Recursos > Glosario de términos de seguridad > Qué es un proxy de reenvío

¿Qué es un proxy de reenvío?

¿Qué es un proxy de reenvío?

Como su nombre indica, un proxy de reenvío (a menudo llamado simplemente proxy) actúa como un intermediario que realiza una tarea para otra entidad. En concreto, dicho proxy sirve de intermediario entre un dispositivo de usuario (o dispositivos de usuario) e Internet. En lugar de que un dispositivo se conecte directamente a un destino web, se conecta al proxy que, a su vez, se conecta al destino en su nombre, evaluando las solicitudes salientes y actuando sobre ellas antes de retransmitirlas al destino externo. Cuando el destino devuelve la comunicación, la envía al proxy, que la inspecciona, toma las medidas necesarias y la reenvía al dispositivo de origen si procede.

Un proxy de reenvío es mucho más que un controlador de tráfico; de hecho, como intermediario, el valor del proxy para la seguridad reside en su capacidad de proteger a los usuarios del acceso directo hacia o desde malos actores, así como de evitar que pongan en peligro los datos y los recursos empresariales, ya sea intencionalmente o involuntariamente. Funciona en línea, lo que significa que se sitúa directamente en el flujo de tráfico, lo que permite a una empresa identificar cualquier problema de seguridad y aplicar las políticas necesarias en tiempo real. Los proxies son buffers que ayudan a mantener las aplicaciones y los datos a salvo de cualquier daño, ya sea el resultado de errores del usuario por descuido o de la exfiltración de datos y el malware.

Aunque muchas personas están familiarizadas con el cortafuegos como medio para proteger los sistemas contra amenazas externas, un proxy de reenvío difiere de un cortafuegos de forma significativa. Los cortafuegos utilizan un enfoque de paso, lo que significa que el tráfico se reenvía al destinatario previsto mientras se inspecciona su contenido. Si se detecta que el tráfico contiene malware u otras amenazas, el cortafuegos envía una alerta, pero es posible que cuando se reciba sea demasiado tarde. Un proxy, en cambio, no reenvía el tráfico hasta que su contenido ha sido analizado y se emite un veredicto "seguro". 

Otra diferencia clave es la capacidad del proxy para inspeccionar el tráfico cifrado (al menos cuando dicho proxy está implementado en la nube y no como dispositivo). La mayor parte del tráfico actual está cifrado. Es fundamental tener visibilidad de este. Sin embargo, el proceso de descifrar, inspeccionar y volver a cifrar el tráfico requiere un gran esfuerzo informático, y los cortafuegos basados en dispositivos no pueden hacer frente a sus exigencias.

Cada vez más, a medida que las personas analizan los proxies de reenvío, lo hacen en relación con los corredores de seguridad de acceso a la nube (CASB). Los CASB son herramientas de seguridad en la nube que pueden implementarse en modo proxy de reenvío, lo que significa que el software instalado en el dispositivo de cada usuario reenvía el tráfico a un punto de inspección en la nube que aplica políticas de seguridad en tiempo real a medida que los usuarios interactúan con los recursos basados en la nube, como las aplicaciones SaaS y las plataformas IaaS. A medida que aumenta la adopción de aplicaciones SaaS y el trabajo remoto, el uso de un proxy de reenvío basado en la nube de CASB (en lugar de un cortafuegos o un dispositivo proxy, ya sea en las instalaciones o implementado virtualmente) se vuelve cada vez más importante tanto para la seguridad como para la productividad empresarial.

 

Por qué se necesita hoy en día un proxy de reenvío

Las puertas de entrada a Internet heredadas utilizaban herramientas como los cortafuegos para crear una barrera entre la red e Internet y estaban diseñadas para evitar que entraran elementos dañinos. Formaban parte del "perímetro de seguridad", creado para proteger la red y todo lo que había en ella: aplicaciones, datos, servidores, ordenadores, otros dispositivos y los propios usuarios. Pero las aplicaciones se han trasladado a la nube y la mayoría de los usuarios han salido de la red; ahora se conectan desde casa, sitios remotos, cafés... en cualquier lugar. En consecuencia, el modelo de perímetro de seguridad ha quedado obsoleto.

