Recursos > Glosario de términos de seguridad > Qué es un proxy inverso

¿Qué es un proxy inverso?

Definición de proxy inverso

Un proxy inverso es un servidor, una aplicación o un servicio en la nube que se encuentra delante de uno o más servidores web para interceptar e inspeccionar las solicitudes entrantes de los clientes antes de reenviarlas al servidor web y, posteriormente, devolver la respuesta del servidor al cliente. Esto fomenta la seguridad, la escalabilidad y el rendimiento para sitios web, servicios en la nube y redes de entrega de contenido (CDN).

El proxy inverso como servicio en la nube es uno de los modos de despliegue de un agente de seguridad de acceso a la nube (CASB), diseñado para proporcionar seguridad en línea y en tiempo real para aplicaciones, infraestructuras y otros recursos basados en la nube.
 

¿Cuál es la diferencia entre un proxy inverso y un proxy de reenvío?

Es fácil confundir estos dos tipos de servidores proxy, así que vamos a analizarlos detalladamente.

Al situarse ante un servidor web, un proxy inverso garantiza que ningún cliente se comunique directamente con el servidor. Un proxy de reenvío (otro modo de CASB) se sitúa ante los puntos finales del cliente para interceptar las solicitudes entrantes y garantizar que ningún servidor se comunique directamente con un cliente. Pueden sonar funcionalmente similares, pero los proxies de reenvío generalmente dependen de un agente de software instalado en los extremos para reenviar tráfico, mientras que los proxies inversos no.
 

¿Qué es un servidor proxy inverso?

"Servidor proxy inverso" es esencialmente un término más formal para un proxy inverso. (Lo mismo ocurre con "servidor proxy de reenvío" para un proxy de reenvío). Hoy en día, tendemos a no incluir el término "servidor" porque parece sugerir hardware, como una caja física, mientras que es una tecnología que a menudo toma la forma de una aplicación o servicio en la nube.

¿Cómo funciona un proxy inverso?

Situado en el flujo de tráfico, un proxy inverso se integra con el servicio de autenticación de una organización (por ejemplo, el inicio de sesión único). Una vez que los servicios y las aplicaciones están configurados para realizar transacciones con el proxy inverso, éste puede operar en línea sin agente. Esto ofrece una experiencia de usuario sencilla, ya que el tráfico entrante a aplicaciones en la nube gestionadas y similares es redirigido automáticamente al proxy inverso.

Veamos este proceso con más detalle.

Un proxy inverso puede proteger los datos confidenciales (por ejemplo, datos PCI, PII) actuando como intermediario o interlocutor para el servidor en el que residen dichos datos. Las solicitudes de los clientes se envían primero al proxy inverso, luego a través de un puerto especificado en cualquier cortafuegos aplicable, posteriormente al servidor de contenido, y finalmente, se devuelven. El cliente y el servidor nunca se comunican directamente, pero el cliente interpreta las respuestas como si lo hubieran hecho. Estos son los pasos básicos:

  1. El cliente envía una solicitud, que el proxy inverso intercepta
  2. El proxy inverso reenvía la solicitud entrante al cortafuegos
    a. El proxy inverso se puede configurar para responder directamente a las solicitudes de archivos en su caché sin tener que comunicarse con el servidor. Consulte más detalles en los casos de uso.
  3. El cortafuegos bloquea la solicitud o la reenvía al servidor
  4. El servidor envía la respuesta a través del cortafuegos al proxy
  5. El proxy inverso envía la respuesta al cliente

El proxy inverso también puede examinar las respuestas del servidor en busca de información que podría permitir a un hacker redirigir a recursos internos protegidos o aprovechar otras vulnerabilidades.

Casos de uso de proxy inverso

El proxy inverso, como modo de implementación CASB, es esencial para el modelo de perímetro de servicio de seguridad (SSE) junto con la puerta de enlace web segura (SWG), el acceso a la red de confianza cero (ZTNA) y otros servicios de seguridad entregados en la nube.

