Ressourcen > Sicherheit – Glossar > Was ist unter einem Cloud-Proxy zu verstehen?

Was ist unter einem Cloud-Proxy zu verstehen?

Ein Cloud-Proxy ist ein Cloud-basiertes System, das zwischen einen Client und einen Web-Server, eine SaaS-Anwendung oder ein Rechenzentrum geschaltet wird. Als Vermittler zwischen Client und Server gewährleistet er sicheren Zugriff auf IT-Ressourcen und schützt den Server vor Malware und anderen Bedrohungen.

Welche Funktionen erfüllt ein Cloud-Proxy?

Ein Cloud-Proxy erfüllt im Prinzip alle Funktionen eines Reverseproxys: Client-Anfragen werden abgefangen und an die betreffende Internetadresse weitergeleitet, und die Antworten (z. B. die Genehmigung zum Zugriff auf eine Webseite) fließen in Gegenrichtung über den Proxy zurück zum Client. Im Unterschied zu herkömmlichen Appliance-basierten Proxys erfolgt die Bereitstellung jedoch nicht im Rechenzentrum, sondern in der Cloud.
 

Nachteile Appliance-basierter Proxys

Der Einsatz herkömmlicher Reverseproxy-Server und HTTP-Proxys ist in heutigen Security-Stacks zur Netzwerksicherung nach wie vor gang und gäbe, wird aber von IT-Verantwortlichen aus verschiedenen Gründen zunehmend als suboptimale Lösung wahrgenommen:

  • Latenz: Proxys müssen inline geschaltet werden, um den Traffic abzufangen. Die serielle Weiterleitung des Traffics durch Appliances mit eingeschränkter Bandbreite kann – insbesondere bei lokalen Deployments am Unternehmensstandort – erhebliche Verzögerungen bei der Herstellung von Verbindungen verursachen. Dadurch wird die User Experience stark beeinträchtigt.
  • Kompatibilität: Herkömmliche Proxys sind anfällig für Kompatibilitätsprobleme. Das liegt daran, dass sie nicht für den Einsatz in Kombination mit funktionsreichen webbasierten Anwendungen konzipiert wurden und mit der Vielzahl von Anforderungen – von der Authentifizierung über API-Anfragen bis hin zu Service-Anforderungen – schnell überfordert sind. Dies führt zu Ausfällen, die dann von der IT behoben werden müssen.
  • Kosten: Gemessen an typischen IT-Budgets sind die im Handel erhältlichen Proxy-Appliances schlicht und einfach zu teuer – zumal, wenn sie zur Überprüfung von TLS/SSL-verschlüsseltem Traffic eingesetzt werden sollen. Für diesen Anwendungsfall empfehlen Anbieter nämlich die Anschaffung zusätzlicher Appliances, teilweise in bis zu achtfacher Anzahl.
  • Caching: Heutzutage stellen alle gängigen Web-Browser hinreichend Möglichkeiten zur Zwischenspeicherung sowohl im Arbeitsspeicher als auch auf der Festplatte bereit, sodass netzwerkbasiertes Proxy-Caching nur noch eine zweitrangige Rolle spielt.
     

Konkrete Vorteile beim Einsatz von Cloud-Proxys

Proxys sind und bleiben auch unter heutigen Vorzeichen eine ideale Lösung für Unternehmen, die schwer erkennbare Bedrohungen ohne Abstriche an der User Experience abwehren wollen. Angesichts der zunehmenden Bedeutung von Cloud-Architekturen und Mobilgeräten im Geschäftsleben können hardwarebasierte Lösungen diese Funktion nicht mehr zuverlässig erfüllen. Organisationen, die auf eine effektive Cloud-basierte Proxy-Architektur umsteigen, profitieren von zahlreichen Vorteilen:

  • Deutlich weniger Kompatibilitätsprobleme, da Cloud-Proxys mit allen Anwendungen auf allen Ports, insbesondere in Cloud-Umgebungen kombinierbar sind
  • Globale Skalierbarkeit zum Schutz von Usern, die sich an ständig wechselnden Standorten, oft weit entfernt vom Unternehmensnetzwerk befinden
  • Erhebliche Kosteneinsparungen im Vergleich zu typischen Preisen für Hardware-Proxys
  • Hervorragende User Experience auch bei aktiver Überprüfung des gesamten TLS/SSL-Traffics ohne spürbare Latenzen für Enduser
  • Keine externe Exposition des Servers – Unterstützung für XFF-Header zur Übermittlung der IP-Adresse des Users, wo diese erforderlich ist

Am effektivsten sind Cloud-basierte Proxy-Architekturen, die im Rahmen einer ganzheitlichen Sicherheitsarchitektur eingesetzt werden, sodass sämtliche Benchmarks in Bezug auf Compliance und Sicherheit lückenlos abgedeckt sind.

