Zpedia 

/ Was ist ein Weiterleitungsproxy?

Was ist ein Weiterleitungsproxy?

Ein Forward-Proxy ist ein Vermittler, der zwischen einem oder mehreren Benutzergeräten und dem Internet platziert ist. Anstatt Client-Anfragen nur zu validieren und direkt an den Webserver zu senden, wertet er sie zunächst aus, ergreift die erforderlichen Maßnahmen und leitet sie dann für den Client an die Zieladresse weiter. Anschließend prüft er die jeweilige Antwort, ergreift ggf. wiederum Maßnahmen und leitet sie wieder an den ursprünglichen Client zurück.

Demo: Zscaler CASB
Data ProtectionSecOps und Endpoint Security
  1. Funktionsweise
  2. Firewall
  3. Reverse-Proxy
  4. Bedeutung für die Praxis
  5. Anwendungsfälle
  6. Die richtige Wahl
  7. Warum Zscaler?
  8. Empfohlene Ressourcen
  9. Ähnliche Themen

Wie funktionieren Forward-Proxys?

Ein Forward-Proxy ist weit mehr als ein Datenkontrolleur. Denn als Vermittlungsstelle kann er User vor böswilligen Akteuren schützen und sie daran hindern, absichtlich oder unbeabsichtigt Daten und Unternehmensressourcen zu gefährden. Der Proxy wird inline geschaltet und befindet sich somit direkt im Datenpfad. So kann das Unternehmen auftretende Sicherheitsrisiken sofort erkennen und entsprechende Richtlinien unmittelbar durchsetzen.

Proxys sind so etwas wie Puffer, die Apps und Daten vor Gefahren schützen − unabhängig davon, ob diese durch Anwenderfehler oder böswillige Datenexfiltration und Malware verursacht werden.

Forward-Proxys und herkömmliche Firewalls

Im Vergleich zu Firewalls als Mittel zum Schutz von Systemen vor externen Bedrohungen unterscheidet sich ein Forward-Proxy in zwei wesentlichen Punkten:

  1. Herkömmliche Firewalls verwenden einen Passthrough-Ansatz und leiten den Datenverkehr an den beabsichtigten Empfänger weiter, während sein Inhalt noch überprüft wird.
  2. Wenn der Traffic als unsicher eingestuft wird, sendet die Firewall eine Warnung – diese kann jedoch zu spät eingehen. Ein Proxy hingegen leitet den Traffic erst weiter, wenn sein Inhalt einen Authentifizierungsprozess durchlaufen hat und als sicher eingestuft wurde.

Obwohl es sich hier nicht um einen direkten Vergleich zwischen Proxy und Firewall handelt, ist es erwähnenswert, dass ein cloudbasierter Forward-Proxy auch verschlüsselten Datenverkehr prüfen kann. Der Großteil des heutigen Datenverkehrs ist verschlüsselt. Transparenz ist deshalb entscheidend, wobei der Prozess des Entschlüsselns, Prüfens und erneuten Verschlüsselns des Datenverkehrs rechenintensiv ist. Appliance-basierte Firewalls können im Gegensatz zu einer Cloud-Firewall aufgrund ihrer inhärenten Verarbeitungsbeschränkungen kein hohes Verschlüsselungsvolumen verarbeiten, ohne Latenz zu erzeugen.

Diskussionen über Forward-Proxys gehen zunehmend Hand in Hand mit Gesprächen über Cloud Access Security Broker (CASBs), Cloud-Sicherheitstools, die im Forward-Proxy-Modus eingesetzt werden können. Bei einem CASB leitet ein auf einem Anwendergerät installierter Software-Agent den Traffic an einen Prüfpunkt in der Cloud weiter, der Echtzeit-Sicherheitsrichtlinien anwendet, um sichere Verbindungen mit cloudbasierten Ressourcen wie SaaS-Apps und IaaS-Plattformen zu gewährleisten.

Da die Akzeptanz von SaaS-Apps und Remote-Arbeit wächst, eignet sich der cloudbasierte Forward-Proxy-Modus eines CASB (im Gegensatz zu einer lokalen oder virtuellen Firewall oder einer Proxy-Appliance) gut, um verwaltete Geräte zu schützen.

Bei nicht verwalteten, also privaten oder externen Geräten, können Forward-Proxys die Sicherheit nicht lückenlos gewährleisten, da die Transaktionen hier von der anfordernden Person und nicht vom Client stammen. Deshalb eignen sich für diesen Fall eher Reverse-Proxys.

