What Is a Reverse Proxy?

A reverse proxy is a server, app, or cloud service that sits in front of one or more web servers to intercept and inspect incoming client requests before forwarding them to the web server and subsequently returning the server’s response to the client. This supports security, scalability, and performance for websites, cloud services, and content delivery networks (CDNs). Reverse proxy as a cloud service is one of the deployment modes of a cloud access security broker (CASB) , designed to provide inline, real-time security for cloud-based apps, infrastructure, and other resources. Read more .

What’s the Difference Between a Reverse Proxy and a Forward Proxy?

By sitting in front of a web server, a reverse proxy ensures no clients communicate directly with the server. A forward proxy (another CASB mode) sits in front of client endpoints to intercept incoming requests and ensure no servers communicate directly with a client. These may sound functionally similar, but forward proxies usually depend on a software agent installed on endpoints to forward traffic, while reverse proxies do not. Read more .

What Is a Reverse Proxy Server?

“Reverse proxy server” is essentially a more formal term for a reverse proxy. (The same is true of “forward proxy server” for a forward proxy.) Today, we tend to drop “server” because it calls to mind hardware—like a physical box—whereas the technology often takes the form of an application or cloud service. Read more .

How Does a Reverse Proxy Work?

A reverse proxy can protect sensitive data (e.g., PCI data, PII) by acting as a middleman or stand-in for the server on which that data resides. Client requests are routed first to the reverse proxy, then through a specified port in any applicable firewall, and then to the content server—and finally, back again. The client and the server never communicate directly, but the client interprets responses as if they had. Here are the basic steps: Client sends a request, which the reverse proxy intercepts Reverse proxy forwards the incoming request to the firewall a. The reverse proxy can be configured to respond directly to requests for files in its cache without communicating with the server—see more detail on this in the use cases Firewall either blocks the request or forwards it to the server Server sends response through the firewall to the proxy Reverse proxy sends the response to the client Read more .

Reverse Proxy 4 Use Cases

Common specific use cases for reverse proxies include: Securing Unmanaged Devices Data Protection Threat Prevention Load Balancing Read more .

Benefits of Using a Reverse Proxy

With those use cases in mind, the advantages of using a reverse proxy fall into three main areas: Data security and threat prevention: Reverse proxies provide web application firewall (WAF) functionality by monitoring and filtering traffic (including encrypted traffic) between managed and unmanaged endpoints and the web server, protecting it from SQL injection, cross-site scripting, and more. Scalability and resource management: This is a two-part benefit. Reverse proxies support operational scale by eliminating the need to install agents on every user endpoint before you can offer secure access to managed resources. They also support infrastructure scale through load balancing capabilities for resources in high demand. Performance and productivity: Cloud-based reverse proxies can analyze and apply security policies to traffic, including remote user traffic, without backhauling it through your data center. They also have effectively unlimited scale for inspecting TLS/SSL traffic (the majority of today’s traffic), whereas appliance-based firewalls and proxies can rarely inspect TLS/SSL encryption without major performance drops. Read more .

Challenges with Reverse Proxies

Reverse proxies offer notable security benefits when it comes to securing unmanaged devices and enterprise applications, but they bring notable shortcomings, too, such as: No security for unmanaged resources: If a user needs secure access to an app or resource that’s not integrated with your SSO, it’s outside a reverse proxy’s purview. Reverse proxies only monitor traffic destined for sanctioned resources, not all traffic—to secure unsanctioned resources in the same way, you’ll need a forward proxy. Risk of frequent breakage: Reverse proxies are typically hardcoded to work with specific versions of applications, so when an application is updated and new code is sent to the proxy, it can break. This can make the updated application unavailable until the proxy can be recoded, which leads to frustrated users and lost productivity. Read more .

Recursos > Glosario de términos de seguridad > Qué es un proxy inverso

¿Qué es un proxy inverso?

Definición de proxy inverso

Un proxy inverso es un servidor, una aplicación o un servicio en la nube que se encuentra delante de uno o más servidores web para interceptar e inspeccionar las solicitudes entrantes de los clientes antes de reenviarlas al servidor web y, posteriormente, devolver la respuesta del servidor al cliente. Esto fomenta la seguridad, la escalabilidad y el rendimiento para sitios web, servicios en la nube y redes de entrega de contenido (CDN).

