Recursos > Glosario de términos de seguridad > ¿Qué es un proxy en la nube ?

¿Qué es un proxy en la nube ?

Un proxy en la nube es un sistema basado en la nube que se sitúa entre un cliente y un servidor web, una aplicación SaaS o un centro de datos. Actúa como intermediario entre el cliente y el servidor, ofreciendo un acceso seguro a los recursos y protegiendo al servidor de malware y otras amenazas.

¿Por qué necesita un proxy en la nube?

Un proxy en la nube funciona como proxy inverso en muchos sentidos (las solicitudes de los clientes pasan por el proxy en la nube de camino a una dirección de Internet, y las respuestas (por ejemplo, el permiso para acceder a una página web) vuelven a través del proxy de camino a los clientes), pero dado que el proxy en la nube reside en la nube, no está confinado al hardware del centro de datos como un proxy convencional basado en dispositivos.
 

Desafíos con los proxies basados en dispositivos

Los servidores proxy inversos tradicionales y los proxies HTTP siguen siendo comunes en las pilas de seguridad de red actuales, pero los líderes de TI cada vez informan de más problemas de:

  • Latencia: los proxy deben operar en línea para interceptar el tráfico. Enrutar el tráfico a través de dispositivos con ancho de banda limitado en serie puede agregar una latencia significativa a las solicitudes, especialmente con implementaciones empresariales in situ, lo que lleva a una mala experiencia de usuario.
  • Compatibilidad: los proxies tradicionales son propensos a problemas de compatibilidad de las aplicaciones porque no fueron creados para las formas en que las aplicaciones ricas basadas en la web realizan la autenticación, las llamadas a la API, las solicitudes de servicio, etc., lo que obliga a solucionar problemas adicionales.
  • Costo: los dispositivos proxy comerciales cuestan demasiado en comparación con los presupuestos típicos de TI, incluso más si una organización desea usarlos para inspeccionar el tráfico TLS/SSL, para el cual algunos proveedores pueden recomendar hasta ocho veces más dispositivos.
  • Almacenamiento en caché: lo que en su día fue una función crítica de una arquitectura proxy, el almacenamiento en caché, ahora es una característica de todos los navegadores web modernos, lo que hace que el almacenamiento en caché basado en la red sea una oferta secundaria como máximo.
     

Ventajas de un proxy en la nube

Los proxies siguen siendo la solución adecuada para las empresas que buscan evitar las amenazas sigilosas sin comprometer la experiencia del usuario. En la era de la nube y la movilidad, las ofertas basadas en hardware no pueden cumplir esa promesa de forma fiable. Una arquitectura proxy eficaz basada en la nube ofrece:

  • Conocimiento universal de las aplicaciones, incluidas las aplicaciones basadas en la nube, en cualquier puerto, con una cantidad significativamente menor de problemas de compatibilidad.
  • Escala global para seguir el ritmo de los usuarios que están en constante movimiento, a menudo alejados de la red de la empresa.
  • Ahorro significativo de costos en comparación con precios típicos de proxy de hardware, lo que reduce el gasto en TI.
  • Magnífica experiencia de usuario, incluso con la inspección completa de TLS/SSL activada, sin latencia detectable para los usuarios finales.
  • Sin visibilidad externa del servidor, con soporte para encabezados XFF para aplicaciones que requieren la dirección IP de la fuente real del usuario.

La arquitectura de proxy basada en la nube más eficaz forma parte de una arquitectura de seguridad integral, capaz de abordar toda la gama de parámetros de cumplimiento y seguridad sin dejar lagunas para que las resuelva otra función o un tercero (por ejemplo, un proveedor de la nube).

Muchas de las capacidades de SASE utilizarán un modelo de proxy para entrar en la ruta de los datos y asegurar el acceso. Los proveedores de redes en línea y de cortafuegos empresariales heredados carecen de la experiencia necesaria para construir proxies en línea distribuidos a escala, lo que supone un riesgo de costes más elevados y/o un rendimiento deficiente para los adoptantes de SASE.

Gartner, El futuro de la seguridad de la red está en la nube

¿Cómo funciona un proxy en la nube?

Ubicado en el flujo de tráfico, un proxy en la nube se integra con el servicio de autenticación de una organización (por ejemplo, el inicio de sesión único), tras lo cual puede operar en línea sin agente. Esto ofrece una experiencia de usuario sencilla, ya que el tráfico entrante a aplicaciones en la nube gestionadas y similares es redirigido automáticamente al proxy en la nube.

Veamos con más detalle este proceso.