Forward-Proxys und Reverse-Proxys

Forward- und Reverse-Proxys werden gerne miteinander verwechselt. Es gibt aber einige grundlegende Unterschiede:

Reverse-Proxys sind dem Webserver vorgelagert und stellen sicher, dass Clients nicht direkt mit dem Server kommunizieren können. Ein Forward-Proxy (ein weiterer CASB-Modus) ist dagegen den Client-Endgeräten vorgeschaltet, fängt eingehende Anfragen ab und stellt sicher, dass die Server nicht direkt mit den Clients kommunizieren. Die verschiedenen Servertypen erscheinen auf den ersten Blick recht ähnlich; Forward-Proxys sind aber normalerweise auf einen Software-Agenten auf dem Endgerät angewiesen, um den Datenverkehr weiterleiten zu können. Das ist bei Reverse-Proxys nicht der Fall.

Ein weiterer wichtiger Unterschied besteht darin, dass Reverse-Proxys einen Load Balancer enthalten, der zur Optimierung von Client-Anfragen verwendet werden kann, die andernfalls einen einzelnen Server bei hoher Nachfrage überlasten könnten. Das Ergebnis: eine hohe Verfügbarkeit und bessere Ladezeiten durch Entlastung des Backend-Servers. Dieser Vorteil basiert im Wesentlichen auf zwei Mechanismen:

  1. Ein Reverse-Proxy kann Inhalte von einem Ursprungsserver im temporären Speicher zwischenspeichern und dann die Inhalte an Clients senden, die sie anfordern, ohne weitere Transaktionen mit dem Server durchzuführen (dies wird als Webbeschleunigung bezeichnet). DNS kann verwendet werden, um Anfragen gleichmäßig zwischen mehreren Reverse-Proxys zu verteilen.
  2. Nutzt eine große Website oder ein anderer Webdienst mehrere Ursprungsserver, kann ein Reverse-Proxy die Anfragen unter ihnen verteilen, um eine gleichmäßige Serverlast sicherzustellen.

Weiterleitungsproxys als zeitgemäße Alternative zum Perimeterschutz

Das herkömmliche Perimetermodell, auch als „Festung mit Burggraben“ bezeichnet, schützt interne Netzwerke vor schädlichem Datenverkehr aus dem Internet. Da sich mittlerweile aber viele Anwendungen in der Cloud befinden und User oft von außerhalb dieses Perimeters auf private Apps, SaaS und Daten in öffentlichen Clouds zugreifen, ist dieser Ansatz nicht mehr zeitgemäß.

Wenn Sie beim alten Modell bleiben, verbinden sich Ihre User über ein virtuelles privates Netzwerk (VPN) – im Fall von Mitarbeitern in Zweigstellen über eine MPLS-Verbindung – mit Ihrem Rechenzentrum, das den Traffic dann über Ihren Outbound-Gateway-Stack in die Cloud und wieder zurück sendet. Dadurch wird Ihre Angriffsfläche vergrößert und Sie sind einem erheblichen Risiko ausgesetzt. Außerdem leidet die User Experience erheblich.

Cloud-Anwendungen funktionieren am besten, wenn der Zugriff darauf direkt und auf dem kürzesten Weg erfolgt. Im Rechenzentrum installierte Appliances mit Passthrough-Architekturen sind dafür ungeeignet. Schnelle, direkte und sichere Verbindungen lassen sich nur durch Einsatz eines Weiterleitungsproxys gewährleisten, der die Leistungsfähigkeit und Skalierbarkeit der Cloud voll ausnutzt.

Anwendungsbereiche für Forward-Proxys

Wenn Sie in die Cloud migrieren, benötigen Sie eine Sicherheitsstrategie, die auf einer cloudbasierten Proxy-Architektur basiert. Hier sind einige wichtige Anwendungsfälle für Organisationen, die Forward-Proxy (und insbesondere CASB) einsetzen möchten.

Erkennung von Shadow-IT

Cloud-Umgebungen werden von SaaS-Anwendungen, Usern und Standorten genutzt. Nicht genehmigte Apps (d. h. Shadow IT) gibt es in Hülle und Fülle; doch ohne geeignete Lösungen ist es schwierig − wenn nicht gar unmöglich −, den Überblick darüber zu behalten, worauf die User genau zugreifen. Ein Forward-Proxy an ein CASB gewährleistet die Überwachung und Protokollierung des gesamten Datenverkehrs von genehmigten Anwendergeräten, sodass die IT nicht genehmigte Apps identifizieren und den Zugriff darauf entweder einzeln oder nach Kategorie regeln kann.

Data Protection

Da SaaS-Apps auf einfaches, unkompliziertes Teilen ausgelegt sind, kommt es häufig vor, dass User wichtige Geschäftsdaten an ungeeignete Orte hochladen. Cloudbasierte Forward-Proxys sind die beste Möglichkeit, User daran zu hindern, vertrauliche Informationen an riskante Ziele in der Cloud hochzuladen, da sie inline geschaltet sind und über die Skalierbarkeit verfügen, den gesamten Traffic zu prüfen. Außerdem bieten sie die Möglichkeit, die IP-Adresse zu verbergen.

