzt, sie werden nicht als physische Appliance, sondern in der Cloud bereitgestellt). Die Mehrzahl des Traffics ist heute verschlüsselt, und zur Gewährleistung der Sicherheit ist seine Überprüfung unbedingt erforderlich. Zum Entschlüsseln, Überprüfen und Wiederverschlüsseln sind jedoch hohe Rechenleistungen erforderlich. Appliance-basierte Firewalls verfügen nicht über die entsprechenden Kapazitäten, um dies ohne beträchtliche Leistungsabfälle zu bewältigen.

Wenn heute von Weiterleitungsproxys die Rede ist, sind zumeist Cloud Access Security Broker (CASBs) gemeint. CASBs sind Cloud-Sicherheitstools, die im Weiterleitungsproxy-Modus bereitgestellt werden können. Das bedeutet, dass die auf den Geräten der einzelnen User installierte Software den Traffic zu einer Überprüfungsstelle in der Cloud weiterleitet. Dort werden in Echtzeit Sicherheitsrichtlinien durchgesetzt, wenn User mit Cloud-basierten Ressourcen wie SaaS-Anwendungen und IaaS-Plattformen interagieren. Mit der zunehmenden Umstellung auf SaaS-Anwendungen und Remote-Arbeit wird der Einsatz Cloud-basierter Weiterleitungsproxys als CASB-Modus zur unverzichtbaren Voraussetzung für die Sicherheit und Produktivität des Unternehmens. Appliance-basierte Proxys oder Firewalls können hingegen unter heutigen Bedingungen keinen ausreichenden Schutz gewährleisten – das gilt unabhängig davon, ob sie lokal installiert oder virtuell bereitgestellt werden.

 

Weiterleitungsproxys als zeitgemäße Alternative zum Perimeterschutz

Beim herkömmlichen Internetgateway wurden Firewalls und ähnliche Tools als Schranke zwischen Netzwerk und Internet eingesetzt, um Bedrohungen quasi den Weg ins unternehmensinterne Netzwerk zu versperren. Diese Gateways waren ein Bestandteil des „Sicherheitsperimeters“, der das Netzwerk und alle darin inbegriffenen Ressourcen und Entitäten schützen sollte – Anwendungen, Daten, Server, PCs und andere Geräte sowie die User selbst. Inzwischen wurden allerdings viele Anwendungen in die Cloud verlagert, und die User greifen zumeist von Standorten außerhalb des Netzwerks darauf zu – sei es im Homeoffice, im Außendienst oder im Café. Infolgedessen ist das Modell des Sicherheitsperimeters heute nicht mehr zeitgemäß.

Wie können Unternehmen ihre IT-Umgebungen effektiv schützen, wenn Mitarbeiter von überall auf SaaS- und interne Anwendungen sowie auf Daten in öffentlichen Clouds wie AWS und Azure zugreifen? Das herkömmliche Modell sieht vor, dass User über ein Virtual Private Network (VPN) mit dem Rechenzentrum verbunden werden. Von dort aus wird der Traffic durch den Security-Stack für das ausgehende Gateway zum Verbindungsziel in der Cloud weitergeleitet, und auf dem Rückweg werden die gleichen Stationen in der Gegenrichtung durchlaufen. Dieser Ansatz birgt nicht nur eine Reihe potenzieller Risiken für die Organisation (Stichwort: VPN, Angriffsfläche), sondern sorgt auch für eine hochgradig frustrierende User Experience.

Nicht besser ergeht es den Mitarbeitern in Zweigstellen, deren Traffic im sogenannten Backhauling-Verfahren erst über private MPLS-Leitungen zum Rechenzentrum umgeleitet wird, bevor er durch das Gateway in die Cloud gelangt. Auch hier müssen auf dem Rückweg wieder die gleichen Umwege in Gegenrichtung durchlaufen werden.

Cloud-Anwendungen funktionieren am besten, wenn der Zugriff darauf direkt und auf dem kürzesten Weg erfolgt. Im Rechenzentrum installierte Appliances mit Passthrough-Architekturen sind dafür ungeeignet. Schnelle, direkte und sichere Verbindungen lassen sich nur durch Einsatz eines Weiterleitungsproxys gewährleisten, der die Leistungsfähigkeit und Skalierbarkeit der Cloud voll ausnutzt.

