Zpedia 

/ ¿Qué es un proxy en la nube ?

¿Qué es un proxy en la nube ?

Un proxy en la nube es un sistema basado en la nube que se sitúa entre un cliente y un servidor web, una aplicación SaaS o un centro de datos. Actúa como intermediario entre el cliente y el servidor, ofreciendo un acceso seguro a los recursos y protegiendo al servidor de malware y otras amenazas.
Arquitectura de la nube de Zscaler
Seguridad de redSeguridad en la nube
  1. Por qué es necesario
  2. Cómo funciona
  3. Proxy en la nube de Zscaler
  4. Casos de uso
  5. Recursos sugeridos
  6. Temas relacionados

¿Por qué necesita un proxy en la nube?

Un proxy en la nube funciona como un proxy inverso en muchos sentidos: las solicitudes de los clientes fluyen a través del proxy en la nube de camino a una dirección de Internet, y las respuestas (por ejemplo, el permiso para acceder a una página web) regresan a través del proxy de camino a los clientes. Debido a que el proxy en la nube reside en la nube, no está confinado al hardware del centro de datos como un proxy convencional basado en dispositivos.
 

Desafíos con los proxies basados en dispositivos

Los servidores proxy inversos tradicionales y los proxies HTTP siguen siendo comunes en las pilas de seguridad de red actuales, pero los líderes de TI cada vez informan de más problemas de:

  • Latencia: los servidores proxy deben operar en línea para interceptar el tráfico. Enrutar el tráfico a través de dispositivos con ancho de banda limitado en serie puede agregar una latencia significativa a las solicitudes, especialmente con implementaciones empresariales locales, lo que lleva a una mala experiencia de usuario.
  • Compatibilidad: los proxies tradicionales son propensos a problemas de compatibilidad de las aplicaciones porque no fueron creados para las formas en que las aplicaciones ricas basadas en la web realizan la autenticación, las llamadas a la API, las solicitudes de servicio, etc., lo que obliga a solucionar problemas adicionales.
  • Costo: los dispositivos proxy comerciales cuestan demasiado en comparación con los presupuestos típicos de TI, incluso más si una organización desea usarlos para inspeccionar el tráfico TLS/SSL, para el cual algunos proveedores pueden recomendar hasta ocho veces más dispositivos.
  • Almacenamiento en memoria caché: el almacenamiento en memoria caché, que en su día fue una función crítica de una arquitectura proxy, ahora es una característica de todos los navegadores web modernos, lo que hace que el almacenamiento en caché basado en red sea, en el mejor de los casos, una oferta secundaria.
     

Ventajas de un proxy en la nube

Los proxies siguen siendo la solución adecuada para las empresas que buscan evitar las amenazas sigilosas sin comprometer la experiencia del usuario. En la era de la nube y la movilidad, las ofertas basadas en hardware no pueden cumplir esa promesa de forma fiable. Una arquitectura proxy eficaz basada en la nube ofrece:

  • Conocimiento universal de las aplicaciones, incluidas las aplicaciones basadas en la nube, en cualquier puerto, con una cantidad significativamente menor de problemas de compatibilidad.
  • Escala global para seguir el ritmo de los usuarios que están en constante movimiento, a menudo alejados de la red de la empresa.
  • Ahorro significativo de costos en comparación con precios típicos de proxy de hardware, lo que reduce el gasto en TI.
  • Gran experiencia de usuario, incluso con plena inspección TLS/SSL habilitada, sin latencia detectable para los usuarios finales.
  • Sin visibilidad externa del servidor, con soporte para encabezados XFF para aplicaciones que requieren la dirección IP de la fuente real del usuario.

La arquitectura de proxy basada en la nube más eficaz es parte de una arquitectura de seguridad integral, capaz de abordar toda la gama de puntos de referencia de cumplimiento y seguridad sin dejar brechas que otra función o un tercero (por ejemplo, un proveedor de la nube) deba resolver.

¿Cómo funciona un proxy en la nube?

Ubicado en el flujo de tráfico, un proxy en la nube se integra con el servicio de autenticación de una organización (por ejemplo, el inicio de sesión único), tras lo cual puede operar en línea sin agente. Esto ofrece una experiencia de usuario sencilla, ya que el tráfico entrante a aplicaciones en la nube gestionadas y similares es redirigido automáticamente al proxy en la nube.

Veamos con más detalle este proceso.

