Risorse > Glossario dei termini sulla sicurezza > Che cos'è un forward proxy

Che cos'è un forward proxy?

Che cos'è un forward proxy?

Come suggerisce il nome, un forward proxy, o proxy di inoltro (spesso chiamato semplicemente proxy), agisce come un intermediario che svolge un compito per un'altra entità. In particolare, questo proxy funge da intermediario tra uno i più dispositivi utente e Internet. Il dispositivo non si connette quindi direttamente a una destinazione web, ma è il proxy a connettersi alla destinazione al suo posto, valutando le richieste in uscita e agendo su di esse prima di trasferirle alla destinazione esterna. Quando la destinazione restituisce la comunicazione la invia al proxy, che la ispeziona, prende le misure necessarie e, se la comunicazione è legittima, la inoltra al dispositivo di origine.

Un forward proxy è molto più di un controllore del traffico; infatti, in quanto intermediario, il valore del proxy per la sicurezza risiede nella sua capacità di proteggere gli utenti dall'accesso diretto a entità dannose o dagli utenti malintenzionati, e di impedire a questi ultimi di compromettere i dati e le risorse aziendali, sia che ciò avvenga intenzionalmente che involontariamente. Agisce inline, e questo significa che si trova direttamente nel flusso del traffico, e consente a un'azienda di identificare eventuali problemi per la sicurezza e applicare le policy necessarie in tempo reale. I proxy sono buffer che aiutano a mantenere le applicazioni e i dati al sicuro dai danni, siano essi il risultato di errori incauti dell'utente o di esfiltrazioni di dati e malware.

Sebbene molti conoscano il firewall come strumento di protezione dei sistemi dalle minacce esterne, un forward proxy si differenzia dal firewall per alcuni aspetti importanti. I firewall utilizzano un approccio passthrough, che significa che il traffico viene inoltrato al destinatario contemporaneamente all'ispezione del relativo contenuto. Se il traffico contiene malware o altre minacce, il firewall invierà un avviso, ma quando l'avviso verrà ricevuto potrebbe essere già troppo tardi. Un proxy, invece, inoltra il traffico solo dopo aver analizzato il contenuto e aver emesso un verdetto che lo indichi come "sicuro". 

Un'altra differenza fondamentale consiste nella capacità del proxy di ispezionare il traffico criptato (se il proxy è distribuito sul cloud e non sotto forma di apparecchio fisico). La maggior parte del traffico di oggi è criptata, ed è quindi fondamentale avere visibilità su questo tipo di traffico. Tuttavia, il processo di decriptazione, ispezione e ricriptazione del traffico richiede numerosi calcoli, e i firewall basati su apparecchi fisici non sono all'altezza di questo compito.

Sempre più spesso, quando si parla di forward proxy, lo si fa in relazione alle soluzioni CASB (Cloud Access Security Broker). I CASB sono strumenti di sicurezza sul cloud che possono essere implementati in modalità forward proxy; questo significa che il software installato sul dispositivo di ciascun utente inoltra il traffico a un punto di ispezione sul cloud che applica le policy di sicurezza in tempo reale, mentre gli utenti interagiscono con le risorse cloud, come applicazioni SaaS e piattaforme IaaS. Con l'aumento dell'adozione di app SaaS e del lavoro da remoto, l'utilizzo della funzione di forward proxy con base cloud di un CASB (rispetto a un firewall o a un dispositivo proxy on-premise o distribuito virtualmente) diventa sempre più importante, sia per la sicurezza che per la produttività aziendale.

 

Perché oggi è necessario un forward proxy

L'Internet gateway legacy impiegava strumenti come i firewall per creare una barriera tra la rete e Internet, ed era progettato per impedire alle entità dannose di infiltrarsi. Faceva parte del "perimetro" sicuro, creato per proteggere la rete e tutto ciò che conteneva: applicazioni, dati, server, PC, altri dispositivi e gli utenti stessi. Tuttavia, le applicazioni si sono spostate sul cloud, e la maggior parte degli utenti non si trova più sulla rete, ma si collega da casa, da località lontane, dai bar, o qualsiasi altro luogo. Di conseguenza, il modello del perimetro di sicurezza è diventato obsoleto.

Quindi, cosa dovrebbe fare un'azienda quando i dipendenti si connettono da qualsiasi luogo ad applicazioni SaaS e private e ai dati sui cloud pubblici, come AWS e Azure? Se l'azienda si attiene al modello tradizionale, l'utente si connette attraverso una rete privata virtuale (VPN) al data center, che poi invia il traffico attraverso il set di soluzioni di sicurezza del gateway in uscita verso la destinazione cloud; successivamente, il traffico di ritorno compie lo stesso viaggio al contrario. Questo approccio crea una serie di rischi potenziali per l'organizzazione (vedi le sezioni sulla VPN e la superficie di attacco) e un'esperienza online decisamente scadente per l'utente.

I dipendenti che lavorano dalle filiali usufruiscono di un'esperienza altrettanto scadente, perché il loro traffico subisce il backhauling verso un data center centrale tramite collegamenti MPLS privati, e solo in seguito passa attraverso il gateway e raggiunge il cloud (con un altro lungo viaggio di ritorno).

Le applicazioni cloud sono state progettate per essere accessibili in modo diretto, attraverso il percorso più breve, e per offrire un'esperienza veloce e produttiva. Gli apparecchi fisici che consentono il passthrough non sono efficienti in questo contesto. Per connessioni veloci, dirette e sicure, è necessario utilizzare un forward proxy che sfrutti le prestazioni e la scalabilità del cloud.

 

Cossa fanno i forward proxy per le organizzazioni? 

