Was ist unter einem Reverseproxy zu verstehen?

Reverseproxys und Weiterleitungsproxys: Wo liegt der Unterschied?

Beide Bereitstellungsoptionen werden leicht miteinander verwechselt, jedoch gibt es einige grundsätzliche Unterschiede zu beachten:

Reverseproxys werden Web-Servern vorgeschaltet, um zu verhindern, dass Clients direkt mit dem Server kommunizieren können. Alternativ ermöglichen multimodale CASBs die Bereitstellung als Weiterleitungsproxy, der Client-Endgeräten vorgeschaltet wird, um eingehende Anfragen abzufangen und zu verhindern, dass Server direkt mit Clients kommunizieren. Beide Bereitstellungsmodi erfüllen eine ähnliche Funktion. Ein wesentlicher Unterschied besteht darin, dass Weiterleitungsproxys den Traffic in der Regel mithilfe eines Software-Agents weiterleiten, der auf den Endgeräten installiert werden muss. Für Reverseproxys ist dies hingegen nicht erforderlich.

Was ist unter einem Proxy-Server zu verstehen?

Der Begriff „Proxy-Server“ stammt noch aus der Zeit, als die Bereitstellung üblicherweise in Form physischer Appliances erfolgte. Inzwischen werden Reverse- und Weiterleitungsproxys zunehmend als Anwendungen oder Cloud-Services bereitgestellt, für die sich die Kurzform „Proxy“ eingebürgert hat.

Funktionsweise von Reverseproxys

Reverseproxys werden im Datenpfad eingesetzt und mit dem Authentifizierungsservice der Organisation (z. B. Single Sign-On) integriert. Services und Anwendungen müssen zunächst für Transaktionen mit dem Reverseproxy konfiguriert werden, der dann inline ohne Agent betrieben werden kann. Dadurch lässt sich eine reibungslose User Experience gewährleisten, wobei der eingehende Traffic zu verwalteten Cloud-Anwendungen etc. automatisch über den Reverseproxy umgeleitet wird.

Konkret muss man sich die Abläufe folgendermaßen vorstellen:

Ein Reverseproxy schützt Kartenzahlungs-, personenbezogene und andere vertrauliche Daten, indem er als Vermittler bzw. Vertreter für den Server fungiert, auf dem sich die Daten befinden. Client-Anfragen werden zuerst an den Reverseproxy, dann über einen bestimmten Port in einer beliebigen Firewall und dann an den Inhaltsserver weitergeleitet – und dann in umgekehrter Richtung zurück. Der Client interpretiert Antworten, ohne jemals direkt mit dem Server zu kommunizieren. Im Einzelnen werden dabei folgende Schritte durchlaufen:

1. Der Client sendet eine Anfrage, die der Reverse-Proxy abfängt.
2. Der Reverseproxy leitet die eingehende Anfrage an die Firewall weiter. Der Reverseproxy kann so konfiguriert werden, dass er direkt auf Anfragen zur Anforderung von Dateien in seinem Cache reagiert, ohne mit dem Server zu kommunizieren (siehe die Anwendungsfälle für weitere Informationen).
3. Die Anfrage wird von der Firewall entweder blockiert oder an den Server weitergeleitet.
4. Der Server sendet eine Antwort über die Firewall an den Proxy.
5. Der Reverseproxy sendet die Antwort an den Client.

Der Reverseproxy kann auch Serverantworten nach Informationen durchsuchen, mit deren Hilfe ein Hacker auf geschützte interne Ressourcen zugreifen oder andere Sicherheitslücken ausnutzen könnte.

Anwendungsfälle für Reverseproxys

Als CASB-Bereitstellungsoption zählt der Reverseproxy-Modus zusammen mit Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) und weiteren Cloud-basierten Sicherheitsservices zu den Kernfunktionen des SSE-Modells (Security Service Edge).

Abgesehen von ihrer Bedeutung als Kernfunktion von SSE ergeben sich mehrere gängige Anwendungsfälle für Reverseproxys:

Sicherung nicht verwalteter Geräte

User innerhalb der Organisation arbeiten oft mit mehreren Geräten, u. a. auch mit Privatgeräten. Darüber hinaus benötigen externe Auftragnehmer, Geschäftspartner und Kunden möglicherweise Zugriff auf interne Anwendungen auf eigenen, nicht verwalteten Geräten. Beide Szenarien stellen ein Sicherheitsrisiko für die Organisation dar.