Más allá del SSE, los casos de uso específicos comunes de proxies inversos incluyen:
 

Proteger a los dispositivos no gestionados

Muchos de sus empleados pueden usar varios dispositivos para trabajar, incluidos los personales. Más allá de eso, muchos proveedores, socios y clientes pueden necesitar acceso a sus aplicaciones internas en sus propios dispositivos no gestionados, lo que supone un riesgo para su seguridad.

Puede instalar agentes para gestionar los dispositivos que posee su organización, pero los puntos finales no gestionados son una historia diferente. Los terceros tampoco le permitirán instalar agentes en sus terminales y muchos empleados tampoco quieren agentes en sus dispositivos personales. En cambio, un proxy inverso ofrece protección sin agentes contra la filtración de datos y el malware desde cualquier dispositivo no gestionado que acceda a sus aplicaciones y recursos en la nube.

More browsing, less worry

Protección de datos

Un proxy inverso puede aplicar políticas de prevención de pérdida de datos para evitar la carga o descarga accidental o intencionada de información confidencial hacia o desde aplicaciones en la nube sancionadas. Dado que funciona en línea e inspecciona el tráfico cifrado (especialmente un proxy inverso basado en la nube), puede garantizar que los datos cargados o descargados se ajusten a sus políticas.
 

Prevención de amenazas

Un archivo infectado en un servicio en la nube puede propagarse a aplicaciones y dispositivos conectados, especialmente a dispositivos no gestionados. Al impedir la carga o descarga sin agentes de archivos infectados hacia o desde los recursos de la nube, un proxy inverso proporciona protección avanzada frente a amenazas contra el malware y el ransomware.

Por naturaleza, los proxies inversos también ocultan los servidores y sus direcciones IP a los clientes, lo que protege los recursos web de amenazas como la denegación de servicio distribuida (ataques DDoS).
 

Equilibrio de carga

Los proxies inversos pueden utilizarse para gestionar las solicitudes de los clientes que, de otro modo, podrían sobrecargar a un único servidor con una gran demanda, lo que favorece una alta disponibilidad y mejores tiempos de carga al eliminar la presión del servidor backend. Lo hacen principalmente de dos maneras diferentes:

  1. Un proxy inverso puede almacenar en caché contenido de un servidor de origen en almacenamiento temporal y, a continuación, enviar el contenido a los clientes que lo soliciten sin realizar más transacciones con el servidor (esto se denomina aceleración web). El DNS se puede utilizar para enrutar solicitudes de manera uniforme entre múltiples proxies inversos.
  2. Si un sitio web de gran tamaño u otro servicio web utiliza varios servidores de origen, un proxy inverso puede distribuir las peticiones entre ellos para garantizar una carga uniforme del servidor.

Ventajas de utilizar un proxy inverso

Teniendo en cuenta esos casos de uso, las ventajas de utilizar un proxy inverso se manifiestan en tres áreas principales:

  • Seguridad de datos y prevención de amenazas: los proxies inversos proporcionan funcionalidad de cortafuegos de aplicaciones web (WAF) mediante la supervisión y el filtrado de tráfico (incluido el tráfico cifrado) entre puntos finales gestionados y no gestionados y el servidor web, protegiéndolo de inyecciones SQL, scripts entre sitios y mucho más.
  • Escalabilidad y gestión de recursos: este es un beneficio doble. Los proxies inversos facilitan la escala operativa al eliminar la necesidad de instalar agentes en cada punto final del usuario antes de poder ofrecer un acceso seguro a los recursos gestionados. También facilitan la escala de la infraestructura a través de las capacidades de equilibrio de carga para los recursos de alta demanda.
  • Rendimiento y productividad: los proxies inversos basados en la nube pueden analizar y aplicar políticas de seguridad al tráfico, incluido el de los usuarios remotos, sin tener que retornarlo a través de su centro de datos. También tienen una escala efectivamente ilimitada para inspeccionar el tráfico TLS/SSL (la mayor parte del tráfico actual), mientras que los cortafuegos basados en dispositivos y los proxies rara vez pueden inspeccionar el cifrado TLS/SSL sin grandes caídas de rendimiento.

