Weitere Informationen sind im Datenblatt für Cloud Browser Isolation von Zscaler enthalten.
Zum Ausprobieren der Lösung stellt Zscaler eine 30-tägige Testversion bereit.
Als Reverseproxy werden Server, Anwendungen oder Cloud-Services bezeichnet, die einem oder mehreren Web-Servern vorgeschaltet sind. Sie dienen dazu, eingehende Client-Anfragen abzufangen und vor der Weiterleitung an den Web-Server zu überprüfen. Im Gegenzug wird dann die Antwort des Servers an den Client weitergeleitet. Durch Einsatz eines Reverseproxys können Organisationen die Sicherheit, Skalierbarkeit und Performance von Websites, Cloud-Services und Content Delivery Networks (CDNs) optimieren. Ein multimodaler Cloud Access Security Broker (CASB) kann als Cloud-basierter Reverseproxy bereitgestellt werden.
Beide Bereitstellungsoptionen werden leicht miteinander verwechselt, jedoch gibt es einige grundsätzliche Unterschiede zu beachten:
Reverseproxys werden Web-Servern vorgeschaltet, um zu verhindern, dass Clients direkt mit dem Server kommunizieren können. Alternativ ermöglichen multimodale CASBs die Bereitstellung als Weiterleitungsproxy, der Client-Endgeräten vorgeschaltet wird, um eingehende Anfragen abzufangen und zu verhindern, dass Server direkt mit Clients kommunizieren. Beide Bereitstellungsmodi erfüllen eine ähnliche Funktion. Ein wesentlicher Unterschied besteht darin, dass Weiterleitungsproxys den Traffic in der Regel mithilfe eines Software-Agents weiterleiten, der auf den Endgeräten installiert werden muss. Für Reverseproxys ist dies hingegen nicht erforderlich.
Der Begriff „Proxy-Server“ stammt noch aus der Zeit, als die Bereitstellung üblicherweise in Form physischer Appliances erfolgte. Inzwischen werden Reverse- und Weiterleitungsproxys zunehmend als Anwendungen oder Cloud-Services bereitgestellt, für die sich die Kurzform „Proxy“ eingebürgert hat.
Reverseproxys werden im Datenpfad eingesetzt und mit dem Authentifizierungsservice der Organisation (z. B. Single Sign-On) integriert. Services und Anwendungen müssen zunächst für Transaktionen mit dem Reverseproxy konfiguriert werden, der dann inline ohne Agent betrieben werden kann. Dadurch lässt sich eine reibungslose User Experience gewährleisten, wobei der eingehende Traffic zu verwalteten Cloud-Anwendungen etc. automatisch über den Reverseproxy umgeleitet wird.
Konkret muss man sich die Abläufe folgendermaßen vorstellen:
Ein Reverseproxy schützt Kartenzahlungs-, personenbezogene und andere vertrauliche Daten, indem er als Vermittler bzw. Vertreter für den Server fungiert, auf dem sich die Daten befinden. Client-Anfragen werden zuerst an den Reverseproxy, dann über einen bestimmten Port in einer beliebigen Firewall und dann an den Inhaltsserver weitergeleitet – und dann in umgekehrter Richtung zurück. Der Client interpretiert Antworten, ohne jemals direkt mit dem Server zu kommunizieren. Im Einzelnen werden dabei folgende Schritte durchlaufen:
Der Reverseproxy kann auch Serverantworten nach Informationen durchsuchen, mit deren Hilfe ein Hacker auf geschützte interne Ressourcen zugreifen oder andere Sicherheitslücken ausnutzen könnte.
Als CASB-Bereitstellungsoption zählt der Reverseproxy-Modus zusammen mit Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) und weiteren Cloud-basierten Sicherheitsservices zu den Kernfunktionen des SSE-Modells (Security Service Edge).
Abgesehen von ihrer Bedeutung als Kernfunktion von SSE ergeben sich mehrere gängige Anwendungsfälle für Reverseproxys:
User innerhalb der Organisation arbeiten oft mit mehreren Geräten, u. a. auch mit Privatgeräten. Darüber hinaus benötigen externe Auftragnehmer, Geschäftspartner und Kunden möglicherweise Zugriff auf interne Anwendungen auf eigenen, nicht verwalteten Geräten. Beide Szenarien stellen ein Sicherheitsrisiko für die Organisation dar.
Zur Verwaltung von Geräten, die sich im Besitz der Organisation befinden, können Agents installiert werden. Anders verhält es sich mit nicht verwalteten Endgeräten. Externe Dritte werden wenig geneigt sein, der Installation von Agents auf ihren Endgeräten zuzustimmen, und selbst die eigenen Mitarbeiter wollen oft keine Agents auf ihren Privatgeräten. Als Alternative empfiehlt sich der Einsatz eines Reverseproxys, der agentenlosen Schutz vor Datenlecks und Malware gewährleistet, wenn über nicht verwaltete Geräte auf Cloud-basierte Anwendungen und Ressourcen der Organisation zugegriffen wird.
Ein Reverseproxy kann Richtlinien zur Verhinderung von Datenverlusten durchsetzen, um das versehentliche oder absichtliche Hoch- oder Herunterladen vertraulicher Daten in oder aus genehmigten Cloud-Anwendungen zu verhindern. Da er inline eingesetzt wird und auch verschlüsselten Traffic überprüft, gewährleistet ein Reverseproxy (insbesondere ein Cloud-basierter Reverseproxy), dass beim Hoch- und Herunterladen von Daten die Richtlinien der Organisation eingehalten werden.