Zur Verwaltung von Geräten, die sich im Besitz der Organisation befinden, können Agents installiert werden. Anders verhält es sich mit nicht verwalteten Endgeräten. Externe Dritte werden wenig geneigt sein, der Installation von Agents auf ihren Endgeräten zuzustimmen, und selbst die eigenen Mitarbeiter wollen oft keine Agents auf ihren Privatgeräten. Als Alternative empfiehlt sich der Einsatz eines Reverseproxys, der agentenlosen Schutz vor Datenlecks und Malware gewährleistet, wenn über nicht verwaltete Geräte auf Cloud-basierte Anwendungen und Ressourcen der Organisation zugegriffen wird.

Datenschutz

Ein Reverseproxy kann Richtlinien zur Verhinderung von Datenverlusten durchsetzen, um das versehentliche oder absichtliche Hoch- oder Herunterladen vertraulicher Daten in oder aus genehmigten Cloud-Anwendungen zu verhindern. Da er inline eingesetzt wird und auch verschlüsselten Traffic überprüft, gewährleistet ein Reverseproxy (insbesondere ein Cloud-basierter Reverseproxy), dass beim Hoch- und Herunterladen von Daten die Richtlinien der Organisation eingehalten werden.

Bedrohungsabwehr

Eine infizierte Datei in einem Cloud-Service kann verbundene Anwendungen und Geräte infizieren – insbesondere nicht verwaltete Geräte. Ein Reverseproxy verhindert, dass infizierte Dateien in oder aus Cloud-Ressourcen hoch- oder heruntergeladen werden, und gewährleistet dadurch zuverlässigen Schutz vor komplexen Bedrohungen wie Malware und Ransomware. Die Installation eines Agents ist nicht erforderlich.

Reverseproxys haben zudem den Vorteil, dass Server und ihre IP-Adressen vor Clients verborgen werden. Dadurch sind webbasierte Ressourcen vor DDoS-Angriffen (Distributed Denial of Service) und ähnlichen Bedrohungen geschützt.

Lastenausgleich

Reverseproxys können zur Bearbeitung von Client-Anfragen eingesetzt werden, die andernfalls einen einzelnen Server mit hoher Nachfrage überfordern könnten. Durch Entlastung des Backend-Servers werden eine hohe Verfügbarkeit und kürzere Ladezeiten gefördert. Primär kommen dabei zwei unterschiedliche Verfahren zur Anwendung:

1. Ein Reverseproxy kann Inhalte von einem Ursprungsserver im temporären Speicher zwischenspeichern und dann an Clients senden, die diese Inhalte anfordern, ohne dass eine weitere Transaktion mit dem Server durchgeführt werden muss (dies wird als Webbeschleunigung bezeichnet). Anhand des DNS lässt sich gewährleisten, dass Anfragen gleichmäßig über mehrere Reverseproxys geroutet werden.
2. Wenn eine große Website oder ein anderer Webdienst mehrere Ursprungsserver verwendet, kann ein Reverseproxy Anfragen verteilen, um eine gleichmäßige Serverlast zu gewährleisten.

Konkrete Vorteile beim Einsatz von Reverseproxys

Unter Berücksichtigung der erläuterten Anwendungsfälle bringt der Einsatz eines Reverseproxys Vorteile in drei verschiedenen Bereichen:

• Datensicherheit und Bedrohungsabwehr: Reverseproxys überwachen und filtern den gesamten – verschlüsselten und unverschlüsselten – Traffic von allen verwalteten und nicht verwalteten Endgeräten zum Web-Server. Diese WAF-Funktionen (Web Application Firewall) gewährleisten zuverlässigen Schutz vor SQL-Injektionen, Cross-Site Scripting und weiteren Bedrohungen.
• Skalierbarkeit und Ressourcenmanagement: Hier ergibt sich ein zweifacher Vorteil. Zum einen unterstützen Reverseproxys den operativen Ausbau insofern, als durch ihren Einsatz die Notwendigkeit entfällt, auf jedem einzelnen Endgerät einen Agent zu installieren, bevor dem betreffenden User sicherer Zugriff auf verwaltete Ressourcen gewährt werden kann. Zugleich wird durch Optionen zum Lastenausgleich für stark nachgefragte Ressourcen der Ausbau der IT-Infrastruktur unterstützt.
• Performance und Produktivität: Cloud-basierte Reverseproxys analysieren den Traffic von sämtlichen Endgeräten (einschließlich Remote-Usern) und wenden die jeweils relevanten Sicherheitsrichtlinien an, ohne den Traffic im Backhauling-Verfahren über das Rechenzentrum umzuleiten. Zudem können sie TLS/SSL-verschlüsselten Traffic (der heute die Mehrheit des gesamten Traffics ausmacht) in quasi unbegrenztem Umfang überprüfen – und zwar ohne die massiven Leistungsabfälle, die bei der Überprüfung mit Appliance-basierten Firewalls und Proxys entstehen würden.

