Zpedia 

/ ¿Qué es un proxy inverso?

¿Qué es un proxy inverso?

Un proxy inverso es un servidor, una aplicación o un servicio en la nube que se encuentra delante de uno o más servidores web para interceptar e inspeccionar las solicitudes entrantes de los clientes antes de reenviarlas al servidor web y, posteriormente, devolver la respuesta del servidor al cliente. Esto fomenta la seguridad, la escalabilidad y el rendimiento para sitios web, servicios en la nube y redes de entrega de contenido (CDN). Un proxy inverso ofrecido como servicio en la nube es uno de los modos de implementación de un agente de seguridad de acceso a la nube (CASB).
Aislamiento del navegador en la nube de Zscaler

¿Cuál es la diferencia entre un proxy inverso y un proxy de reenvío?

Es fácil confundir estos dos tipos de servidores proxy, así que vamos a analizarlos detalladamente.

Al ubicarse frente a un servidor web, un proxy inverso garantiza que ningún cliente se comunique directamente con él. Un proxy de reenvío (otro modo de CASB) se ubica frente a los terminales del cliente para interceptar las solicitudes entrantes y garantizar que ningún servidor se comunique directamente con un cliente. Estos diferentes tipos de servidores pueden parecer similares funcionalmente, pero los proxies de reenvío suelen depender de un agente de software instalado en los terminales para reenviar el tráfico, a diferencia de los proxies inversos.

¿Qué es un servidor proxy inverso?

"Servidor proxy inverso" es esencialmente un término más formal para un proxy inverso. (Lo mismo ocurre con "servidor proxy de reenvío" para un proxy de reenvío). Hoy en día, tendemos a no incluir el término "servidor" porque parece sugerir hardware, como una caja física, mientras que es una tecnología que a menudo toma la forma de una aplicación o servicio en la nube.

¿Cómo funciona un proxy inverso?

Situado en el flujo de tráfico, un proxy inverso se integra con el servicio de autenticación de una organización (por ejemplo, el inicio de sesión único). Una vez que los servicios y las aplicaciones están configurados para realizar transacciones con el proxy inverso, éste puede operar en línea sin agente. Esto ofrece una experiencia de usuario sencilla, ya que el tráfico entrante a aplicaciones en la nube gestionadas y similares es redirigido automáticamente al proxy inverso.

Veamos este proceso con más detalle.

Un proxy inverso puede proteger los datos confidenciales (por ejemplo, datos PCI, PII) actuando como intermediario o interlocutor para el servidor en el que residen dichos datos. Las solicitudes de los clientes se envían primero al proxy inverso, luego a través de un puerto especificado en cualquier cortafuegos aplicable, posteriormente al servidor de contenido, y finalmente, se devuelven. El cliente y el servidor nunca se comunican directamente, pero el cliente interpreta las respuestas como si lo hubieran hecho. Estos son los pasos básicos:

  1. El cliente envía una solicitud, que el proxy inverso intercepta
  2. El proxy inverso reenvía la solicitud entrante al cortafuegos (el proxy inverso se puede configurar para responder directamente a las solicitudes de archivos en su caché sin comunicarse con el servidor; consulte más detalles sobre esto en los casos de uso)
  3. El cortafuegos bloquea la solicitud o la reenvía al servidor
  4. El servidor envía la respuesta a través del cortafuegos al proxy
  5. El proxy inverso envía la respuesta al cliente

El proxy inverso también puede examinar las respuestas del servidor en busca de información que podría permitir a un hacker redirigir a recursos internos protegidos o aprovechar otras vulnerabilidades.

Software de código abierto y servidores proxy inversos

Los servidores proxy inversos a menudo se basan en software de código abierto (OSS) debido a que permite a los desarrolladores acceder, modificar y distribuir el código fuente. Muchos servidores proxy inversos de código abierto ofrecen funciones flexibles y personalizables, lo que permite a los usuarios adaptar el servidor proxy según sus requisitos.

Por ejemplo, Nginx, Apache y HAProxy son todos servidores proxy inversos que, a través de su funcionalidad OSS, proporcionan equilibrio de carga, almacenamiento en caché, descarga de SSL y enrutamiento de solicitudes http. El OSS también puede ser ideal para fines de seguridad, ya que permite que muchos ojos revisen el código para identificar vulnerabilidades y proponer soluciones.

Casos de uso de un proxy inverso

El proxy inverso, como modo de implementación de CASB, es fundamental para el modelo de perímetro de servicio de seguridad (SSE) junto con la puerta de enlace web segura (SWG), el acceso a la red de zero trust (ZTNA) y otros servicios de seguridad entregados en la nube.

