Was ist unter einem Reverse Proxy zu verstehen?

Reverse Proxys und Weiterleitungsproxys: Wo liegt der Unterschied?

Die beiden Typen von Proxy-Servern sind leicht zu verwechseln. Deshalb werden sie hier näher erläutert.

Reverse Proxys sitzen vor dem Webserver und stellen sicher, dass Clients nicht direkt mit dem Server kommunizieren können. Ein Forward-Proxy (ein weiterer CASB-Modus) sitzt dagegen vor den Client-Endpunkten, fängt eingehende Anfragen ab und stellt sicher, dass die Server nicht direkt mit den Clients kommunizieren. Die verschiedenen Servertypen erscheinen auf den ersten Blick recht ähnlich; Forward-Proxys sind aber normalerweise auf einen Software-Agenten auf dem Endgerät angewiesen, um den Datenverkehr weiterleiten zu können. Das ist bei Reverse Proxys nicht der Fall.

Was sind Reverse-Proxy-Server?

„Reverse Proxy Server“ ist die Langform für Reverse Proxys (genau wie „Forward Proxy Server“ für Forward-Proxys). Mittlerweile wird das Wörtchen „Server“ aber gerne weggelassen, weil es zu sehr an ein physisches Gerät erinnert, obwohl die Technologie meist als Anwendung oder Cloud-Dienst daherkommt.

Funktionsweise von Reverse Proxys

Reverse-Proxys sind in den Authentifizierungsdienst einer Organisation (wie Single Sign-On) eingebunden. Sobald die IT-Abteilung Dienste und Apps für die Transaktion mit dem Reverse-Proxy konfiguriert hat, kann dieser inline ohne Agenten arbeiten. Das sorgt für eine unkomplizierte User Experience, da der Datenverkehr in Richtung der verwalteten Cloud-Apps o. Ä. automatisch an den Reverse-Proxy umgeleitet wird.

Konkret muss man sich die Abläufe folgendermaßen vorstellen:

Ein Reverse-Proxy kann sensible Daten (wie Karten- oder Personendaten) als Mittelsmann für den Server schützen, auf dem sich diese Daten befinden. Client-Anfragen werden zunächst an den Reverse-Proxy geleitet, dann über einen bestimmten Port in der jeweiligen Firewall und dann weiter an den Content-Server – und anschließend wieder zurück. Client und Server kommunizieren dabei nie direkt miteinander, doch der Client interpretiert die Antworten so, als ob dies der Fall wäre. So läuft das Verfahren im Einzelnen ab:

1. Der Client sendet eine Anfrage, die der Reverse-Proxy abfängt.
2. Der Reverse-Proxy leitet eingehende Anfragen an die Firewall weiter. Der Reverse-Proxy kann auch so konfiguriert werden, dass er direkt auf Anfragen nach Dateien in seinem Cache reagiert, ohne mit dem Server zu kommunizieren – mehr dazu in den Anwendungsfällen).
3. Die Firewall blockiert die Anfrage entweder oder gibt sie an den Server weiter
4. Der Server schickt über die Firewall eine Antwort an den Proxy
5. Der Reverse Proxy sendet die Antwort an den Client.

Der Reverse-Proxy kann auch Serverantworten nach Daten durchsuchen, die Hacker für Umleitungsversuche auf geschützte interne Ressourcen oder die Ausnutzung anderer Schwachstellen nutzen könnten.

Open-Source-Software und Reverse Proxys

Reverse-Proxys basieren häufig auf Open-Source-Software (OSS), da die Entwickler so auf den Quellcode zugreifen, ihn ändern und weitergeben können. Viele Open-Source-Reverse-Proxys enthalten flexible und konfigurierbare Funktionen, mit denen sie sich an individuelle Anforderungen anpassen lassen.

Beispielsweise sind Nginx, Apache und HAProxy allesamt Reverse Proxys, die dank OSS Lastausgleich, Caching, SSL- Offloading und HTTP-Request-Routing unterstützen. OSS ist mitunter auch für Sicherheitszwecke die richtige Wahl, da so mehrere Beteiligte den Code auf Schwachstellen überprüfen und Korrekturen einbringen können.

Anwendungsfälle für Reverse Proxys

Reverse Proxying ist als CASB-Modus neben Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) und anderen Cloud-Sicherheitsdiensten von zentraler Bedeutung für das Security Service Edge (SSE)-Modell.

