Weitere Informationen finden Sie im Datenblatt zu Zscaler Browser Isolation.
Wenn Sie soweit sind, können Sie sich für eine 30-tägige Testversion anmelden.
Als Reverse Proxy werden Server, Anwendungen oder Cloud-Services bezeichnet, die einem oder mehreren Web-Servern vorgeschaltet sind. Sie dienen dazu, eingehende Client-Anfragen abzufangen und vor der Weiterleitung an den Web-Server zu überprüfen. Im Gegenzug wird dann die Antwort des Servers an den Client weitergeleitet. Durch Einsatz eines Reverse Proxys können Organisationen die Sicherheit, Skalierbarkeit und Performance von Websites, Cloud-Services und Content Delivery Networks (CDNs) optimieren. Ein multimodaler Cloud Access Security Broker (CASB) kann als Cloud-basierter Reverse Proxy bereitgestellt werden.
Die beiden Typen von Proxy-Servern sind leicht zu verwechseln. Deshalb werden sie hier näher erläutert.
Reverse Proxys sitzen vor dem Webserver und stellen sicher, dass Clients nicht direkt mit dem Server kommunizieren können. Ein Forward-Proxy (ein weiterer CASB-Modus) sitzt dagegen vor den Client-Endpunkten, fängt eingehende Anfragen ab und stellt sicher, dass die Server nicht direkt mit den Clients kommunizieren. Die verschiedenen Servertypen erscheinen auf den ersten Blick recht ähnlich; Forward-Proxys sind aber normalerweise auf einen Software-Agenten auf dem Endgerät angewiesen, um den Datenverkehr weiterleiten zu können. Das ist bei Reverse Proxys nicht der Fall.
„Reverse Proxy Server“ ist die Langform für Reverse Proxys (genau wie „Forward Proxy Server“ für Forward-Proxys). Mittlerweile wird das Wörtchen „Server“ aber gerne weggelassen, weil es zu sehr an ein physisches Gerät erinnert, obwohl die Technologie meist als Anwendung oder Cloud-Dienst daherkommt.
Reverse-Proxys sind in den Authentifizierungsdienst einer Organisation (wie Single Sign-On) eingebunden. Sobald die IT-Abteilung Dienste und Apps für die Transaktion mit dem Reverse-Proxy konfiguriert hat, kann dieser inline ohne Agenten arbeiten. Das sorgt für eine unkomplizierte User Experience, da der Datenverkehr in Richtung der verwalteten Cloud-Apps o. Ä. automatisch an den Reverse-Proxy umgeleitet wird.
Konkret muss man sich die Abläufe folgendermaßen vorstellen:
Ein Reverse-Proxy kann sensible Daten (wie Karten- oder Personendaten) als Mittelsmann für den Server schützen, auf dem sich diese Daten befinden. Client-Anfragen werden zunächst an den Reverse-Proxy geleitet, dann über einen bestimmten Port in der jeweiligen Firewall und dann weiter an den Content-Server – und anschließend wieder zurück. Client und Server kommunizieren dabei nie direkt miteinander, doch der Client interpretiert die Antworten so, als ob dies der Fall wäre. So läuft das Verfahren im Einzelnen ab:
Der Reverse-Proxy kann auch Serverantworten nach Daten durchsuchen, die Hacker für Umleitungsversuche auf geschützte interne Ressourcen oder die Ausnutzung anderer Schwachstellen nutzen könnten.
Reverse-Proxys basieren häufig auf Open-Source-Software (OSS), da die Entwickler so auf den Quellcode zugreifen, ihn ändern und weitergeben können. Viele Open-Source-Reverse-Proxys enthalten flexible und konfigurierbare Funktionen, mit denen sie sich an individuelle Anforderungen anpassen lassen.