 

Más navegación, menos preocupaciones

 

Más allá del SSE, los casos de uso específicos comunes de proxies inversos incluyen:

Proteger a los dispositivos no gestionados

Muchos de sus empleados pueden usar varios dispositivos para trabajar, incluidos los personales. Más allá de eso, muchos proveedores, socios y clientes pueden necesitar acceso a sus aplicaciones internas en sus propios dispositivos no gestionados, lo que supone un riesgo para su seguridad.

Puede instalar agentes como VPN para gestionar los dispositivos que posee su organización, pero los terminales no gestionados son otra historia. Los terceros no le permitirán instalar agentes en sus terminales y muchos empleados tampoco quieren agentes en sus dispositivos personales. En su lugar, nuestra arquitectura proxy ofrece protección sin agentes contra la filtración de datos y malware desde cualquier dispositivo no gestionado que acceda a sus aplicaciones y recursos en la nube.

Protección de datos

Una arquitectura proxy inversa puede aplicar políticas de prevención de pérdida de datos para evitar cargas o descargas accidentales o intencionales de información confidencial hacia o desde aplicaciones en la nube sancionadas. Debido a que opera en línea e inspecciona todo el tráfico cifrado (especialmente un proxy reverso basado en la nube), puede garantizar que los datos cargados o descargados se ajusten a sus políticas.

Prevención de amenazas

Un archivo infectado en un servicio en la nube puede propagarse a aplicaciones y dispositivos conectados, especialmente a dispositivos no administrados. Al impedir sin agentes la carga o descarga de archivos infectados hacia o desde recursos en la nube, un proxy inverso proporciona protección avanzada frente a amenazas de malware y ransomware.

Por naturaleza, los proxies inversos también ocultan los servidores y sus direcciones IP a los clientes, lo que protege los recursos web de amenazas como la denegación de servicio distribuida (ataquesDDoS).

Equilibrio de carga

Los proxies inversos pueden utilizarse para gestionar las solicitudes de los clientes que, de otro modo, podrían sobrecargar a un único servidor con una gran demanda, lo que favorece una alta disponibilidad y mejores tiempos de carga al eliminar la presión del servidor backend. Lo hacen principalmente de dos maneras diferentes:

  1. Un proxy inverso puede almacenar en caché contenido de un servidor de origen en almacenamiento temporal y, a continuación, enviar el contenido a los clientes que lo soliciten sin realizar más transacciones con el servidor (esto se denomina aceleración web). Un sistema de nombre de dominio (DNS) se puede utilizar para enrutar solicitudes de manera uniforme entre múltiples proxies inversos.
  2. Si un sitio web de gran tamaño u otro servicio web utiliza varios servidores de origen, un proxy inverso puede distribuir las peticiones entre ellos para garantizar una carga uniforme del servidor.

Ventajas de utilizar un proxy inverso

Teniendo en cuenta esos casos de uso, las ventajas de utilizar un proxy inverso se manifiestan en tres áreas principales:

  • Seguridad de datos y prevención de amenazas: los servidores proxy inversos brindan funcionalidad de cortafuegos de aplicaciones web (WAF) al supervisar y filtrar el tráfico (incluido el tráfico cifrado) entre terminales administrados y no administrados y el servidor web, protegiéndolo de inyecciones de SQL, scripts entre sitios y otros ciberataques.
  • Escalabilidad y gestión de recursos: este es una ventaja doble. Los proxies inversos facilitan la escala operativa al eliminar la necesidad de instalar agentes en cada terminal de usuario antes de poder ofrecer un acceso seguro a los recursos gestionados. También respaldan la escala de la infraestructura a través de capacidades como equilibrio de carga del servidor, gestión del tráfico de API y más.
  • Rendimiento y productividad: los proxies inversos en la nube pueden analizar y aplicar políticas de seguridad al tráfico, incluido el tráfico de usuarios remotos, sin necesidad de reenviarlo a través del centro de datos, lo cual es clave para optimizar el rendimiento del usuario final. Además, ofrecen una escalabilidad prácticamente ilimitada para la inspección del tráfico TLS/SSL (la mayoría del tráfico actual), mientras que los cortafuegos y los servidores proxy basados en dispositivos rara vez pueden inspeccionar cifrado TLS/SSL sin grandes caídas de rendimiento.