Un proxy en la nube puede proteger los datos confidenciales (por ejemplo, datos PCI, PII) actuando como intermediario o interlocutor para el servidor en el que residen dichos datos. Las solicitudes de los clientes se envían primero al proxy en la nube, luego a través de un puerto especificado en cualquier cortafuegos aplicable, posteriormente al servidor de contenido, y finalmente, se devuelven. El cliente y el servidor nunca se comunican directamente, pero el cliente interpreta las respuestas como si lo hubieran hecho. Estos son los pasos básicos:

  1. El cliente envía una solicitud que el proxy de la nube intercepta
  2. El proxy en la nube reenvía la solicitud entrante a un cortafuegos, si procede
  3. El cortafuegos bloquea la solicitud o la reenvía al servidor
  4. El servidor envía la respuesta a través del cortafuegos al proxy
  5. El proxy en la nube envía la respuesta al cliente

Respaldado por la elasticidad de la nube, todo esto sucede casi en tiempo real, independientemente del volumen de tráfico.

Proxy en la nube de Zscaler

Para dar acceso a Internet limpio, seguro y conforme a la normativa, y una excelente experiencia de usuario a todos los usuarios, en cualquier dispositivo o sistema operativo, a través de cualquier red, independientemente de dónde se encuentren, la solución es una arquitectura proxy basada en la nube.

Nuestra arquitectura probada basada en proxy en la nube forma la base de Zscaler Internet Access™, una solución nativa de la nube de perímetro de servicio de seguridad (SSE) que se basa en una década de liderazgo de puerta de enlace web segura. Se ofrece como plataforma SaaS escalable de la mayor nube de seguridad del mundo y reemplaza a las soluciones de seguridad de red heredadas para detener los ataques avanzados y evitar la pérdida de datos con un enfoque integral de confianza cero.

Zscaler Internet Access forma parte de Zscaler Zero Trust Exchange™, una completa plataforma de seguridad nativa en la nube.

Casos de uso de proxy en la nube

La arquitectura de proxy en la nube de Zscaler proporciona cobertura de proxy inverso para todo el tráfico, un elemento central del agente de seguridad de acceso a la nube (CASB) dentro del modelo de perímetro del servicio de seguridad(SSE).

Como parte de un marco SSE, nuestra arquitectura proxy en la nube ayuda a su organización a realizar las siguientes tareas:

Proteger a los dispositivos no gestionados

Muchos de sus empleados pueden usar varios dispositivos para trabajar, incluidos los personales. Más allá de eso, muchos proveedores, socios y clientes pueden necesitar acceso a sus aplicaciones internas en sus propios dispositivos no gestionados, lo que supone un riesgo para su seguridad.

Puede instalar agentes para gestionar los dispositivos que posee su organización, pero los puntos finales no gestionados son otra historia. Los terceros no le permitirán instalar agentes en sus terminales y muchos empleados tampoco quieren agentes en sus dispositivos personales. En su lugar, nuestra arquitectura proxy ofrece protección sin agentes contra la filtración de datos y malware desde cualquier dispositivo no gestionado que acceda a sus aplicaciones y recursos en la nube.

Protección de datos

La arquitectura proxy de Zscaler puede aplicar políticas de prevención de pérdida de datos para evitar cargas o descargas accidentales o intencionales de información confidencial hacia o desde aplicaciones en la nube sancionadas. Debido a que opera en línea e inspecciona todo el tráfico, incluso el tráfico cifrado, puede garantizar que los datos cargados o descargados se ajusten a sus políticas.

Prevención de amenazas

Un archivo infectado en un servicio en la nube puede propagarse a aplicaciones y dispositivos conectados, especialmente a dispositivos no gestionados. Al evitar sin agentes las cargas o descargas de archivos infectados hacia o desde recursos en la nube, nuestra arquitectura de proxy proporciona protección avanzada contra amenazas de malware y ransomware.

Por naturaleza, nuestra arquitectura también oculta servidores y sus direcciones IP de los clientes, lo que protege sus recursos web de amenazas como la denegación de servicio distribuido (ataques DDoS).

Equilibrio de carga

El proxy Zscaler se puede utilizar para manejar las solicitudes de los clientes que, de otro modo, podrían abrumar a un solo servidor con alta demanda, fomentando una alta disponibilidad y la optimización de los tiempos de carga mediante la distribución de las solicitudes a sus servidores de manera uniforme.

Nuestra exclusiva arquitectura de proxy en la nube es el núcleo de Zscaler Internet Access y un elemento fundamental de Zero Trust Exchange, una plataforma integral de seguridad nativa de la nube.

Recursos sugeridos

Seguridad basada en proxy: un pilar de la arquitectura que da prioridad a la nube
Leer el blog
Por qué los proxies y los cortafuegos son esenciales en el panorama de las amenazas modernas
Leer el blog
Zscaler SASE de un vistazo
Leer el resumen de la solución
Zscaler Cloud Firewall
Más información
5 requisitos clave para la transformación de las sucursales
Vea la infografía

01 / 03