Was ist Reverse Proxy?

Reverse Proxys und Weiterleitungsproxys: Wo liegt der Unterschied?

Die beiden Typen von Proxy-Servern sind leicht zu verwechseln. Deshalb werden sie hier näher erläutert.

Reverse Proxys sitzen vor dem Webserver und stellen sicher, dass Clients nicht direkt mit dem Server kommunizieren können. Ein Forward-Proxy (ein weiterer CASB-Modus) sitzt dagegen vor den Client-Endpunkten, fängt eingehende Anfragen ab und stellt sicher, dass die Server nicht direkt mit den Clients kommunizieren. Die verschiedenen Servertypen erscheinen auf den ersten Blick recht ähnlich; Forward-Proxys sind aber normalerweise auf einen Software-Agenten auf dem Endgerät angewiesen, um den Datenverkehr weiterleiten zu können. Das ist bei Reverse Proxys nicht der Fall.

Was ist unter einem Reverse-Proxy-Server zu verstehen?

„Reverse Proxy Server“ ist die Langform für Reverse Proxys (genau wie „Forward Proxy Server“ für Forward-Proxys). Mittlerweile wird das Wörtchen „Server“ aber gerne weggelassen, weil es zu sehr an ein physisches Gerät erinnert, obwohl die Technologie meist als Anwendung oder Cloud-Dienst daherkommt.

Funktionsweise von Reverse Proxys

Reverse-Proxys sind in den Authentifizierungsdienst einer Organisation (wie Single Sign-On) eingebunden. Sobald die IT-Abteilung Dienste und Apps für die Transaktion mit dem Reverse-Proxy konfiguriert hat, kann dieser inline ohne Agenten arbeiten. Das sorgt für eine unkomplizierte User Experience, da der Datenverkehr in Richtung der verwalteten Cloud-Apps o. Ä. automatisch an den Reverse-Proxy umgeleitet wird.

Konkret muss man sich die Abläufe folgendermaßen vorstellen:

Ein Reverse-Proxy kann sensible Daten (wie Karten- oder Personendaten) als Mittelsmann für den Server schützen, auf dem sich diese Daten befinden. Client-Anfragen werden zunächst an den Reverse-Proxy geleitet, dann über einen bestimmten Port in der jeweiligen Firewall und dann weiter an den Content-Server – und anschließend wieder zurück. Client und Server kommunizieren dabei nie direkt miteinander; der Client interpretiert die Antworten jedoch so, als ob dies der Fall wäre. So läuft das Verfahren im Einzelnen ab:

1. Der Client sendet eine Anfrage, die der Reverse-Proxy abfängt.
2. Der Reverse-Proxy leitet eingehende Anfragen an die Firewall weiter. Der Reverse-Proxy kann auch so konfiguriert werden, dass er direkt auf Anfragen nach Dateien in seinem Cache reagiert, ohne mit dem Server zu kommunizieren – mehr dazu in den Anwendungsfällen).
3. Die Anfrage wird von der Firewall entweder blockiert oder an den Server weitergeleitet.
4. Der Server sendet eine Antwort über die Firewall an den Proxy.
5. Der Reverseproxy sendet die Antwort an den Client.

Der Reverse-Proxy kann auch Serverantworten nach Daten durchsuchen, die Hacker für Umleitungsversuche auf geschützte interne Ressourcen oder die Ausnutzung anderer Schwachstellen nutzen könnten.

Open-Source-Software und Reverse Proxys

Reverse-Proxys basieren häufig auf Open-Source-Software (OSS), da die Entwickler so auf den Quellcode zugreifen, ihn ändern und weitergeben können. Viele Open-Source-Reverse-Proxys enthalten flexible und konfigurierbare Funktionen, mit denen sie sich an individuelle Anforderungen anpassen lassen.

Beispielsweise sind Nginx, Apache und HAProxy allesamt Reverse Proxys, die dank OSS Lastausgleich, Caching, SSL- Offloading und HTTP-Request-Routing unterstützen. OSS ist mitunter auch für Sicherheitszwecke die richtige Wahl, da so mehrere Beteiligte den Code auf Schwachstellen überprüfen und Korrekturen einbringen können.

Anwendungsfälle für Reverse Proxys

Reverse Proxying ist als CASB-Modus neben Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) und anderen Cloud-Sicherheitsdiensten von zentraler Bedeutung für das Security Service Edge (SSE)-Modell.