Un proxy en la nube puede proteger los datos confidenciales (por ejemplo, datos PCI, PII) actuando como intermediario o interlocutor para el servidor en el que residen dichos datos. Las solicitudes de los clientes se envían primero al proxy en la nube, luego a través de un puerto especificado en cualquier cortafuegos aplicable, posteriormente al servidor de contenido, y finalmente, se devuelven. El cliente y el servidor nunca se comunican directamente, pero el cliente interpreta las respuestas como si lo hubieran hecho. Estos son los pasos básicos:

  1. El cliente envía una solicitud que el proxy de la nube intercepta
  2. El proxy en la nube reenvía la solicitud entrante a un cortafuegos, si procede
  3. El cortafuegos bloquea la solicitud o la reenvía al servidor
  4. El servidor envía la respuesta a través del cortafuegos al proxy
  5. El proxy en la nube envía la respuesta al cliente

Respaldado por la elasticidad de la nube, todo esto sucede casi en tiempo real, independientemente del volumen de tráfico.

Seguridad basada en proxy: un pilar de la arquitectura que da prioridad a la nube

Leer el blog
leer el blog

Por qué los proxies y los cortafuegos son esenciales en el panorama de las amenazas modernas

Leer el blog
leer el blog

Zscaler SASE de un vistazo

Leer el resumen de la solución
Leer el resumen de la solución

Proxy en la nube de Zscaler

Para dar acceso a Internet limpio, seguro y conforme a la normativa, y una excelente experiencia de usuario a todos los usuarios, en cualquier dispositivo o sistema operativo, a través de cualquier red, independientemente de dónde se encuentren, la solución es una arquitectura proxy basada en la nube.

Nuestra arquitectura probada basada en proxy en la nube forma la base de Zscaler Internet Access™, una solución nativa de la nube de perímetro de servicio de seguridad (SSE) que se basa en una década de liderazgo de puerta de enlace web segura. Se ofrece como plataforma SaaS escalable de la mayor nube de seguridad del mundo y reemplaza a las soluciones de seguridad de red heredadas para detener los ataques avanzados y evitar la pérdida de datos con un enfoque integral de confianza cero.

Zscaler Internet Access forma parte de Zscaler Zero Trust Exchange™, una completa plataforma de seguridad nativa en la nube.

Más información sobre Zscaler Internet Access.

Muchas de las capacidades de SASE utilizarán un modelo de proxy para entrar en la ruta de los datos y asegurar el acceso. Los proveedores de redes en línea y de cortafuegos empresariales heredados carecen de la experiencia necesaria para construir proxies en línea distribuidos a escala, lo que supone un riesgo de costes más elevados y/o un rendimiento deficiente para los adoptantes de SASE.

Gartner, El futuro de la seguridad de la red está en la nube

Zscaler Cloud Proxy Casos de uso

La arquitectura proxy de nube de Zscaler ofrece cobertura proxy inversa para todo el tráfico, un elemento central del agente de seguridad de acceso a la nube (CASB) dentro del modelo de perímetro de servicio de seguridad (SSE).

Como parte de un marco SSE, nuestra arquitectura proxy en la nube ayuda a su organización a realizar las siguientes tareas:

Protección de dispositivos no gestionados
Muchos de sus empleados pueden utilizar varios dispositivos para trabajar, incluidos los personales. Más allá de eso, muchos proveedores, socios y clientes pueden necesitar acceso a sus aplicaciones internas en sus propios dispositivos no gestionados, lo que supone un riesgo para su seguridad.

Puede instalar agentes para gestionar los dispositivos que posee su organización, pero los puntos finales no gestionados son otra historia. Los terceros no le permitirán instalar agentes en sus terminales y muchos empleados tampoco quieren agentes en sus dispositivos personales. En su lugar, nuestra arquitectura proxy ofrece protección sin agentes contra la filtración de datos y malware desde cualquier dispositivo no gestionado que acceda a sus aplicaciones y recursos en la nube.

Protección de datos
La arquitectura proxy de Zscaler puede aplicar políticas de prevención de pérdida de datos para evitar cargas o descargas accidentales o intencionadas de información confidencial hacia o desde aplicaciones en la nube autorizadas. Debido a que opera en línea e inspecciona todo el tráfico, incluso el tráfico cifrado, puede garantizar que los datos cargados o descargados se ajusten a sus políticas.

Prevención de amenazas
Un archivo infectado en un servicio en la nube puede propagarse a aplicaciones y dispositivos conectados, especialmente a dispositivos no gestionados. Al impedir la carga o descarga de archivos infectados hacia o desde recursos en la nube sin el uso de agentes, nuestra arquitectura de proxy ofrece protección avanzada frente a amenazas contra el malware y el ransomware.

Por naturaleza, nuestra arquitectura también oculta servidores y sus direcciones IP de los clientes, lo que protege sus recursos web de amenazas como la denegación de servicio distribuido (ataques DDoS).

Equilibrio de cargas
El proxy Zscaler se puede utilizar para manejar las solicitudes de los clientes que, de otro modo, podrían abrumar a un solo servidor con altos niveles de demanda, por lo que fomenta una alta disponibilidad y la optimización de los tiempos de carga mediante la distribución de las solicitudes a sus servidores de manera uniforme.