¿Qué es un proxy de reenvío?

Más información
¿Qué es un proxy de reenvío?

¿Qué es un proxy en la nube ?

Más información
¿Qué es un proxy en la nube ?

Zscaler Cloud Browser Isolation

Leer la hoja de datos
Zscaler Cloud Browser Isolation

Desafíos con proxies inversos

Los proxies inversos ofrecen beneficios de seguridad notables cuando se trata de proteger los dispositivos no gestionados y las aplicaciones empresariales, pero también presentan deficiencias notables, como:

  • No ofrecen seguridad para los recursos no gestionados: si un usuario necesita acceso seguro a una aplicación o recurso que no está integrado con su SSO, está fuera de la búsqueda de un proxy inverso. Los proxies inversos solo supervisan el tráfico destinado a recursos sancionados, no todo el tráfico; para proteger los recursos no sancionados de la misma manera, necesitará un proxy de reenvío.
  • Riesgo de rotura frecuente: los proxies inversos suelen estar codificados para funcionar con versiones específicas de aplicaciones, por lo que, cuando una aplicación se actualiza y se envía nuevo código al proxy, éste puede romperse. Esto puede hacer que la aplicación actualizada no esté disponible hasta que el proxy pueda ser recodificado, lo que lleva a usuarios frustrados y a pérdida de productividad.

Una mejor manera: aislamiento del navegador en la nube

En la actualidad, cada vez más organizaciones recurren al aislamiento del navegador en la nube para evitar las limitaciones y los riesgos de rotura de los proxies inversos y, al mismo tiempo, permitir el uso seguro de dispositivos no gestionados sin agentes de punto final.

Cuando un usuario accede a una aplicación en la nube administrada, Zscaler Cloud Browser Isolation virtualiza la sesión y representa el contenido en un entorno aislado en la nube, enviando la sesión al usuario como una secuencia de píxeles. La experiencia del usuario es idéntica a la experiencia nativa de esa aplicación en la nube, salvo que CBI impide que los dispositivos no gestionados descarguen, copien, peguen o impriman los datos confidenciales que se encuentran en la aplicación.

Esto hace que CBI sea la forma ideal de fomentar la flexibilidad y la productividad de su amplia base de usuarios, a la vez que previene las filtraciones accidentales, la exfiltración maliciosa y la proliferación de malware a través de dispositivos no gestionados.

Zscaler Cloud Browser Isolation

Zscaler Cloud Browser Isolation proporciona una defensa inigualable contra la filtración de datos y las amenazas basadas en la web, impulsada por el aislamiento web de confianza cero más avanzado del sector.

Una experiencia de usuario inigualable
Obtenga conexiones a la velocidad de la luz a aplicaciones y sitios web con nuestra tecnología única de streaming de píxeles y arquitectura proxy directa a la nube. Los usuarios reciben un flujo de píxeles de alto rendimiento en su navegador, lo que ofrece seguridad sin reducir la productividad.

Protección consistente para los usuarios en cualquier lugar
Proteja a cualquier usuario, en cualquier dispositivo, en cualquier lugar con una política de aislamiento de confianza cero que abarca la sede central, los sitios móviles o remotos, y las funciones y departamentos en situación de mayor peligro de ataques.

Menos problemas de administración
Implemente y administre en cuestión de segundos, aprovechando Zscaler Client Connector o una opción sin agente para enrutar el tráfico a través de Zscaler Zero Trust Exchange™ con integración nativa de aislamiento del navegador en la nube.

Compatibilidad universal
Disfrute de la cobertura de todos los navegadores web más importantes para adaptarse a las preferencias de los usuarios. La persistencia de las cookies para sesiones aisladas mantiene intacta la configuración clave, las preferencias y la información de inicio de sesión de los usuarios.

More browsing, less worry