¿Cómo debe responder una empresa cuando tiene empleados que se conectan desde cualquier lugar a aplicaciones SaaS y privadas, así como a datos de las nubes públicas, como AWS y Azure? Si la empresa sigue utilizando el modelo heredado, el usuario se conecta a través de una red privada virtual (VPN) al centro de datos, que luego envía el tráfico a través de la pila de seguridad de la pasarela de salida hacia el destino en la nube. Después, el tráfico de retorno hace el mismo viaje a la inversa. Este enfoque crea diversos riesgos potenciales para la organización (ver VPN, superficie de ataque) y genera una experiencia en línea terrible para el usuario.

Los trabajadores en sucursales tienen una experiencia igualmente deficiente, ya que su tráfico se revisa nuevamente en un centro de datos central a través de enlaces privados de MPLS antes de pasar por la puerta de enlace y salir a la nube (con otro largo viaje de retorno).

Las aplicaciones en la nube se diseñaron para ser accesibles directamente, a través del camino más corto, a fin de proporcionar una experiencia rápida y productiva. Los dispositivos del centro de datos que trabajan permitiendo el paso simplemente no están a la altura. Para lograr conexiones rápidas, directas y seguras, necesita usar un proxy de reenvío que aproveche el rendimiento y la escala de la nube.

 

¿Para qué utilizan las organizaciones los proxys de reenvío? 

Una estrategia de seguridad desarrollada sobre una arquitectura proxy basada en la nube es fundamental para las organizaciones que se trasladan a la nube. He aquí algunos de los principales casos de uso que tienen que ver con las organizaciones que desean adoptar el proxy de reenvío (y el CASB en particular):

 

Descubrimiento de TI en la sombra

El uso de la nube se reparte entre aplicaciones SaaS, grupos de usuarios y diferentes ubicaciones. Las aplicaciones no autorizadas (también conocidas como IT en la sombra) abundan, pero es difícil, o incluso imposible, mantener la visibilidad sobre aquello a lo que acceden los usuarios sin las soluciones adecuadas. Afortunadamente, un proxy de reenvío permite funcionalidades de CASB como el descubrimiento de la TI en la sombra al inspeccionar todo el tráfico procedente de los dispositivos de los usuarios, lo que permite a la TI identificar las aplicaciones no sancionadas y gobernar el acceso a ellas, ya sea individualmente o por categoría.

 

Protección de datos

Debido a que las aplicaciones SaaS están diseñadas para permitir un uso compartido rápido y fácil, es común que los usuarios carguen inadvertidamente o imprudentemente datos comerciales críticos a ubicaciones inapropiadas que TI preferiría que evitaran. Un proxy de reenvío basado en la nube, debido a que opera en línea y tiene la escala para inspeccionar todo el tráfico, es la mejor manera de evitar que los usuarios suban información confidencial a destinos en la nube arriesgados (tanto de manera accidental como intencional).

 

Prevención de amenazas

Además de representar una vía atractiva para la exfiltración de datos, las aplicaciones SaaS pueden ser un conducto para la propagación de malware si no se les pone atención; la funcionalidad de uso compartido rápido se puede secuestrar para distribuir archivos infectados dentro de las organizaciones y entre ellas. Un proxy de reenvío evita que los archivos infectados se suban a recursos de la nube al habilitar tecnologías como la protección avanzada contra amenazas (ATP) y el sandbox de la nube para que funcionen en línea de modo que puedan interceptar amenazas en tránsito.