Nachteile von Reverseproxys

Reverseproxys bieten eine ganze Reihe von sicherheitstechnischen Vorteilen beim Schutz von nicht verwalteten Endgeräten sowie offiziell genehmigten Unternehmensanwendungen, weisen allerdings auch einige Mankos auf:

• Kein Schutz für nicht verwaltete Ressourcen: Wenn ein User sicheren Zugriff auf eine Anwendung oder Ressource benötigt, die nicht mit dem SSO der Organisation integriert ist, nützt ein Reverseproxy nicht viel. Reverseproxys überwachen nicht den gesamten Traffic, sondern nur den Traffic zu den offiziellen Ressourcen der Organisation – zur entsprechenden Sicherung aller anderen Ressourcen, mit denen die User ggf. arbeiten, ist ein Weiterleitungsproxy erforderlich.
• Hohe Ausfallquote: Reverseproxys werden in der Regel für die Kompatibilität mit speziellen Versionen einer Anwendung programmiert. Wenn also eine Anwendung aktualisiert und neuer Code an den Proxy gesendet wird, kann dies zu Betriebsunterbrechungen führen. Dadurch ist unter Umständen so lange kein Zugriff auf die aktualisierte Anwendung möglich, bis der Proxy neu programmiert wird. Das Ergebnis sind frustrierte User und Produktivitätseinbußen.

Eine bessere Alternative: Cloud Browser Isolation

Im Bestreben, die mit Reverseproxys verbundenen Einschränkungen und Ausfallrisiken zu vermeiden, setzen Organisationen zunehmend auf Cloud Browser Isolation und profitieren dadurch weiter von der Möglichkeit, nicht verwaltete Geräte ohne Einsatz von Endgeräte-Agents zu schützen.

Wenn ein User auf eine verwaltete Cloud-Anwendung zugreift, virtualisiert Zscaler Cloud Browser Isolation die Sitzung und zeigt Inhalte in einer isolierten Umgebung in der Cloud an. Die Sitzung wird als Pixelstream an den User gesendet. Aus User-Sicht ist diese virtualisierte Sitzung identisch mit der nativen Anwendererfahrung der jeweiligen Cloud-Applikation. Der einzige Unterschied besteht darin, dass auf nicht verwalteten Geräten das Herunterladen, Kopieren und Einfügen bzw. Drucken vertraulicher Daten verhindert wird, die in der Applikation gespeichert sind.

CBI eignet sich daher ideal für Organisationen, die durch ein Maximum an Flexibilität die Produktivität ihrer erweiterten User-Basis fördern wollen, ohne versehentliche Datenlecks, böswillige Exfiltration und Malware-Infektionen über nicht verwaltete Geräte in Kauf zu nehmen.

Zscaler Cloud-Browser-Isolation

Zscaler Cloud Browser Isolation gewährleistet unübertroffenen Schutz vor webbasierten Datenverlusten und Bedrohungen, der auf der branchenführenden Web-Isolierung nach dem Zero-Trust-Prinzip aufbaut.

Erstklassige User Experience

Durch die einzigartige Pixelstreaming-Technologie und Direct-to-Cloud-Proxyarchitektur ermöglicht Zscaler blitzschnelle Verbindungen zu Anwendungen und Websites. Auf nicht verwalteten Endgeräten werden Inhalte als hochwertige Pixelstreams im Browser des Users angezeigt. Dadurch wird Sicherheit ohne Abstriche an der Produktivität gewährleistet.

Konsistentes Schutzniveau für User an allen Standorten

Zero-Trust-basierte Richtlinien zur Browser-Isolierung für Unternehmenszentralen, mobile Mitarbeiter und Remote-Standorte sowie besonders gefährdete Positionen und Abteilungen innerhalb der Organisation gewährleisten zuverlässigen Schutz für alle User unabhängig vom Standort oder Gerät.

Weniger Verwaltungsaufwand

Die Lösung lässt sich in Sekundenschnelle bereitstellen, indem der Traffic über Zscaler Client Connector oder eine agentenlose Option über die Zscaler Zero Trust Exchange™ mit nativ integrierter Cloud Browser Isolation geleitet wird.

Universelle Kompatibilität

Die Lösung ist mit allen gängigen Web-Browsern kompatibel, sodass User freie Wahl haben. Durch Cookie-Persistenz für die isolierten Sitzungen werden Einstellungen und Anmeldedaten der User beibehalten.