Über SSE hinaus ermöglichen Reverse-Proxys unter anderem die folgenden Maßnahmen:

Sicherung nicht verwalteter Geräte

User innerhalb der Organisation arbeiten oft mit mehreren Geräten, u. a. auch mit Privatgeräten. Darüber hinaus benötigen externe Auftragnehmer, Geschäftspartner und Kunden möglicherweise Zugriff auf interne Anwendungen auf eigenen, nicht verwalteten Geräten. Beide Szenarien stellen ein Sicherheitsrisiko für die Organisation dar.

Sie können Agents wie VPNs installieren, um Firmengeräte zu verwalten. Nicht verwaltete Endgeräte sind aber etwas völlig anderes. Dritte erlauben Ihnen nicht, Agents auf ihren Endgeräten zu installieren, und viele Mitarbeiter wollen auch keine Agents auf ihren persönlichen Geräten. Deshalb bieten Reverse Proxys agentenlosen Schutz vor Datenlecks und Malware auf nicht verwalteten Geräten, die auf Ihre Cloud-Anwendungen und -Ressourcen zugreifen.

Datenschutz

Ein Reverse-Proxy kann Richtlinien zur Verhinderung von Datenlecks durchsetzen, um versehentliche oder absichtliche Uploads und Downloads vertraulicher Daten in bzw. von bestimmten Cloud-Apps zu verhindern. Da er den verschlüsselten Datenverkehr inline überprüft (insbesondere bei cloudbasierten Reverse Proxys)), wird sichergestellt, dass hochgeladene und heruntergeladene Daten den geltenden Richtlinien entsprechen.

Bedrohungsabwehr

Infizierte Dateien in Cloud-Diensten können sich auf verbundene Apps und Geräte ausbreiten – insbesondere auf nicht verwaltete Geräte. Durch die agentenlose Unterbindung von Uploads und Downloads infizierter Dateien in bzw. aus der Cloud bietet ein Reverse-Proxy erhöhten Schutz vor Malware und Ransomware.

Reverse-Proxys verbergen naturgemäß auch Server und ihre IP-Adressen vor Clients, was Webressourcen vor Bedrohungen wie Distributed Denial of Service (DDoS-Angriffen) schützt.

Lastenausgleich

Reverse-Proxys können auch verwendet werden, um Client-Anfragen zu verarbeiten, die andernfalls einzelne Server überlasten könnten. Das verbessert Verfügbarkeit und Ladezeiten, da derBackend-Server entlastet wird. Dafür gibt es zwei gängige Methoden:

1. Ein Reverse-Proxy kann Inhalte von einem Quellserver im Zwischenspeicher ablegen und sie dann ohne weiteren Austausch mit dem Server an Clients senden, die diese anfordern (das wird dann als Web-Beschleunigungbezeichnet). Ein Domain-Namen-System (DNS) kann verwendet werden, um derartige Anfragen gleichmäßig auf mehrere Reverse Proxys zu verteilen.

Nutzt eine große Website oder ein anderer WebdienstmehrereQuellserver, können Reverse Proxys die Anfragen auf diese verteilen und so die Serverlast ausgleichen.

Konkrete Vorteile beim Einsatz von Reverse Proxys

Unter Berücksichtigung dieser Anwendungsfälle lassen sich die Vorteile von Reverse Proxys in drei Kategorien unterteilen:

• Datensicherheit und Bedrohungsschutz: Reverse Proxys bieten eine Web Application Firewall (WAF)-Funktion, da sie den Datenverkehr (auch den verschlüsselten) zwischen verwalteten und nicht verwalteten Endpunkten und dem Webserver überwachen und filtern. So schützen sie ihn vor SQL-Injection, Cross-Site-Scripting und anderen Cyberangriffen.
• Skalierbarkeit und Ressourcenmanagement: Ein doppelter Vorteil: Reverse Proxys unterstützen die operative Skalierung, da sie die Installation von Agents auf sämtlichen Endgeräten überflüssig machen, bevor der sichere Zugriff auf verwaltete Ressourcen überhaupt möglich ist. Sie unterstützen auch die Skalierung der Infrastruktur mit Funktionen wie Serverlastausgleich, API- Datenverkehrsmanagement und anderen.
• Leistung und Produktivität: Cloudbasierte Reverse Proxys können Sicherheitsrichtlinien prüfen und auf den Datenverkehr anwenden, und zwar auch auf den von Remote-Benutzern, ohne ihn über das Rechenzentrum umzuleiten. Das ist für die Optimierung der User Performance entscheidend. Sie verfügen außerdem über praktisch unbegrenzte Möglichkeiten zur Prüfung des TLS/SSL-Datenverkehrs (der mittlerweile den Großteil des Datenverkehrs ausmacht). Im Gegensatz dazu können Appliance-basierteFirewalls und Proxys den TLS/SSL-verschlüsselten Traffic kaum ohne größere Leistungseinbußen überprüfen.