Eine infizierte Datei in einem Cloud-Service kann verbundene Anwendungen und Geräte infizieren – insbesondere nicht verwaltete Geräte. Ein Reverseproxy verhindert, dass infizierte Dateien in oder aus Cloud-Ressourcen hoch- oder heruntergeladen werden, und gewährleistet dadurch zuverlässigen Schutz vor komplexen Bedrohungen wie Malware und Ransomware. Die Installation eines Agents ist nicht erforderlich.
Reverseproxys haben zudem den Vorteil, dass Server und ihre IP-Adressen vor Clients verborgen werden. Dadurch sind webbasierte Ressourcen vor DDoS-Angriffen (Distributed Denial of Service) und ähnlichen Bedrohungen geschützt.
Reverseproxys können zur Bearbeitung von Client-Anfragen eingesetzt werden, die andernfalls einen einzelnen Server mit hoher Nachfrage überfordern könnten. Durch Entlastung des Backend-Servers werden eine hohe Verfügbarkeit und kürzere Ladezeiten gefördert. Primär kommen dabei zwei unterschiedliche Verfahren zur Anwendung:
Unter Berücksichtigung der erläuterten Anwendungsfälle bringt der Einsatz eines Reverseproxys Vorteile in drei verschiedenen Bereichen:
Reverseproxys bieten eine ganze Reihe von sicherheitstechnischen Vorteilen beim Schutz von nicht verwalteten Endgeräten sowie offiziell genehmigten Unternehmensanwendungen, weisen allerdings auch einige Mankos auf:
Im Bestreben, die mit Reverseproxys verbundenen Einschränkungen und Ausfallrisiken zu vermeiden, setzen Organisationen zunehmend auf Cloud Browser Isolation und profitieren dadurch weiter von der Möglichkeit, nicht verwaltete Geräte ohne Einsatz von Endgeräte-Agents zu schützen.
Wenn ein User auf eine verwaltete Cloud-Anwendung zugreift, virtualisiert Zscaler Cloud Browser Isolation die Sitzung und zeigt Inhalte in einer isolierten Umgebung in der Cloud an. Die Sitzung wird als Pixelstream an den User gesendet. Aus User-Sicht ist diese virtualisierte Sitzung identisch mit der nativen Anwendererfahrung der jeweiligen Cloud-Applikation. Der einzige Unterschied besteht darin, dass auf nicht verwalteten Geräten das Herunterladen, Kopieren und Einfügen bzw. Drucken vertraulicher Daten verhindert wird, die in der Applikation gespeichert sind.
CBI eignet sich daher ideal für Organisationen, die durch ein Maximum an Flexibilität die Produktivität ihrer erweiterten User-Basis fördern wollen, ohne versehentliche Datenlecks, böswillige Exfiltration und Malware-Infektionen über nicht verwaltete Geräte in Kauf zu nehmen.
Zscaler Cloud Browser Isolation gewährleistet unübertroffenen Schutz vor webbasierten Datenverlusten und Bedrohungen, der auf der branchenführenden Web-Isolierung nach dem Zero-Trust-Prinzip aufbaut.
Erstklassige User Experience
Durch die einzigartige Pixelstreaming-Technologie und Direct-to-Cloud-Proxyarchitektur ermöglicht Zscaler blitzschnelle Verbindungen zu Anwendungen und Websites. Auf nicht verwalteten Endgeräten werden Inhalte als hochwertige Pixelstreams im Browser des Users angezeigt. Dadurch wird Sicherheit ohne Abstriche an der Produktivität gewährleistet.
Konsistentes Schutzniveau für User an allen Standorten
Zero-Trust-basierte Richtlinien zur Browser-Isolierung für Unternehmenszentralen, mobile Mitarbeiter und Remote-Standorte sowie besonders gefährdete Positionen und Abteilungen innerhalb der Organisation gewährleisten zuverlässigen Schutz für alle User unabhängig vom Standort oder Gerät.
Weniger Verwaltungsaufwand
Die Lösung lässt sich in Sekundenschnelle bereitstellen, indem der Traffic über Zscaler Client Connector oder eine agentenlose Option über die Zscaler Zero Trust Exchange™ mit nativ integrierter Cloud Browser Isolation geleitet wird.
Universelle Kompatibilität
Die Lösung ist mit allen gängigen Web-Browsern kompatibel, sodass User freie Wahl haben. Durch Cookie-Persistenz für die isolierten Sitzungen werden Einstellungen und Anmeldedaten der User beibehalten.
Weitere Informationen sind im Datenblatt für Cloud Browser Isolation von Zscaler enthalten.
Zum Ausprobieren der Lösung stellt Zscaler eine 30-tägige Testversion bereit.
Was ist ein Weiterleitungsproxy?
Mehr erfahrenWas ist unter einem Cloud-Proxy zu verstehen?
Mehr erfahrenZscaler Cloud-Browser-Isolation
Zum DatenblattBlogbeitrag: Hinweise zum Absichern von BYOD-Geräten ohne Reverseproxy-Mankos
Zum BlogAlles eine Frage der richtigen Architektur: Warum sich Next-Gen Firewalls nicht als Proxys eignen
Zum BlogHäufigste Anwendungsfälle für CASB
E-Book lesenTo set up a reverse proxy, you must:
Proxy chaining involves forwarding traffic from one proxy server to another. This method leverages your existing proxy servers, with no additional changes to the network.