El proxy inverso como servicio en la nube es uno de los modos de despliegue de un agente de seguridad de acceso a la nube (CASB), diseñado para proporcionar seguridad en línea y en tiempo real para aplicaciones, infraestructuras y otros recursos basados en la nube.

¿Cuál es la diferencia entre un proxy inverso y un proxy de reenvío?

Es fácil confundir estos dos tipos de servidores proxy, así que vamos a analizarlos detalladamente.

Al situarse ante un servidor web, un proxy inverso garantiza que ningún cliente se comunique directamente con el servidor. Un proxy de reenvío (otro modo de CASB) se sitúa ante los puntos finales del cliente para interceptar las solicitudes entrantes y garantizar que ningún servidor se comunique directamente con un cliente. Pueden sonar funcionalmente similares, pero los proxies de reenvío generalmente dependen de un agente de software instalado en los extremos para reenviar tráfico, mientras que los proxies inversos no.

¿Qué es un servidor proxy inverso?

"Servidor proxy inverso" es esencialmente un término más formal para un proxy inverso. (Lo mismo ocurre con "servidor proxy de reenvío" para un proxy de reenvío). Hoy en día, tendemos a no incluir el término "servidor" porque parece sugerir hardware, como una caja física, mientras que es una tecnología que a menudo toma la forma de una aplicación o servicio en la nube.

¿Cómo funciona un proxy inverso?

Situado en el flujo de tráfico, un proxy inverso se integra con el servicio de autenticación de una organización (por ejemplo, el inicio de sesión único). Una vez que los servicios y las aplicaciones están configurados para realizar transacciones con el proxy inverso, éste puede operar en línea sin agente. Esto ofrece una experiencia de usuario sencilla, ya que el tráfico entrante a aplicaciones en la nube gestionadas y similares es redirigido automáticamente al proxy inverso.

Veamos este proceso con más detalle.

Un proxy inverso puede proteger los datos confidenciales (por ejemplo, datos PCI, PII) actuando como intermediario o interlocutor para el servidor en el que residen dichos datos. Las solicitudes de los clientes se envían primero al proxy inverso, luego a través de un puerto especificado en cualquier cortafuegos aplicable, posteriormente al servidor de contenido, y finalmente, se devuelven. El cliente y el servidor nunca se comunican directamente, pero el cliente interpreta las respuestas como si lo hubieran hecho. Estos son los pasos básicos:

El cliente envía una solicitud, que el proxy inverso intercepta
El proxy inverso reenvía la solicitud entrante al cortafuegos
a. El proxy inverso se puede configurar para responder directamente a las solicitudes de archivos en su caché sin tener que comunicarse con el servidor. Consulte más detalles en los casos de uso.
El cortafuegos bloquea la solicitud o la reenvía al servidor
El servidor envía la respuesta a través del cortafuegos al proxy
El proxy inverso envía la respuesta al cliente

El proxy inverso también puede examinar las respuestas del servidor en busca de información que podría permitir a un hacker redirigir a recursos internos protegidos o aprovechar otras vulnerabilidades.

Casos de uso de proxy inverso

El proxy inverso, como modo de implementación CASB, es esencial para el modelo de perímetro de servicio de seguridad (SSE) junto con la puerta de enlace web segura (SWG), el acceso a la red de confianza cero (ZTNA) y otros servicios de seguridad entregados en la nube.

Más allá del SSE, los casos de uso específicos comunes de proxies inversos incluyen:

Proteger a los dispositivos no gestionados

Muchos de sus empleados pueden usar varios dispositivos para trabajar, incluidos los personales. Más allá de eso, muchos proveedores, socios y clientes pueden necesitar acceso a sus aplicaciones internas en sus propios dispositivos no gestionados, lo que supone un riesgo para su seguridad.

