Was ist unter einem Cloud-Proxy zu verstehen?

Welche Funktionen erfüllt ein Cloud-Proxy?

Ein Cloud-Proxy erfüllt im Prinzip alle Funktionen eines Reverse Proxys: Client-Anfragen werden abgefangen und an die betreffende Internetadresse weitergeleitet, und die Antworten (z. B. die Genehmigung zum Zugriff auf eine Webseite) fließen in Gegenrichtung über den Proxy zurück zum Client. Im Unterschied zu herkömmlichen Appliance-basierten Proxys erfolgt die Bereitstellung jedoch nicht im Rechenzentrum, sondern in der Cloud.
 

Nachteile Appliance-basierter Proxys

Der Einsatz herkömmlicher Reverse Proxy-Server und HTTP-Proxys ist in heutigen Security-Stacks zur Netzwerksicherung nach wie vor gang und gäbe, wird aber von IT-Verantwortlichen aus verschiedenen Gründen zunehmend als suboptimale Lösung wahrgenommen:

• Latenz: Proxys müssen inline betrieben werden, um Traffic abzufangen. Die serielle Weiterleitung des Traffics durch Appliances mit eingeschränkter Bandbreite kann – insbesondere bei lokalen Deployments am Unternehmensstandort – erhebliche Verzögerungen bei der Herstellung von Verbindungen verursachen und die User Experience stark beeinträchtigen.
• Kompatibilität: Herkömmliche Proxys sind anfällig für Kompatibilitätsprobleme. Das liegt daran, dass sie nicht für den Einsatz in Kombination mit funktionsreichen webbasierten Anwendungen konzipiert wurden und mit der Vielzahl von Anforderungen – von der Authentifizierung über API-Anfragen bis hin zu Service-Anforderungen – schnell überfordert sind. Dies führt zu Ausfällen, die dann von der IT behoben werden müssen.
• Kosten: Gemessen an typischen IT-Budgets sind die im Handel erhältlichen Proxy-Appliances schlicht und einfach zu teuer – zumal, wenn sie zur Überprüfung von TLS/SSL-verschlüsseltem Traffic eingesetzt werden sollen. Für diesen Anwendungsfall empfehlen Anbieter nämlich die Anschaffung zusätzlicher Appliances, teilweise in bis zu achtfacher Anzahl.
• Caching: Heutzutage stellen alle gängigen Webbrowser hinreichend Möglichkeiten zur Zwischenspeicherung, sowohl im Arbeitsspeicher als auch auf der Festplatte, bereit, sodass netzwerkbasiertes Proxy-Caching nur noch eine zweitrangige Rolle spielt.
   

Vorteile eines Cloud-Proxys

Proxys sind und bleiben auch unter heutigen Vorzeichen eine ideale Lösung für Unternehmen, die schwer erkennbare Bedrohungen ohne Abstriche an der User Experience abwehren wollen. Angesichts der zunehmenden Bedeutung von Cloud-Architekturen und Mobilgeräten im Geschäftsleben können hardwarebasierte Lösungen diese Funktion nicht mehr zuverlässig erfüllen. Organisationen, die auf eine effektive Cloud-basierte Proxy-Architektur umsteigen, profitieren von zahlreichen Vorteilen:

• Deutlich weniger Kompatibilitätsprobleme, da Cloud-Proxys mit allen Anwendungen auf allen Ports, insbesondere in Cloud-Umgebungen kombinierbar sind
• Globale Skalierbarkeit zum Schutz von Usern, die sich an ständig wechselnden Standorten, oft weit entfernt vom Unternehmensnetzwerk befinden
• Erhebliche Kosteneinsparungen im Vergleich zu typischen Preisen für Hardware-Proxys
• Hervorragende User Experience auch bei aktiver Überprüfung des gesamten TLS/SSL-Traffics ohne spürbare Latenzen für Enduser.
• Keine externe Exposition des Servers – Unterstützung für XFF-Header zur Übermittlung der IP-Adresse des Users, wo diese erforderlich ist

Am effektivsten sind cloudbasierte Proxy-Architekturen, die im Rahmen einer ganzheitlichen Sicherheitsarchitektur eingesetzt werden, sodass sämtliche Benchmarks in Bezug auf Compliance und Sicherheit lückenlos abgedeckt sind und eventuelle Schwachstellen nicht durch andere Funktionen oder Dritte (etwa Cloudanbieter) behoben werden müssen.

Hinweise zur Funktionsweise von Cloud-Proxys

Cloud-basierte Proxys werden im Datenpfad eingesetzt und mit dem Authentifizierungsservice der Organisation (z. B. Single Sign-On) integriert. Nach der erfolgten Integration können sie inline ohne Agent betrieben werden. Dadurch lässt sich eine reibungslose User Experience gewährleisten, wobei der eingehende Traffic zu verwalteten Cloud-Anwendungen etc. automatisch über den Proxy umgeleitet wird.

Wie das konkret in der Praxis aussieht, wird nachstehend erläutert.