Viele SASE-Funktionen basieren auf einem Proxy-Modell zur Zugriffssicherung im Datenpfad. Anbieter herkömmlicher Inline-Netzwerk- und Firewall-Lösungen verfügen nicht über das erforderliche Knowhow, um distribuierte Inline-Proxys im großen Maßstab zu entwickeln. Unternehmen, die auf SASE umstellen wollen, müssen daher höhere Kosten und/oder eine unzureichende Performance in Kauf nehmen.

Gartner, The Future of Network Security Is in the Cloud

Hinweise zur Funktionsweise von Cloud-Proxys

Cloud-basierte Proxys werden im Datenpfad eingesetzt und mit dem Authentifizierungsservice der Organisation (z. B. Single Sign-On) integriert. Nach der erfolgten Integration können sie inline ohne Agent betrieben werden. Dadurch lässt sich eine reibungslose User Experience gewährleisten, wobei der eingehende Traffic zu verwalteten Cloud-Anwendungen etc. automatisch über den Proxy umgeleitet wird.

Wie das konkret in der Praxis aussieht, wird nachstehend erläutert.

Ein Cloud-basierter Proxy schützt Kartenzahlungs-, personenbezogene und andere vertrauliche Daten, indem er als Vermittler bzw. Vertreter für den Server fungiert, auf dem sich die Daten befinden. Client-Anfragen werden zuerst an den Cloud-basierten Proxy, dann über den jeweils festgelegten Port in einer beliebigen Firewall und dann an den Inhaltsserver weitergeleitet – und dann in umgekehrter Richtung zurück. Der Client interpretiert Antworten, ohne jemals direkt mit dem Server zu kommunizieren. Im Einzelnen werden dabei folgende Schritte durchlaufen:

  1. Der Client sendet eine Anfrage, die der Cloud-Proxy abfängt.
  2. Der Cloud-Proxy leitet die eingehende Anfrage ggf. an die Firewall weiter.
  3. Die Anfrage wird von der Firewall entweder blockiert oder an den Server weitergeleitet.
  4. Der Server sendet eine Antwort über die Firewall an den Proxy.
  5. Der Cloud-Proxy sendet die Server-Antwort an den Client.

Selbst bei hohen Traffic-Volumen gewährleistet die flexible Skalierbarkeit der Cloud, dass diese Vorgänge nahezu in Echtzeit ablaufen.

Proxy-basierte Sicherheit: ein Eckpfeiler der Cloud-first-Architektur

Zum Blogbeitrag
Zum Blogbeitrag

Warum Proxies und Firewalls zur Abwehr heutiger Bedrohungen unverzichtbar sind

Zum Blogbeitrag
Zum Blogbeitrag

Zscaler SASE auf einen Blick

Zum Lösungsprofil
Zum Lösungsprofil

Cloud-Proxy von Zscaler

Organisationen, die sauberen, sicheren und vorschriftskonformen Internetzugang und hervorragende Anwendererfahrungen für sämtliche User unabhängig von jeweiligem Standort, Netzwerk, Gerät oder Betriebssystem gewährleisten wollen, benötigen eine Cloud-basierte Proxy-Architektur.

Zscaler Internet Access™ ist eine Cloud-native SSE-Lösung (Security Service Edge), die auf jahrelanger Marktführerschaft im Bereich Secure Web Gateway aufbaut und auf dem Fundament unserer bewährten Cloud-Proxy-basierten Architektur beruht. Die Lösung wird als skalierbare SaaS-Plattform über die weltweit größte Security Cloud bereitgestellt und ersetzt Legacy-Netzwerksicherheitslösungen mit dem Ziel, komplexe Bedrohungen abzuwehren und Datenverluste zu verhindern. Möglich macht dies ein umfassender Zero-Trust-Ansatz, der folgende Vorteile beinhaltet:

Zscaler Internet Access wird im Rahmen der ganzheitlichen Cloud-nativen Sicherheitsplattform Zscaler Zero Trust Exchange™ bereitgestellt.