 

Gängige Anwendungsfälle für Weiterleitungsproxys 

Eine Sicherheitsstrategie, die auf einer Cloud-basierten Proxy-Architektur basiert, ist ein unverzichtbares Muss für Unternehmen, die den Wechsel in die Cloud planen. Der Einsatz von Weiterleitungsproxys (insbesondere CASBs) empfiehlt sich u. a. für folgende gängige Anwendungsfälle:

 

Shadow-IT-Erkennung

Die Cloud-Umgebung einer Organisation wird von unterschiedlichen SaaS-Anwendungen, User-Gruppen und Standorten genutzt. Hinzu kommt die sogenannte Shadow-IT, also die zahlreichen Anwendungen, mit denen User inoffiziell ohne Genehmigung der IT arbeiten. Ohne die richtigen Lösungen ist es kaum möglich, hier den Überblick zu behalten, wer auf welche Ressourcen zugreift. Abhilfe schafft hier ein Weiterleitungsproxy, der CASB-Funktionen wie die Erkennung von Shadow-IT unterstützt, indem der gesamte von User-Geräten ausgehende Traffic überprüft wird. So können inoffiziell genutzte Anwendungen identifiziert und der Zugriff darauf – entweder für einzelne User oder für User-Gruppen – angemessen geregelt werden.

 

Datenschutz

SaaS-Anwendungen wurden entwickelt, damit User zusammenarbeiten und Dateien gemeinsam nutzen können. Deshalb kommt es leicht vor, dass User aus Versehen oder Unachtsamkeit kritische Geschäftsdaten an Orte hochladen, die sie aus Sicht der IT lieber vermeiden sollten. Weil Cloud-basierte Weiterleitungsproxys inline geschaltet werden und skalierbar sind, sodass auch bei hohen Volumen der gesamte Traffic überprüft werden kann, eignen sie sich besser als andere Schutzmechanismen, um zu verhindern, dass User (ob versehentlich oder absichtlich) vertrauliche Daten in riskante Cloud-Ziele hochladen.

 

Bedrohungsabwehr

SaaS-Anwendungen bieten aus Sicht von Bedrohungsakteuren nicht nur attraktive Möglichkeiten zur Datenexfiltration, sondern sie eignen sich auch hervorragend zur Verbreitung von Malware, wenn der Traffic nicht gründlich überprüft wird. Rapid-Sharing-Funktionen zur Frei- bzw. Weitergabe von Dateien können ebenfalls leicht zur Verbreitung infizierter oder schädlicher Dateien missbraucht werden. Bei Einsatz eines Weiterleitungsproxys werden Technologien wie Advanced Threat Protection (ATP) und Cloud Sandbox inline aktiviert und können Bedrohungen im Datenpfad abfangen. Dadurch lässt sich verhindern, dass infizierte Dateien in Cloud-Ressourcen hochgeladen werden.

 

Was ist bei der Auswahl eines Weiterleitungsproxys zu beachten? 

Weiterleitungsproxys stehen teilweise in dem schlechten Ruf, unverhältnismäßig teuer und sehr kompliziert in der Konfiguration und Verwaltung zu sein. Zudem können sie zusätzliche Latenzen verursachen und dadurch die User Experience beeinträchtigen. Etwaige Ausfallzeiten können den Geschäftsbetrieb empfindlich stören. Hierbei ist allerdings zu berücksichtigen, dass bislang die Bereitstellung entweder als physische oder virtuelle Appliances üblich war.