Ein Cloud-basierter Proxy schützt Kartenzahlungs-, personenbezogene und andere vertrauliche Daten, indem er als Vermittler bzw. Vertreter für den Server fungiert, auf dem sich die Daten befinden. Client-Anfragen werden zuerst an den Cloud-basierten Proxy, dann über den jeweils festgelegten Port in einer beliebigen Firewall und dann an den Inhaltsserver weitergeleitet – und dann in umgekehrter Richtung zurück. Der Client interpretiert Antworten, ohne jemals direkt mit dem Server zu kommunizieren. Im Einzelnen werden dabei folgende Schritte durchlaufen:

1. Der Client sendet eine Anfrage, die der Cloud-Proxy abfängt.
2. Der Cloud-Proxy leitet die eingehende Anfrage ggf. an die Firewall weiter.
3. Die Anfrage wird von der Firewall entweder blockiert oder an den Server weitergeleitet.
4. Der Server sendet eine Antwort über die Firewall an den Proxy.
5. Der Cloud-Proxy sendet die Server-Antwort an den Client.

Selbst bei hohen Traffic-Volumen gewährleistet die flexible Skalierbarkeit der Cloud, dass diese Vorgänge nahezu in Echtzeit ablaufen.

Cloud-Proxy von Zscaler

Organisationen, die sauberen, sicheren und vorschriftskonformen Internetzugang und hervorragende Anwendererfahrungen für sämtliche User unabhängig von jeweiligem Standort, Netzwerk, Gerät oder Betriebssystem gewährleisten wollen, benötigen eine Cloud-basierte Proxy-Architektur.

Zscaler Internet Access™ ist eine Cloud-native SSE-Lösung (Security Service Edge), die auf jahrelanger Marktführerschaft im Bereich Secure Web Gateway aufbaut und auf dem Fundament unserer bewährten Cloud-Proxy-basierten Architektur beruht. Die Lösung wird als skalierbare SaaS-Plattform über die weltweit größte Security Cloud bereitgestellt und ersetzt Legacy-Netzwerksicherheitslösungen mit dem Ziel, komplexe Bedrohungen abzuwehren und Datenverluste zu verhindern. Möglich macht dies ein umfassender Zero-Trust-Ansatz, der folgende Vorteile beinhaltet:

Zscaler Internet Access wird im Rahmen der ganzheitlichen Cloud-nativen Sicherheitsplattform Zscaler Zero Trust Exchange™ bereitgestellt.

Anwendungsfälle für Cloud-Proxys

Die cloudbasierte Proxy-Architektur von Zscaler kann als Reverse Proxy zur Überprüfung des gesamten Traffics eingesetzt werden und erfüllt somit eine Hauptfunktion eines Cloud Access Security Broker (CASB) im Rahmen des SSE-Modells (Security Service Edge).

Im Rahmen eines SSE-Frameworks stellt unsere Cloud-basierte Proxy-Architektur Ihrer Organisation Funktionen und Services in mehreren Kernbereichen zur Verfügung:

Sicherung nicht verwalteter Geräte

User innerhalb der Organisation arbeiten oft mit mehreren Geräten, u. a. auch mit Privatgeräten. Darüber hinaus benötigen externe Auftragnehmer, Geschäftspartner und Kunden möglicherweise Zugriff auf interne Anwendungen auf eigenen, nicht verwalteten Geräten. Beide Szenarien stellen ein Sicherheitsrisiko für die Organisation dar.

Zur Verwaltung von Geräten, die sich im Besitz Ihrer Organisation befinden, können Agents installiert werden. Anders verhält es sich jedoch mit nicht verwalteten Endgeräten. Externe Dritte sind vermutlich wenig geneigt, der Installation von Agents auf ihren Endgeräten zuzustimmen, und selbst Ihre Mitarbeiter wollen oft keine Agents auf ihren Privatgeräten. Als Alternative gewährleistet unsere Proxy-Architektur agentenlosen Schutz vor Datenlecks und Malware, wenn über nicht verwaltete Geräte auf Cloud-basierte Anwendungen und Ressourcen Ihrer Organisation zugegriffen wird.

Datenschutz

Die Proxy-Architektur von Zscaler kann Richtlinien zur Verhinderung von Datenverlusten durchsetzen, um das versehentliche oder absichtliche Hoch- oder Herunterladen vertraulicher Daten in oder aus genehmigten Cloud-Anwendungen zu verhindern. Da der Proxy inline eingesetzt wird und auch verschlüsselten Traffic überprüft, ist gewährleistet, dass beim Hoch- und Herunterladen von Daten die Richtlinien Ihrer Organisation eingehalten werden.

Bedrohungsabwehr

Eine infizierte Datei in einem Cloud-Service kann verbundene Anwendungen und Geräte infizieren – insbesondere nicht verwaltete Geräte. Unsere Proxy-Architektur verhindert, dass infizierte Dateien in oder aus Cloud-Ressourcen hoch- oder heruntergeladen werden. Dadurch wird ein zuverlässiger Schutz vor komplexen Bedrohungen wie Malware und Ransomware gewährleistet. Die Installation eines Agents ist hierbei nicht erforderlich.

Diese Architektur hat zudem den Vorteil, dass Server und ihre IP-Adressen vor Clients verborgen werden. Dadurch sind webbasierte Ressourcen vor DDoS-Angriffen (Distributed Denial of Service) und ähnlichen Bedrohungen geschützt.

Lastenausgleich

Die Proxy-Lösung von Zscaler kann zur Bearbeitung von Client-Anfragen eingesetzt werden, die andernfalls einen einzelnen Server mit hoher Nachfrage überfordern könnten. Durch gleichmäßige Verteilung von Anfragen auf die Server der Organisation werden eine hohe Verfügbarkeit und kürzere Ladezeiten gefördert.