Weitere Informationen zu Zscaler Internet Access

Viele SASE-Funktionen basieren auf einem Proxy-Modell zur Zugriffssicherung im Datenpfad. Anbieter herkömmlicher Inline-Netzwerk- und Firewall-Lösungen verfügen nicht über das erforderliche Knowhow, um distribuierte Inline-Proxys im großen Maßstab zu entwickeln. Unternehmen, die auf SASE umstellen wollen, müssen daher höhere Kosten und/oder eine unzureichende Performance in Kauf nehmen.

Gartner, The Future of Network Security Is in the Cloud

Anwendungsfälle für Zscaler Cloud Proxy

Die Cloud-basierte Proxy-Architektur von Zscaler kann als Reverseproxy zur Überprüfung des gesamten Traffics eingesetzt werden und erfüllt somit eine Hauptfunktion eines Cloud Access Security Broker (CASB) im Rahmen des SSE-Modells (Security Service Edge).

Im Rahmen eines SSE-Frameworks stellt unsere Cloud-basierte Proxy-Architektur Ihrer Organisation Funktionen und Services in mehreren Kernbereichen zur Verfügung:


User innerhalb Ihrer Organisation arbeiten oft mit mehreren Geräten, u. a. auch mit Privatgeräten. Darüber hinaus benötigen externe Auftragnehmer, Geschäftspartner und Kunden möglicherweise Zugriff auf interne Anwendungen auf eigenen, nicht verwalteten Geräten. Beide Szenarien stellen ein Sicherheitsrisiko für Ihr Unternehmen dar.

Zur Verwaltung von Geräten, die sich im Besitz Ihrer Organisation befinden, können Agents installiert werden. Anders verhält es sich jedoch mit nicht verwalteten Endgeräten. Externe Dritte sind vermutlich wenig geneigt, der Installation von Agents auf ihren Endgeräten zuzustimmen, und selbst Ihre Mitarbeiter wollen oft keine Agents auf ihren Privatgeräten. Als Alternative gewährleistet unsere Proxy-Architektur agentenlosen Schutz vor Datenlecks und Malware, wenn über nicht verwaltete Geräte auf Cloud-basierte Anwendungen und Ressourcen Ihrer Organisation zugegriffen wird.

Datenschutz
Die Proxy-Architektur von Zscaler kann Richtlinien zur Verhinderung von Datenverlusten durchsetzen, um das versehentliche oder absichtliche Hoch- oder Herunterladen vertraulicher Daten in oder aus genehmigte(n) Cloud-Anwendungen zu verhindern. Da der Proxy inline eingesetzt wird und auch verschlüsselten Traffic überprüft, ist gewährleistet, dass beim Hoch- und Herunterladen von Daten die Richtlinien Ihrer Organisation eingehalten werden.

Bedrohungsabwehr
Eine infizierte Datei in einem Cloud-Service kann verbundene Anwendungen und Geräte infizieren – insbesondere nicht verwaltete Geräte. Unsere Proxy-Architektur verhindert, dass infizierte Dateien in oder aus Cloud-Ressourcen hoch- oder heruntergeladen werden, und gewährleistet dadurch zuverlässigen Schutz vor komplexen Bedrohungen wie Malware und Ransomware. Die Installation eines Agents ist hierbei nicht erforderlich.

Diese Architektur hat zudem den Vorteil, dass Server und ihre IP-Adressen vor Clients verborgen werden. Dadurch sind webbasierte Ressourcen vor DDoS-Angriffen (Distributed Denial of Service) und ähnlichen Bedrohungen geschützt.

Lastenausgleich
Die Proxy-Lösung von Zscaler kann zur Bearbeitung von Client-Anfragen eingesetzt werden, die andernfalls einen einzelnen Server mit hoher Nachfrage überfordern könnten. Durch gleichmäßige Verteilung von Anfragen auf die Server der Organisation werden eine hohe Verfügbarkeit und kürzere Ladezeiten gefördert.