Nachteile von Reverse Proxys

Reverse Proxys bieten eine ganze Reihe von sicherheitstechnischen Vorteilen beim Schutz von nicht verwalteten Endgeräten sowie offiziell genehmigten Unternehmensanwendungen, weisen allerdings auch einige Mankos auf:

• Kein Schutz nicht verwalteter Ressourcen: Benötigt ein User sicheren Zugriff auf eine App oder eine Ressource, die nicht in Ihr SSO integriert ist, erfolgt dieser außerhalb des Blickfelds des Reverse Proxys. Denn Reverse Proxys überwachen ausschließlich den Datenverkehr an sanktionierte Ressourcen, nicht aber den gesamten Datenverkehr. Um nicht sanktionierte Ressourcen ebenso zu schützen, braucht es deshalb einen Forward Proxy.
• Hohe Ausfallquote: Reverse Proxys werden in der Regel für die Kompatibilität mit speziellen Versionen einer Anwendung programmiert. Wenn also eine Anwendung aktualisiert und neuer Code an den Proxy gesendet wird, kann dies zu Betriebsunterbrechungen führen. Dadurch ist unter Umständen so lange kein Zugriff auf die aktualisierte Anwendung möglich, bis der Proxy neu programmiert wird. Das Ergebnis sind frustrierte User und Produktivitätseinbußen.

Die Alternative: Cloudbasierte Browser-Isolation

Immer mehr Unternehmen setzen auf eine cloudbasierte Browserisolierung, um die Nachteile und Risiken von Reverse Proxys zu umgehen und gleichzeitig die sichere Nutzung nicht verwalteter Geräte ohne Endpunktagenten zu ermöglichen.

Greift ein User auf eine verwaltete Cloud-Anwendung zu, virtualisiert Zscaler Cloud Browser Isolation die jeweilige Sitzung und gibt die Inhalte in einer isolierten Cloud-Umgebung wieder. Dabei wird die Sitzung in Form von Pixeln an den User übermittelt. Die User Experience ist dieselbe; allerdings verhindert CBI, dass nicht verwaltete Geräte die in der App enthaltenen vertraulichen Daten herunterladen, kopieren oder ausdrucken können.

CBI eignet sich daher ideal für Organisationen, die durch ein Maximum an Flexibilität die Produktivität ihrer erweiterten User-Basis fördern wollen, ohne versehentliche Datenlecks, böswillige Exfiltration und Malware-Infektionen über nicht verwaltete Geräte in Kauf zu nehmen.

Cloudbasierte Browser-Isolation von Zscaler

Zscaler Browser Isolation™ bietet erstklassigen Schutz vor webbasierten Datenverlusten und Hackerangriffen − unterstützt durch eine branchenweit führende Zero-Trust-Webisolation.

Erstklassige User Experience

Durch die einzigartige Pixelstreaming-Technologie und Direct-to-Cloud-Proxyarchitektur ermöglicht Zscaler blitzschnelle Verbindungen zu Anwendungen und Websites. Auf nicht verwalteten Endgeräten werden Inhalte als hochwertige Pixelstreams im Browser des Users angezeigt. Dadurch wird Sicherheit ohne Abstriche an der Produktivität gewährleistet.

Konsistentes Schutzniveau für User an allen Standorten

Schützen Sie User geräte- und standortunabhängig mit einer Zero-Trust-Isolationsrichtlinie für Ihre Zentrale, verschiedene Mobil- und Remote-Standorte und häufig angegriffene Funktionen und Abteilungen.

Weniger Verwaltungsaufwand

Erledigen Sie Bereitstellung und Verwaltung im Handumdrehen und nutzen Sie den Zscaler Client Connector oder ein agentenloses Verfahren, um den Datenverkehr über Zscaler Zero Trust Exchange™ mit seiner nativ integrierten Browser Isolation laufen zu lassen.

Universelle Kompatibilität

Profitieren Sie von der Kompatibilität mit allen gängigen Webbrowsern und werden Sie so den individuellen Vorlieben der User gerecht. Durch die Cookie-Persistenz bei isolierten Sitzungen bleiben zudem die wichtigsten Einstellungen und Anmeldeinformationen der jeweiligen User erhalten.