Der Einsatz von Weiterleitungsproxys bringt hingegen eine ganze Reihe sicherheitsrelevanter Vorteile – ohne die Nachteile ihrer Appliance-basierten Vorgänger –, wenn sie in der Cloud bereitgestellt werden. Eine Cloud-basierte Proxy-Architektur erspart der Organisation die Kosten für die Anschaffung und Wartung von Appliances und lässt sich bei zunehmendem Traffic nach Bedarf skalieren. Aufgrund dieser bislang unerreichten Skalierbarkeit kann auch das bereits erwähnte Kernproblem der rechenleistungsintensiven Überprüfung verschlüsselten Traffics auf Bedrohungen und Datenlecks gelöst werden. Konkret bietet ein effektiver Weiterleitungsproxy insbesondere folgende Vorteile:

  • Konsistente/r Datenschutz und Bedrohungsabwehr für sämtliche Cloud-Kanäle der Organisation mit einer einzigen Richtlinie, die sich einfach konfigurieren und durchsetzen lässt
  • Zentrale Bereitstellung der Sicherheitslösungen im Rahmen einer SASE-Plattform, die möglichst viele gängige Anwendungsfälle für CASB, Secure Web Gateway und ZTNA unterstützt (d. h. Sicherung des Zugriffs auf Cloud-Anwendungen, das Internet und interne Anwendungen)
  • Vereinfachung des IT-Ökosystems durch eine Cloud-basierte Single-Pass-Architektur, die ohne Appliances auskommt und die aufgezählten Funktionen ohne Proxy-Verkettung oder andere komplizierte Konfigurationen bereitstellt

Warum Zscaler?

Bei der Auswahl eines geeigneten Weiterleitungsproxys bzw. CASB empfiehlt sich unbedingt die Entscheidung für einen vertrauenswürdigen Anbieter, der eine praxistaugliche Inline-Lösung bereitstellt und sich als Marktführer in der Sicherheitssparte etabliert hat. Die Zscaler-Lösung basiert auf einer Cloud-nativen Proxy-Architektur und erfüllt alle aufgezählten Kriterien. Zscaler betreibt die weltweit größte Inline Security Cloud mit 150 Rechenzentren auf sechs Kontinenten für Kunden in 185 Ländern mit einem Verarbeitungsvolumen von 160 Milliarden Transaktionen pro Tag.

Die Zscaler-Lösung ist auf optimale Performance ausgelegt, indem der Traffic dynamisch zum nächstgelegenen Rechenzentrum geroutet wird. Durch Peering mit Microsoft 365, Zoom, Salesforce und zahlreichen weiteren gängigen Anwendungen lässt sich gewährleisten, dass User auf dem jeweils kürzesten Pfad mit den benötigten Anwendungen verbunden werden. So entsteht eine herausragende User Experience, die sich wiederum positiv auf die Produktivität des Unternehmens auswirkt.

Mit branchenführenden CASB-Funktionen schützt Zscaler unternehmenskritische Cloud-Anwendungen zuverlässig vor Risiken. Im Leistungsumfang ist Exact Data Match (EDM) als DLP-Funktion (Data Loss Prevention) ebenso inbegriffen wie Advanced Threat Protection (ATP) in Form einer Cloud Sandbox. Ebenfalls integriert sind die erstklassigen SWG- und ZTNA-Produkte von Zscaler. Das Ergebnis ist eine ganzheitliche Sicherheitsplattform entsprechend den Kriterien, die Gartner für SASE definiert hat.

Zscaler gewährleistet einheitliche Sicherheit im gesamten IT-Ökosystem unabhängig vom Standort der User. Dadurch unterstützen wir Tausende von Organisationen bei der sicheren digitalen Transformation sowie der Umstellung auf dezentrale Arbeitskonzepte für mobile und hybride Belegschaften.

Was ist unter einem Cloud-Proxy zu verstehen?

Weitere Informationen
Was ist unter einem Cloud-Proxy zu verstehen?

Proxy-basierte Sicherheit als Eckpfeiler der Cloud-first-Architektur

Blog lesen
Proxy-basierte Sicherheit als Eckpfeiler der Cloud-first-Architektur

Häufigste Anwendungsfälle für CASB

E-Book lesen
Häufigste Anwendungsfälle für CASB

Alles eine Frage der richtigen Architektur: Warum sich Next-Gen Firewalls nicht als Proxys eignen

Blog lesen
Alles eine Frage der richtigen Architektur: Warum sich Next-Gen Firewalls nicht als Proxys eignen