 

Cómo elegir un proxy de reenvío 

En muchos casos, los proxys de reenvío han tenido mala reputación. Se sabe que son caros y muy complejos de configurar y gestionar. Pueden añadir latencia y crear una mala experiencia para el usuario. Además, si un proxy queda inactivo, puede provocar una interrupción significativa en las operaciones empresariales. Sin embargo, esto se debe a que los proxies, históricamente, se han implementado como dispositivos físicos o virtuales.

Los proxies de reenvío son tremendamente beneficiosos para la seguridad cuando se proveen en la nube, donde no tienen ninguno de los inconvenientes de sus homólogos basados en dispositivos. Una arquitectura proxy basada en la nube elimina el gasto de compra y mantenimiento de dispositivos, y se adapta según sea necesario para satisfacer las crecientes demandas de tráfico. Esta capacidad de proporcionar escalabilidad sin precedentes también resuelve el desafío clave de inspeccionar el tráfico cifrado en busca de amenazas y filtraciones de datos, que, como se ha mencionado anteriormente, es un esfuerzo informático muy intensivo. El proxy de reenvío adecuado habilita:

  • Protección homogénea de datos (y amenazas) en todos sus canales de datos en la nube con una única política simple.
  • Seguridad unificada como parte de una oferta de SASE que soporta la más amplia gama de casos de uso relacionados con CASB, pasarela web segura y ZTNA, para proteger el acceso a las aplicaciones en la nube, la web y los recursos internos, respectivamente.
  • Sencillez del ecosistema de TI a través de una arquitectura basada en la nube de un solo paso que se abstiene de utilizar dispositivos y proporciona lo anterior sin la necesidad de configuraciones complejas, como la cadena de proxys.

¿Por qué Zscaler?

Al elegir un proxy de reenvío, o un CASB, específicamente, es importante elegir un proveedor que tenga una solución probada en línea y sea un líder de confianza en el ámbito de la seguridad. Zscaler se basa en una arquitectura proxy nativa de la nube para ofrecer todas las ventajas mencionadas anteriormente. La empresa tiene la mayor nube de seguridad en línea del mundo con 150 centros de datos en los cinco continentes que atienden a clientes en 185 países; procesa 160 mil millones de transacciones al día.

Zscaler está diseñado para el rendimiento y redirige el tráfico de manera inteligente a su centro de datos más cercano, donde la oferta de la empresa trabaja conjuntamente con muchas de las mejores aplicaciones, incluidos Microsoft 365, Zoom y Salesforce, para crear la distancia más corta entre los usuarios y sus aplicaciones. Este rendimiento mejorado conduce a una experiencia de usuario mejorada que refuerza la productividad empresarial. 

Zscaler ofrece capacidades líderes de CASB [desde la coincidencia exacta de datos (EDM) para la prevención contra la pérdida de datos (DLP) hasta el sandbox en la nube para la protección avanzada contra amenazas (ATP)] para proteger las aplicaciones empresariales en la nube de los riesgos. Al mismo tiempo, ofrece productos líderes e integrados de SWG y ZTNA para ofrecer una seguridad verdaderamente completa en una sola plataforma, de acuerdo con la visión de Gartner para SASE. 

Debido a que Zscaler proporciona una seguridad consistente en todo el ecosistema de TI y dondequiera que los usuarios se conecten, está permitiendo a miles de organizaciones adoptar de forma segura la transformación digital, así como las iniciativas de trabajo desde cualquier lugar para las fuerzas laborales remotas e híbridas. 

¿Qué es un proxy en la nube?

Más información
¿Qué es un proxy en la nube?

Seguridad basada en proxy: un pilar de la arquitectura que da prioridad a la nube

Leer el blog
Seguridad basada en proxy: un pilar de la arquitectura que da prioridad a la nube

Principales casos de uso de CASB

Leer el libro electrónico
Principales casos de uso de CASB

Por qué los cortafuegos de próxima generación nunca pueden ser proxies: la arquitectura adecuada importa

Leer el blog
Por qué los cortafuegos de próxima generación nunca pueden ser proxies: la arquitectura adecuada importa