Abgesehen von ihrer Bedeutung als Kernfunktion von SSE ergeben sich mehrere gängige Anwendungsfälle für Reverseproxys:

Sicherung nicht verwalteter Geräte

User innerhalb der Organisation arbeiten oft mit mehreren Geräten, u. a. auch mit Privatgeräten. Darüber hinaus benötigen externe Auftragnehmer, Geschäftspartner und Kunden möglicherweise Zugriff auf interne Anwendungen auf eigenen, nicht verwalteten Geräten. Beide Szenarien stellen ein Sicherheitsrisiko für die Organisation dar.

Sie können Agents wie VPNs installieren, um Firmengeräte zu verwalten. Nicht verwaltete Endgeräte sind aber etwas völlig anderes. Dritte erlauben Ihnen nicht, Agents auf ihren Endgeräten zu installieren, und viele Mitarbeiter wollen auch keine Agents auf ihren persönlichen Geräten. Deshalb bieten Reverse Proxys agentenlosen Schutz vor Datenlecks und Malware auf nicht verwalteten Geräten, die auf Ihre Cloud-Anwendungen und -Ressourcen zugreifen.

Data Protection

Ein Reverseproxy kann Richtlinien zur Verhinderung von Datenverlusten durchsetzen, um das versehentliche oder absichtliche Hoch- oder Herunterladen vertraulicher Daten in oder aus genehmigten Cloud-Anwendungen zu verhindern. Da er inline eingesetzt wird und auch verschlüsselten Traffic überprüft, gewährleistet ein Reverseproxy (insbesondere ein cloudbasierter Reverseproxy), dass beim Hoch- und Herunterladen von Daten die Richtlinien der Organisation eingehalten werden.

Bedrohungsabwehr

Eine infizierte Datei in einem Cloud-Service kann verbundene Anwendungen und Geräte infizieren – insbesondere nicht verwaltete Geräte. Ein Reverseproxy verhindert, dass infizierte Dateien in oder aus Cloud-Ressourcen hoch- oder heruntergeladen werden, und gewährleistet dadurch zuverlässigen Schutz vor komplexen Bedrohungen wie Malware und Ransomware. Die Installation eines Agents ist nicht erforderlich.

Reverseproxys haben zudem den Vorteil, dass Server und ihre IP-Adressen vor Clients verborgen werden. Dadurch sind webbasierte Ressourcen vor DDoS-Angriffen (Distributed Denial of Service) und ähnlichen Bedrohungen geschützt.

Lastenausgleich

Reverseproxys können zur Bearbeitung von Client-Anfragen eingesetzt werden, die andernfalls einen einzelnen Server mit hoher Nachfrage überfordern könnten. Durch Entlastung des Backend-Servers werden eine hohe Verfügbarkeit und kürzere Ladezeiten gefördert. Primär kommen dabei zwei unterschiedliche Verfahren zur Anwendung:

1. Ein Reverse-Proxy kann Inhalte von einem Quellserver im Zwischenspeicher ablegen und sie dann ohne weiteren Austausch mit dem Server an Clients senden, die diese anfordern (das wird dann als Web-Beschleunigung bezeichnet). Ein Domain-Namen-System (DNS) kann verwendet werden, um derartige Anfragen gleichmäßig auf mehrere Reverse Proxys zu verteilen.
2. Wenn eine große Website oder ein anderer Webdienst mehrere Ursprungsserver verwendet, kann ein Reverseproxy Anfragen verteilen, um eine gleichmäßige Serverlast zu gewährleisten.

Konkrete Vorteile beim Einsatz von Reverse Proxys

Unter Berücksichtigung dieser Anwendungsfälle lassen sich die Vorteile von Reverse Proxys in drei Kategorien unterteilen:

• Datensicherheit und Bedrohungsschutz: Reverse Proxys bieten eine Web Application Firewall (WAF)-Funktion, da sie den Datenverkehr (auch den verschlüsselten) zwischen verwalteten und nicht verwalteten Endpunkten und dem Webserver überwachen und filtern. So schützen sie ihn vor SQL-Injection, Cross-Site-Scripting und anderen Cyberangriffen.
• Skalierbarkeit und Ressourcenmanagement: Ein doppelter Vorteil: Reverse Proxys unterstützen die operative Skalierung, da sie die Installation von Agents auf sämtlichen Endgeräten überflüssig machen, bevor der sichere Zugriff auf verwaltete Ressourcen überhaupt möglich ist. Sie unterstützen auch die Skalierung der Infrastruktur mit Funktionen wie Serverlastausgleich, API- Datenverkehrsmanagement und anderen.
• Leistung und Produktivität: Cloudbasierte Reverse Proxys können Sicherheitsrichtlinien prüfen und auf den Datenverkehr anwenden, und zwar auch auf den von Remote-Usern, ohne ihn über das Rechenzentrum umzuleiten. Das ist für die Optimierung der User Performance entscheidend. Sie verfügen außerdem über praktisch unbegrenzte Möglichkeiten zur Prüfung des TLS/SSL-Datenverkehrs (der mittlerweile den Großteil des Datenverkehrs ausmacht). Im Gegensatz dazu können Appliance-basierte Firewalls und Proxys den TLS/SSL-verschlüsselten Traffic kaum ohne größere Leistungseinbußen überprüfen.