Bedrohungsprävention

SaaS-Apps sind nicht nur ein attraktiver Weg zur Datenexfiltration, sondern können auch ein Kanal für die Verbreitung von Malware sein. Rapid-Sharing-Funktionen können missbraucht werden, um infizierte Dateien innerhalb und zwischen Unternehmen zu verbreiten. Ein Forward-Proxy verhindert, dass infizierte Dateien in die Cloud hochgeladen werden, indem er es Technologien wie Advanced Threat Protection (ATP) und Cloud-Sandbox ermöglicht, Bedrohungen bereits während der Übertragung inline abzufangen.

So finden Sie den passenden Forward-Proxy

In mancherlei Hinsicht haben Forward-Proxy-Server einen schlechten Ruf. Sie sind bekanntermaßen teuer und komplex in der Konfiguration und Verwaltung. Sie können zu Latenzzeiten und einer negativen User Experience führen. Darüber hinaus kann ein Ausfall eines Proxys Ihren Betrieb erheblich stören. All dies liegt daran, dass Proxys in der Vergangenheit entweder als physische oder virtuelle Appliances bereitgestellt wurden.

Forward-Proxys bringen aber auch eine ganze Reihe von Sicherheitsvorteilen, wenn sie in der Cloud bereitgestellt werden – und zwar ohne die Nachteile ihrer Appliance-basierten Gegenstücke. Eine cloudbasierte Proxy-Architektur erspart der Organisation die Kosten für die Anschaffung und Wartung von Appliances und lässt sich je nach Bedarf flexibel skalieren. Diese beispiellose Skalierbarkeit löst auch das bereits erwähnte Kernproblem der rechenintensiven Überprüfung des verschlüsselten Datenverkehrs auf Bedrohungen und Datenlecks.

Der richtige cloudbasierte Forward-Proxy ermöglicht folgende Vorteile:

  • Konsistenter Daten- und Bedrohungsschutz über alle Ihre Cloud-Datenkanäle hinweg auf Basis einer einzigen einfachen Richtlinie.
  • Einheitliche Sicherheit als Teil eines SASE- Angebots, das Anwendungsfälle im Zusammenhang mit CASB, Secure Web Gatewayund ZTNA unterstützt, um den Zugriff auf Cloud-Apps und APIs, das Web und interne Ressourcen zu sichern.
  • Einfachheit des IT-Ökosystems durch eine Single-Pass-Architektur, die auf Appliances verzichtet und erweiterte Funktionen ohne die Notwendigkeit komplexer Proxy-Konfigurationen wie Proxy-Chaining bietet.

Warum Zscaler?

Bei der Auswahl eines geeigneten Forward-Proxys bzw. CASB empfiehlt sich unbedingt ein vertrauenswürdiger Anbieter, der eine praxistaugliche Inline-Lösung bereitstellt und sich als führender Sicherheitsanbieter etabliert hat. Zscaler basiert auf einer cloudnativen Proxy-Architektur und bietet alle oben aufgeführten Vorteile. Wir betreiben die weltweit größte Inline-Sicherheits-Cloud mit über 150 Rechenzentren auf sechs Kontinenten, betreuen Kunden in 185 Ländern und verarbeiten tagtäglich Hunderte Milliarden Transaktionen.

Zscaler ist ganz auf Leistung ausgelegt und leitet den Datenverkehr intelligent an unser nächstgelegenes Rechenzentrum weiter. Dort kommunizieren wir mit Top-Anwendungen wie Microsoft 365, Zoom, Salesforce und anderen, um immer den kürzesten Weg zwischen Usern und Apps einzuschlagen. So entsteht eine herausragende User Experience, die sich wiederum positiv auf die Produktivität des Unternehmens auswirkt.

Zscaler bietet führende CASB-Funktionen wie:

Wir sorgen für einheitliche Sicherheit in der gesamten IT-Umgebung unabhängig vom Userstandort. So können Sie und unzählige andere Unternehmen Digitalisierung und Remote-Arbeit für mobile und hybride Belegschaften sicher umsetzen.

promotional background

Sichern Sie Ihre Cloud-Anwendungen mit dem integrierten Zscaler CASB.

Weitere Informationen zu Zscaler CASB

Empfohlene Ressourcen

Was ist unter Cloud Access Security Broker zu verstehen?
Zum Artikel
Zscaler CASB auf einen Blick
Datenblatt lesen
Zscaler Cloud Access Security Broker
Was ist Reverse Proxy?
Zum Artikel
Was ist unter einem Cloud-Proxy zu verstehen?
Zum Artikel
01 / 03