Zpedia 

/ Che cos'è un proxy cloud?

Che cos'è un proxy cloud?

Un proxy cloud è un sistema con base cloud che risiede tra un client e un server web, un'applicazione SaaS o un data center. Agisce come intermediario tra il client e il server, fornendo un accesso sicuro alle risorse e proteggendo il server da malware e altre minacce.
L'architettura cloud di Zscaler
Sicurezza della reteSicurezza sul cloud
  1. Perché è necessario
  2. Come funziona
  3. Il proxy cloud di Zscaler
  4. Casi d'uso
  5. Risorse suggerite
  6. Argomenti correlati

Perché hai bisogno di un proxy cloud?

Un proxy cloud funziona per molti versi in modo analogo a un reverse proxy: le richieste dei client passano attraverso il proxy cloud per raggiungere un indirizzo Internet, e le risposte (ad esempio, l'autorizzazione ad accedere a una pagina web) passano nuovamente attraverso il proxy per arrivare ai client. Tuttavia, dato che questo tipo di proxy risiede sul cloud, non è affetto dalle limitazioni dell'hardware del data center, come invece avviene per i proxy convenzionali basati sugli apparecchi fisici.
 

I problemi dei proxy basati su apparecchi fisici

I server di reverse proxy tradizionali e i proxy HTTP sono ancora molto diffusi nei set di soluzioni di sicurezza di rete di oggi, ma i responsabili IT riportano sempre più frequentemente dei problemi di:

  • Latenza: i proxy devono operare inline per intercettare il traffico. L'instradamento seriale del traffico attraverso apparecchi con larghezza di banda limitata può aggiungere una latenza molto significativa alle richieste, in particolare per le distribuzioni aziendali on-premise, generando un'esperienza utente scadente.
  • Compatibilità: i proxy tradizionali sono soggetti a problemi di compatibilità con le applicazioni, perché non sono stati concepiti per supportare le modalità con cui le applicazioni RIA basate sul web eseguono l'autenticazione, le chiamate alle API, le richieste di servizio e molto altro ancora. Questo significa che bisogna eseguire ulteriori attività di risoluzione dei problemi.
  • Costo: il costo degli apparecchi proxy commerciali è troppo alto e sproporzionato rispetto al tipico budget IT, e la spesa sale ancora di più se un'organizzazione intende utilizzarli per ispezionare il traffico TLS/SSL, per cui alcuni fornitori possono arrivare a consigliare un numero di apparecchi aggiuntivi di otto volte superiore.
  • Memorizzazione nella cache: un tempo una funzione critica di un'architettura proxy, la memorizzazione nella cache è ormai una funzionalità offerta da tutti i browser moderni. Questo rende la memorizzazione nella cache basata sulla rete, nel migliore dei casi, un'offerta secondaria.
     

I vantaggi di un proxy cloud

I proxy rappresentano ancora la soluzione giusta per le aziende che cercano di prevenire le minacce elusive senza compromettere l'esperienza utente, ma nell'era del cloud e della mobilità, le soluzioni basate su hardware non sono in grado di fornire questa funzionalità. Un'efficace architettura proxy con base cloud offre:

  • Sensibilità alle applicazioni a livello universale, comprese le applicazioni con base cloud, su qualsiasi porta, con una conseguente riduzione significativa dei problemi di compatibilità.
  • Scalabilità globale, per tenere il passo con utenti che sono in continuo movimento e spesso lontani dalla rete aziendale.
  • Significativi risparmi sui costi, rispetto ai costi tipici dei proxy con base hardware, con conseguente riduzione della spesa IT.
  • Esperienza utente ottima anche con l'ispezione TLS/SSL completa attivata, senza latenza rilevabile dagli utenti finali.
  • Nessuna visibilità sul server dall'esterno, grazie al supporto delle intestazioni XFF per le applicazioni che richiedono il vero indirizzo IP sorgente dell'utente.

La più efficace architettura proxy con base cloud fa parte di un'architettura di sicurezza completa, in grado di adattarsi a tutti parametri di riferimento per la conformità e la sicurezza, senza lasciare lacune che richiederebbero la risoluzione da parte di un'altra funzione o una terza parte (ad esempio un provider di servizi cloud).

Come funziona un proxy cloud?

Inserendosi nel flusso del traffico, un proxy cloud si integra con il servizio di autenticazione di un'organizzazione (ad esempio, il single sign-on), ed è quindi in grado di funzionare inline senza agente. In questo modo è possibile offrire un'esperienza utente semplice, in cui il traffico in entrata verso app cloud gestite e altre entità analoghe viene reindirizzato in automatico verso il proxy cloud.

Diamo un'occhiata più da vicino a questo processo.