Desafíos de los proxies inversos

Los proxies inversos ofrecen beneficios de seguridad notables cuando se trata de proteger los dispositivos no gestionados y las aplicaciones empresariales, pero también presentan deficiencias notables, como:

  • No ofrecen seguridad para los recursos no gestionados: si un usuario necesita acceso seguro a una aplicación o recurso que no está integrado con su SSO, está fuera de la búsqueda de un proxy inverso. Los proxies inversos solo supervisan el tráfico destinado a recursos sancionados, no todo el tráfico; para proteger los recursos no sancionados de la misma manera, necesitará un proxy de reenvío.
  • Riesgo de rotura frecuente: los proxies inversos suelen estar codificados para funcionar con versiones específicas de aplicaciones, por lo que, cuando una aplicación se actualiza y se envía nuevo código al proxy, éste puede romperse. Esto puede hacer que la aplicación actualizada no esté disponible hasta que el proxy pueda ser recodificado, lo que lleva a usuarios frustrados y a pérdida de productividad.

Una mejor manera: aislamiento del navegador en la nube

Hoy en día, más organizaciones recurren al aislamiento del navegador basado en la nube para evitar las limitaciones y los riesgos de errores de los servidores proxy inversos y, al mismo tiempo, permitir el uso seguro de dispositivos no administrados sin agentes de terminal.

Cuando un usuario accede a una aplicación en la nube administrada, Zscaler Cloud Browser Isolation virtualiza la sesión y representa el contenido en un entorno aislado en la nube, enviando la sesión al usuario como una secuencia de píxeles. La experiencia del usuario es idéntica a la experiencia nativa de esa aplicación en la nube, salvo que CBI impide que los dispositivos no gestionados descarguen, copien, peguen o impriman los datos confidenciales que se encuentran en la aplicación.

Esto hace que CBI sea la forma ideal de fomentar la flexibilidad y la productividad de su amplia base de usuarios, a la vez que previene las filtraciones accidentales, la exfiltración maliciosa y la proliferación de malware a través de dispositivos no gestionados.

 

Aislamiento del navegador en la nube de Zscaler

Zscaler Cloud Browser Isolation™ proporciona una defensa inigualable contra la filtración de datos y las amenazas basadas en la web, impulsada por el aislamiento web zero trust más avanzado del sector.

Una experiencia de usuario inigualable

Obtenga conexiones ultrarrápidas a aplicaciones y sitios web con nuestra exclusiva tecnología de transmisión de píxeles y arquitectura de proxy directo a la nube. Los usuarios reciben un flujo de píxeles de alto rendimiento en su navegador, lo que ofrece seguridad sin reducir la productividad.

Protección uniforme para los usuarios en cualquier lugar

Proteja a cualquier usuario, en cualquier dispositivo, en cualquier ubicación con una política de aislamiento zero trust que abarca la oficina central, los sitios móviles o remotos y las funciones y departamentos altamente específicos.

Menos problemas de gestión

Realice implementaciones y administraciones en segundos, aprovechando Zscaler Client Connector o una opción sin agente para enrutar el tráfico a través de Zscaler Zero Trust Exchange™ con su integración nativa de aislamiento de navegador.

Compatibilidad universal

Disfrute de cobertura para los principales navegadores web para adaptarse a las preferencias del usuario. La persistencia de las cookies para sesiones aisladas mantiene intacta la configuración clave, las preferencias y la información de inicio de sesión de los usuarios.

 

Recursos sugeridos

¿Qué es un proxy de reenvío?
Más información
¿Qué es un proxy en la nube ?
Más información
Zscaler Browser Isolation
Visite nuestra página web
Lo que necesita saber para proteger su dispositivo propio y superar los problemas del proxy inverso
Leer el blog
¿Qué es un agente de seguridad de acceso a la nube (CASB)?
Lea el artículo
Principales casos de uso de CASB
Lea el libro electrónico

01 / 04

Preguntas frecuentes

Un proxy en la nube funciona como un proxy inverso en muchos sentidos: las solicitudes de los clientes fluyen a través del proxy en la nube de camino a una dirección de Internet, y las respuestas (por ejemplo, el permiso para acceder a una página web) regresan a través del proxy de camino a los clientes. Sin embargo, debido a que el proxy en la nube reside en la nube, no está confinado al hardware del centro de datos como un proxy convencional basado en dispositivos.

Además, un proxy en la nube le brinda las ventajas de conocimiento de aplicaciones universales, escala global, importantes ahorros potenciales de costes, excelentes experiencias de usuario, etc.

 

Para configurar un proxy inverso, debe:

  1. Elegir un servidor proxy inverso
  2. Instalar y configurar el servidor
  3. Configurar DNS
  4. Configurar el servidor proxy inverso
  5. Configurar el enrutamiento, el equilibrio de carga y el cifrado TLS/SSL
  6. Probar y solucionar problemas del proxy

El encadenamiento de proxy implica reenviar tráfico de un servidor proxy a otro. Este método aprovecha sus servidores proxy existentes, sin cambios adicionales en la red.