Beispielsweise sind Nginx, Apache und HAProxy allesamt Reverse Proxys, die dank OSS Lastausgleich, Caching, SSL- Offloading und HTTP-Request-Routing unterstützen. OSS ist mitunter auch für Sicherheitszwecke die richtige Wahl, da so mehrere Beteiligte den Code auf Schwachstellen überprüfen und Korrekturen einbringen können.
Reverse Proxying ist als CASB-Modus neben Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) und anderen Cloud-Sicherheitsdiensten von zentraler Bedeutung für das Security Service Edge (SSE)-Modell.
Über SSE hinaus ermöglichen Reverse-Proxys unter anderem die folgenden Maßnahmen:
User innerhalb der Organisation arbeiten oft mit mehreren Geräten, u. a. auch mit Privatgeräten. Darüber hinaus benötigen externe Auftragnehmer, Geschäftspartner und Kunden möglicherweise Zugriff auf interne Anwendungen auf eigenen, nicht verwalteten Geräten. Beide Szenarien stellen ein Sicherheitsrisiko für die Organisation dar.
Sie können Agents wie VPNs installieren, um Firmengeräte zu verwalten. Nicht verwaltete Endgeräte sind aber etwas völlig anderes. Dritte erlauben Ihnen nicht, Agents auf ihren Endgeräten zu installieren, und viele Mitarbeiter wollen auch keine Agents auf ihren persönlichen Geräten. Deshalb bieten Reverse Proxys agentenlosen Schutz vor Datenlecks und Malware auf nicht verwalteten Geräten, die auf Ihre Cloud-Anwendungen und -Ressourcen zugreifen.
Ein Reverse-Proxy kann Richtlinien zur Verhinderung von Datenlecks durchsetzen, um versehentliche oder absichtliche Uploads und Downloads vertraulicher Daten in bzw. von bestimmten Cloud-Apps zu verhindern. Da er den verschlüsselten Datenverkehr inline überprüft (insbesondere bei cloudbasierten Reverse Proxys)), wird sichergestellt, dass hochgeladene und heruntergeladene Daten den geltenden Richtlinien entsprechen.
Infizierte Dateien in Cloud-Diensten können sich auf verbundene Apps und Geräte ausbreiten – insbesondere auf nicht verwaltete Geräte. Durch die agentenlose Unterbindung von Uploads und Downloads infizierter Dateien in bzw. aus der Cloud bietet ein Reverse-Proxy erhöhten Schutz vor Malware und Ransomware.
Reverse-Proxys verbergen naturgemäß auch Server und ihre IP-Adressen vor Clients, was Webressourcen vor Bedrohungen wie Distributed Denial of Service (DDoS-Angriffen) schützt.
Reverse-Proxys können auch verwendet werden, um Client-Anfragen zu verarbeiten, die andernfalls einzelne Server überlasten könnten. Das verbessert Verfügbarkeit und Ladezeiten, da derBackend-Server entlastet wird. Dafür gibt es zwei gängige Methoden:
Nutzt eine große Website oder ein anderer WebdienstmehrereQuellserver, können Reverse Proxys die Anfragen auf diese verteilen und so die Serverlast ausgleichen.
Unter Berücksichtigung dieser Anwendungsfälle lassen sich die Vorteile von Reverse Proxys in drei Kategorien unterteilen:
Reverse Proxys bieten eine ganze Reihe von sicherheitstechnischen Vorteilen beim Schutz von nicht verwalteten Endgeräten sowie offiziell genehmigten Unternehmensanwendungen, weisen allerdings auch einige Mankos auf:
Immer mehr Unternehmen setzen auf eine cloudbasierte Browserisolierung, um die Nachteile und Risiken von Reverse Proxys zu umgehen und gleichzeitig die sichere Nutzung nicht verwalteter Geräte ohne Endpunktagenten zu ermöglichen.
Greift ein User auf eine verwaltete Cloud-Anwendung zu, virtualisiert Zscaler Cloud Browser Isolation die jeweilige Sitzung und gibt die Inhalte in einer isolierten Cloud-Umgebung wieder. Dabei wird die Sitzung in Form von Pixeln an den User übermittelt. Die User Experience ist dieselbe; allerdings verhindert CBI, dass nicht verwaltete Geräte die in der App enthaltenen vertraulichen Daten herunterladen, kopieren oder ausdrucken können.