Un proxy cloud è in grado di proteggere i dati sensibili (ad es., dati PCI, PII) agendo come intermediario o sostituto del server su cui risiedono tali dati. Le richieste dei client vengono instradate prima verso il proxy cloud, quindi attraverso una porta specificata in un qualsiasi firewall idoneo, e in seguito verso il server dei contenuti, per poi tornare indietro alla fine. Il client e il server non comunicano mai direttamente, ma il client interpreta le risposte come se lo avessero fatto. Ecco i passaggi fondamentali:

  1. Il client invia una richiesta che il proxy cloud intercetta
  2. Il proxy cloud inoltra la richiesta in entrata a un firewall, se possibile
  3. Il firewall blocca la richiesta o la inoltra al server
  4. Il server invia la risposta attraverso il firewall al proxy
  5. Il proxy cloud invia la risposta al client

Grazie al supporto dell'elasticità del cloud, questo processo avviene praticamente in tempo reale, indipendentemente dal volume di traffico.

Il proxy cloud di Zscaler

Per fornire un accesso a Internet semplice, sicuro e conforme e offrire un'esperienza ottimale a tutti gli utenti, indipendentemente da dispositivo, sistema operativo, rete e posizione, la soluzione ideale è un'architettura proxy con base cloud.

La nostra comprovata architettura basata su proxy e in cloud costituisce le fondamenta di Zscaler Internet Access™, una soluzione Security Service Edge (SSE) nativa del cloud, frutto di un decennio di leadership nel campo dei secure web gateway. Offerta come piattaforma SaaS scalabile e basata sul security cloud più grande del mondo, sostituisce le soluzioni di sicurezza di rete legacy per bloccare gli attacchi avanzati e prevenire la perdita dei dati adottando un approccio zero trust completo.

Zscaler Internet Access fa parte di Zero Trust Exchange™ di Zscaler, una piattaforma di sicurezza completa e nativa del cloud.

I casi d'uso del proxy cloud

L'architettura proxy con base cloud di Zscaler fornisce la copertura del reverse proxy a tutto il traffico, un elemento fondamentale del CASB (Cloud Access Security Broker) all'interno del modello SSE (Security Service Edge).

In quanto parte di un framework SSE, la nostra architettura proxy con base cloud supporta le organizzazioni offrendo loro le funzionalità riportate di seguito.

Protezione dei dispositivi non gestiti

I dipendenti possono utilizzare vari dispositivi per svolgere il proprio lavoro, compresi quelli personali. Inoltre, molti fornitori, partner e clienti possono aver bisogno di accedere alle applicazioni interne dai loro dispositivi non gestiti, e questo rappresenta un rischio per la sicurezza.

Puoi installare degli agenti per gestire i dispositivi di proprietà dell'organizzazione, ma per gli endpoint non gestiti la situazione è un po' diversa. Non è possibile installare agenti sugli endpoint di terze parti, e allo stesso modo molti dipendenti non vogliono installarli sui propri dispositivi personali. La nostra architettura proxy offre invece una protezione senza agente contro la perdita di dati e i malware da qualsiasi dispositivo non gestito che acceda alle applicazioni e alle risorse sul cloud.

Protezione dati

L'architettura proxy di Zscaler è in grado di applicare policy per prevenire la perdita di dati impedendo l'upload o il download accidentale o intenzionale di informazioni sensibili dalle app cloud autorizzate. Poiché opera inline e ispeziona tutto il traffico, compreso quello criptato, è in grado di garantire che i dati caricati o scaricati rispettino le policy aziendali.

Prevenzione delle minacce

Un file infetto in un servizio cloud può diffondersi alle app e ai dispositivi collegati, soprattutto se questi non sono gestiti. Impedendo gli upload o i download di file infetti da o verso le risorse cloud, senza la necessità di installare agenti, la nostra architettura proxy offre una protezione contro le minacce avanzate per combattere malware e ransomware.

Per sua natura, la nostra architettura nasconde inoltre i server e i relativi indirizzi IP dai client, che a sua volta consente di proteggere le risorse web da minacce come gli attacchi DDoS (Distributed Denial of Service).

Bilanciamento del carico

Il proxy di Zscaler può essere utilizzato per gestire le richieste dei client che altrimenti potrebbero sovraccaricare un singolo server, favorendo l'alta disponibilità e ottimizzando i tempi di caricamento con la distribuzione delle richieste in modo uniforme tra i server.

La nostra esclusiva architettura proxy con base cloud è il cuore di Zscaler Internet Access e un elemento essenziale di Zero Trust Exchange, una piattaforma nativa e completa di sicurezza sul cloud.

Risorse suggerite

La sicurezza basata su proxy: un pilastro dell'architettura cloud first
Leggi il blog
Perché i proxy e i firewall sono essenziali nel panorama delle minacce moderne
Leggi il blog
Una panoramica sul modello SASE di Zscaler
Leggi l'informativa sulla soluzione
Zscaler Cloud Firewall
Scopri di più
I 5 requisiti principali per la trasformazione delle filiali
Visualizza l'infografica

01 / 03