Puede instalar agentes para gestionar los dispositivos que posee su organización, pero los puntos finales no gestionados son una historia diferente. Los terceros tampoco le permitirán instalar agentes en sus terminales y muchos empleados tampoco quieren agentes en sus dispositivos personales. En cambio, un proxy inverso ofrece protección sin agentes contra la filtración de datos y el malware desde cualquier dispositivo no gestionado que acceda a sus aplicaciones y recursos en la nube.

Protección de datos

Un proxy inverso puede aplicar políticas de prevención de pérdida de datos para evitar la carga o descarga accidental o intencionada de información confidencial hacia o desde aplicaciones en la nube sancionadas. Dado que funciona en línea e inspecciona el tráfico cifrado (especialmente un proxy inverso basado en la nube), puede garantizar que los datos cargados o descargados se ajusten a sus políticas.

Prevención de amenazas

Un archivo infectado en un servicio en la nube puede propagarse a aplicaciones y dispositivos conectados, especialmente a dispositivos no gestionados. Al impedir la carga o descarga sin agentes de archivos infectados hacia o desde los recursos de la nube, un proxy inverso proporciona protección avanzada frente a amenazas contra el malware y el ransomware.

Por naturaleza, los proxies inversos también ocultan los servidores y sus direcciones IP a los clientes, lo que protege los recursos web de amenazas como la denegación de servicio distribuida (ataques DDoS).

Equilibrio de carga

Los proxies inversos pueden utilizarse para gestionar las solicitudes de los clientes que, de otro modo, podrían sobrecargar a un único servidor con una gran demanda, lo que favorece una alta disponibilidad y mejores tiempos de carga al eliminar la presión del servidor backend. Lo hacen principalmente de dos maneras diferentes:

Un proxy inverso puede almacenar en caché contenido de un servidor de origen en almacenamiento temporal y, a continuación, enviar el contenido a los clientes que lo soliciten sin realizar más transacciones con el servidor (esto se denomina aceleración web). El DNS se puede utilizar para enrutar solicitudes de manera uniforme entre múltiples proxies inversos.
Si un sitio web de gran tamaño u otro servicio web utiliza varios servidores de origen, un proxy inverso puede distribuir las peticiones entre ellos para garantizar una carga uniforme del servidor.

Ventajas de utilizar un proxy inverso

Teniendo en cuenta esos casos de uso, las ventajas de utilizar un proxy inverso se manifiestan en tres áreas principales:

Seguridad de datos y prevención de amenazas: los proxies inversos proporcionan funcionalidad de cortafuegos de aplicaciones web (WAF) mediante la supervisión y el filtrado de tráfico (incluido el tráfico cifrado) entre puntos finales gestionados y no gestionados y el servidor web, protegiéndolo de inyecciones SQL, scripts entre sitios y mucho más.
Escalabilidad y gestión de recursos: este es un beneficio doble. Los proxies inversos facilitan la escala operativa al eliminar la necesidad de instalar agentes en cada punto final del usuario antes de poder ofrecer un acceso seguro a los recursos gestionados. También facilitan la escala de la infraestructura a través de las capacidades de equilibrio de carga para los recursos de alta demanda.
Rendimiento y productividad: los proxies inversos basados en la nube pueden analizar y aplicar políticas de seguridad al tráfico, incluido el de los usuarios remotos, sin tener que retornarlo a través de su centro de datos. También tienen una escala efectivamente ilimitada para inspeccionar el tráfico TLS/SSL (la mayor parte del tráfico actual), mientras que los cortafuegos basados en dispositivos y los proxies rara vez pueden inspeccionar el cifrado TLS/SSL sin grandes caídas de rendimiento.

Desafíos con proxies inversos

Los proxies inversos ofrecen beneficios de seguridad notables cuando se trata de proteger los dispositivos no gestionados y las aplicaciones empresariales, pero también presentan deficiencias notables, como:

No ofrecen seguridad para los recursos no gestionados: si un usuario necesita acceso seguro a una aplicación o recurso que no está integrado con su SSO, está fuera de la búsqueda de un proxy inverso. Los proxies inversos solo supervisan el tráfico destinado a recursos sancionados, no todo el tráfico; para proteger los recursos no sancionados de la misma manera, necesitará un proxy de reenvío.
Riesgo de rotura frecuente: los proxies inversos suelen estar codificados para funcionar con versiones específicas de aplicaciones, por lo que, cuando una aplicación se actualiza y se envía nuevo código al proxy, éste puede romperse. Esto puede hacer que la aplicación actualizada no esté disponible hasta que el proxy pueda ser recodificado, lo que lleva a usuarios frustrados y a pérdida de productividad.