CBI eignet sich daher ideal für Organisationen, die durch ein Maximum an Flexibilität die Produktivität ihrer erweiterten User-Basis fördern wollen, ohne versehentliche Datenlecks, böswillige Exfiltration und Malware-Infektionen über nicht verwaltete Geräte in Kauf zu nehmen.
Zscaler Browser Isolation™ bietet erstklassigen Schutz vor webbasierten Datenverlusten und Hackerangriffen − unterstützt durch eine branchenweit führende Zero-Trust-Webisolation.
Erstklassige User Experience
Durch die einzigartige Pixelstreaming-Technologie und Direct-to-Cloud-Proxyarchitektur ermöglicht Zscaler blitzschnelle Verbindungen zu Anwendungen und Websites. Auf nicht verwalteten Endgeräten werden Inhalte als hochwertige Pixelstreams im Browser des Users angezeigt. Dadurch wird Sicherheit ohne Abstriche an der Produktivität gewährleistet.
Konsistentes Schutzniveau für User an allen Standorten
Schützen Sie User geräte- und standortunabhängig mit einer Zero-Trust-Isolationsrichtlinie für Ihre Zentrale, verschiedene Mobil- und Remote-Standorte und häufig angegriffene Funktionen und Abteilungen.
Weniger Verwaltungsaufwand
Erledigen Sie Bereitstellung und Verwaltung im Handumdrehen und nutzen Sie den Zscaler Client Connector oder ein agentenloses Verfahren, um den Datenverkehr über Zscaler Zero Trust Exchange™ mit seiner nativ integrierten Browser Isolation laufen zu lassen.
Universelle Kompatibilität
Profitieren Sie von der Kompatibilität mit allen gängigen Webbrowsern und werden Sie so den individuellen Vorlieben der User gerecht. Durch die Cookie-Persistenz bei isolierten Sitzungen bleiben zudem die wichtigsten Einstellungen und Anmeldeinformationen der jeweiligen User erhalten.
Weitere Informationen finden Sie im Datenblatt zu Zscaler Browser Isolation.
Wenn Sie soweit sind, können Sie sich für eine 30-tägige Testversion anmelden.
Was ist ein Weiterleitungsproxy?
Mehr erfahrenWas ist unter einem Cloud-Proxy zu verstehen?
Mehr erfahrenZscaler Cloud-Browser-Isolation
Zum DatenblattBlogbeitrag: Hinweise zum Absichern von BYOD-Geräten ohne Reverse Proxy-Mankos
Zum BlogWas ist ein Cloud Access Security Broker (CASB)?
Zum ArtikelHäufigste Anwendungsfälle für CASB
E-Book lesenEin Cloud-Proxy erfüllt im Prinzip alle Funktionen eines Reverse Proxys: Client-Anfragen werden abgefangen und an die betreffende Internetadresse weitergeleitet, und die Antworten (z. B. die Genehmigung zum Zugriff auf eine Webseite) fließen in Gegenrichtung über den Proxy zurück zum Client. Im Unterschied zu herkömmlichen Appliance-basierten Proxys erfolgt die Bereitstellung jedoch nicht im Rechenzentrum, sondern in der Cloud.
Darüber hinaus ermöglichen Cloud-Proxys eine universelle Anwendungserkennung, globale Reichweite, erhebliche Einsparungspotenziale, eine angenehme User Experience und viele weitere Vorteile.
So gehen Sie vor, wenn Sie einen Reverse-Proxy einrichten wollen:
Beim Proxy-Chaining wird der Datenverkehr von einem Proxy-Server an einen anderen weitergeleitet. So werden die vorhandenen Proxy-Server ohne Änderungen am Netzwerk optimal ausgenutzt.