Nachteile von Reverse Proxys

Reverse Proxys bieten eine ganze Reihe von sicherheitstechnischen Vorteilen beim Schutz von nicht verwalteten Endgeräten sowie offiziell genehmigten Unternehmensanwendungen, weisen allerdings auch einige Mankos auf:

• Kein Schutz für nicht verwaltete Ressourcen: Benötigt ein User sicheren Zugriff auf eine App oder eine Ressource, die nicht in Ihr SSO integriert ist, erfolgt dieser außerhalb des Blickfelds des Reverse Proxys. Denn Reverse Proxys überwachen ausschließlich den Datenverkehr an sanktionierte Ressourcen, nicht aber den gesamten Datenverkehr. Um nicht sanktionierte Ressourcen ebenso zu schützen, wird deshalb einen Forward Proxy benötigt.
• Hohe Ausfallquote: Reverse Proxys werden in der Regel für die Kompatibilität mit speziellen Versionen einer Anwendung programmiert. Wenn also eine Anwendung aktualisiert und neuer Code an den Proxy gesendet wird, kann dies zu Betriebsunterbrechungen führen. Dadurch ist unter Umständen so lange kein Zugriff auf die aktualisierte Anwendung möglich, bis der Proxy neu programmiert wird. Das Ergebnis sind frustrierte User und Produktivitätseinbußen.

Die Alternative: Cloudbasierte Browser-Isolation

Immer mehr Unternehmen setzen auf eine cloudbasierte Browserisolierung, um die Nachteile und Risiken von Reverse Proxys zu umgehen und gleichzeitig die sichere Nutzung nicht verwalteter Geräte ohne Endpunktagenten zu ermöglichen.

Wenn ein User auf eine verwaltete Cloud-Anwendung zugreift, virtualisiert Zscaler Cloud Browser Isolation die Sitzung und zeigt Inhalte in einer isolierten Umgebung in der Cloud an. Die Sitzung wird als Pixelstream an den User gesendet. Aus User-Sicht ist diese virtualisierte Sitzung identisch mit der nativen Anwendererfahrung der jeweiligen Cloud-Applikation. Der einzige Unterschied besteht darin, dass auf nicht verwalteten Geräten das Herunterladen, Kopieren und Einfügen bzw. Drucken vertraulicher Daten verhindert wird, die in der Applikation gespeichert sind.

CBI eignet sich daher ideal für Organisationen, die durch ein Maximum an Flexibilität die Produktivität ihrer erweiterten User-Basis fördern wollen, ohne versehentliche Datenlecks, böswillige Exfiltration und Malware-Infektionen über nicht verwaltete Geräte in Kauf zu nehmen.

Cloudbasierte Browser-Isolation von Zscaler

Zscaler Browser Isolation™ bietet erstklassigen Schutz vor webbasierten Datenverlusten und Hackerangriffen − unterstützt durch eine branchenweit führende Zero-Trust-Webisolation.

Erstklassige User Experience

Durch die einzigartige Pixelstreaming-Technologie und Direct-to-Cloud-Proxyarchitektur ermöglicht Zscaler blitzschnelle Verbindungen zu Anwendungen und Websites. Auf nicht verwalteten Endgeräten werden Inhalte als hochwertige Pixelstreams im Browser des Users angezeigt. Dadurch wird Sicherheit ohne Abstriche an der Produktivität gewährleistet.

Konsistentes Schutzniveau für User an allen Standorten

Schützen Sie User geräte- und standortunabhängig mit einer Zero-Trust-Isolationsrichtlinie für Ihre Zentrale, verschiedene Mobil- und Remote-Standorte und häufig angegriffene Funktionen und Abteilungen.

Weniger Verwaltungsaufwand

Erledigen Sie Bereitstellung und Verwaltung im Handumdrehen und nutzen Sie den Zscaler Client Connector oder ein agentenloses Verfahren, um den Datenverkehr über die Zscaler Zero Trust Exchange™ mit ihrer nativ integrierten Browser Isolation laufen zu lassen.

Universelle Kompatibilität

Die Lösung ist mit allen gängigen Web-Browsern kompatibel, sodass User freie Wahl haben. Durch Cookie-Persistenz für die isolierten Sitzungen werden Einstellungen und Anmeldedaten der User beibehalten.