Una mejor manera: aislamiento del navegador en la nube

En la actualidad, cada vez más organizaciones recurren al aislamiento del navegador en la nube para evitar las limitaciones y los riesgos de rotura de los proxies inversos y, al mismo tiempo, permitir el uso seguro de dispositivos no gestionados sin agentes de punto final.

Cuando un usuario accede a una aplicación en la nube administrada, Zscaler Cloud Browser Isolation virtualiza la sesión y representa el contenido en un entorno aislado en la nube, enviando la sesión al usuario como una secuencia de píxeles. La experiencia del usuario es idéntica a la experiencia nativa de esa aplicación en la nube, salvo que CBI impide que los dispositivos no gestionados descarguen, copien, peguen o impriman los datos confidenciales que se encuentran en la aplicación.

Esto hace que CBI sea la forma ideal de fomentar la flexibilidad y la productividad de su amplia base de usuarios, a la vez que previene las filtraciones accidentales, la exfiltración maliciosa y la proliferación de malware a través de dispositivos no gestionados.

Zscaler Cloud Browser Isolation

Zscaler Cloud Browser Isolation proporciona una defensa inigualable contra la filtración de datos y las amenazas basadas en la web, impulsada por el aislamiento web de confianza cero más avanzado del sector.

Una experiencia de usuario inigualable
Obtenga conexiones a la velocidad de la luz a aplicaciones y sitios web con nuestra tecnología única de streaming de píxeles y arquitectura proxy directa a la nube. Los usuarios reciben un flujo de píxeles de alto rendimiento en su navegador, lo que ofrece seguridad sin reducir la productividad.

Protección consistente para los usuarios en cualquier lugar
Proteja a cualquier usuario, en cualquier dispositivo, en cualquier lugar con una política de aislamiento de confianza cero que abarca la sede central, los sitios móviles o remotos, y las funciones y departamentos en situación de mayor peligro de ataques.

Menos problemas de administración
Implemente y administre en cuestión de segundos, aprovechando Zscaler Client Connector o una opción sin agente para enrutar el tráfico a través de Zscaler Zero Trust Exchange™ con integración nativa de aislamiento del navegador en la nube.

Compatibilidad universal
Disfrute de la cobertura de todos los navegadores web más importantes para adaptarse a las preferencias de los usuarios. La persistencia de las cookies para sesiones aisladas mantiene intacta la configuración clave, las preferencias y la información de inicio de sesión de los usuarios.

Compruébelo usted mismo

Para saber más, lea la ficha técnica de Zscaler Cloud Browser Isolation.

Si está listo para echar un vistazo más de cerca, puede registrarse para una prueba de 30 días.

Recursos adicionales

Publicación del blog: Lo que necesita saber para proteger el uso de dispositivos propios y superar los quebraderos de cabeza del proxy inverso
Publicación del blog: Por qué los cortafuegos de próxima generación nunca pueden ser proxies: la arquitectura adecuada importa
Libro electrónico: Los principales casos de uso de CASB

Zscaler adquiere Shift-right para la automatización del flujo de trabajo

¿Qué es un proxy inverso?

Definición de proxy inverso

¿Cuál es la diferencia entre un proxy inverso y un proxy de reenvío?

¿Qué es un servidor proxy inverso?

¿Cómo funciona un proxy inverso?

Casos de uso de proxy inverso

Proteger a los dispositivos no gestionados

Protección de datos

Prevención de amenazas

Equilibrio de carga

Ventajas de utilizar un proxy inverso

¿Qué es un proxy de reenvío?

¿Qué es un proxy en la nube ?

Zscaler Cloud Browser Isolation

Desafíos con proxies inversos

Una mejor manera: aislamiento del navegador en la nube

Zscaler Cloud Browser Isolation

Compruébelo usted mismo

Recursos adicionales