Una strategia di sicurezza costruita su un'architettura proxy con base cloud è fondamentale per le organizzazioni che si spostano sul cloud. Ecco alcuni dei principali casi d'uso che possono essere d'interesse per le organizzazioni che desiderano adottare il forward proxy (e il CASB in particolare):

 

Scoperta di Shadow IT

L'utilizzo del cloud è distribuito tra applicazioni SaaS, gruppi di utenti e sedi diverse. Le app non autorizzate (note anche come shadow IT) sono sempre più utilizzate, e mantenere la visibilità su ciò a cui accedono gli utenti è difficile, se non impossibile, senza le giuste soluzioni. Fortunatamente, un forward proxy offre la funzionalità CASB per il rilevamento dello shadow IT, ispezionando tutto il traffico proveniente dai dispositivi degli utenti e consentendo all'IT di identificare le app non autorizzate e di amministrare l'accesso a esse singolarmente o per categoria.

 

Protezione dati

Le applicazioni SaaS sono concepite per consentire una condivisione rapida e semplice, ed è comune che gli utenti carichino inavvertitamente o sbadatamente dei dati aziendali critici in luoghi inappropriati che l'IT preferirebbe evitare. Un forward proxy con base cloud agisce inline e dispone della scalabilità necessaria per ispezionare tutto il traffico, ed è il modo migliore per impedire agli utenti di caricare informazioni sensibili in destinazioni cloud rischiose (sia che lo facciano accidentalmente o intenzionalmente).

 

Prevenzione delle minacce

Oltre a rappresentare una strada interessante per l'esfiltrazione dei dati, se lasciate non ispezionate, le applicazioni SaaS possono essere un condotto per la propagazione dei malware; inoltre, la funzionalità di condivisione rapida può essere manomessa per distribuire dei file infetti all'interno e tra le organizzazioni. Un forward proxy impedisce l'upload di file infetti sulle risorse cloud, consentendo a tecnologie come la protezione dalle minacce avanzate ( ATP) e la sandbox cloud di operare inline in modo da intercettare le minacce in transito.

 

Come scegliere un forward proxy 

Per molti aspetti, i forward proxy non hanno una buona reputazione. Sono noti per essere costosi e molto complessi da configurare e gestire, possono aggiungere latenza e creare un'esperienza negativa per l'utente. Inoltre, se un proxy subisce dei periodi di inattività, può causare un'interruzione significativa delle operazioni aziendali. Questo è dovuto al fatto che i proxy, storicamente, sono sempre stati distribuiti sotto forma di dispositivi fisici o virtuali.

Se forniti sul cloud, invece, i forward proxy sono estremamente vantaggiosi per la sicurezza, e non presentano nessuno degli svantaggi delle loro controparti basate su apparecchi fisici. Un'architettura proxy con base cloud elimina le spese associate all'acquisto e alla manutenzione degli apparecchi, e si adatta alle crescenti esigenze di traffico. Questa capacità di fornire una scalabilità senza precedenti risolve anche la sfida cruciale dell'ispezione del traffico criptato per individuare minacce e fughe di dati, che, come già detto, è un'attività che richiede molte risorse di calcolo. Il giusto forward proxy consente di:

  • Tutelare uniformemente i dati (e proteggere dalle minacce) su tutti i canali dei dati cloud, attraverso una policy unica e semplice.
  • Ottenere una sicurezza unificata nell'ambito di una soluzione SASE che supporta la più ampia varietà di casi d'uso di CASB, secure web gateway e ZTNA, per proteggere rispettivamente l'accesso alle applicazioni cloud, al web e alle risorse interne.
  • Semplificare l'ecosistema IT attraverso un'architettura unica e con base cloud, che consente di abbandonare l'uso degli apparecchi fisici e fornisce queste funzionalità senza ricorrere a configurazioni complesse, come ad esempio il concatenamento dei proxy.

Perché scegliere Zscaler?

Quando si sceglie un forward proxy, o un CASB in particolare, è importante scegliere un provider affidabile che offra una soluzione integrata e testata e sia un'eccellenza nel campo della sicurezza. Zscaler offre una soluzione basata su un'architettura proxy nativa del cloud, che fornisce tutti i vantaggi menzionati in precedenza. Gestisce il security cloud inline più grande del mondo, che conta 150 data center distribuiti in 6 continenti che servono clienti in 185 Paesi, ed elabora 160 miliardi di transazioni ogni giorno.

Zscaler offre una soluzione progettata per massimizzare le prestazioni e che instrada il traffico in modo intelligente verso il data center più vicino, dove le soluzioni dell'azienda effettuano il peering con molte delle principali applicazioni, tra cui Microsoft 365, Zoom e Salesforce, per ridurre al minimo la distanza tra gli utenti e le loro app. Questo miglioramento nelle prestazioni consente di ottenere un'esperienza utente ottimale e di aumentare la produttività aziendale. 

Zscaler offre funzionalità CASB all'avanguardia per proteggere le applicazioni cloud aziendali dai rischi, come l'Exact Data Match (EDM), la prevenzione della perdita di dati (DLP), la sandbox cloud e la protezione dalle minacce avanzate (ATP). Allo stesso tempo, offre prodotti SWG e ZTNA eccellenti e perfettamente integrati, per fornire una sicurezza completa attraverso una sola piattaforma, in linea con il framework SASE come definito da Gartner.

Dato che Zscaler fornisce una sicurezza uniforme in tutto l'ecosistema IT e ovunque gli utenti si connettano, migliaia di organizzazioni sono in grado di intraprendere in modo sicuro la trasformazione digitale e di supportare il lavoro da qualsiasi luogo, sia per i dipendenti in remoto che per coloro in modalità ibrida. 

Che cos'è un proxy cloud?

Per saperne di più
Che cos'è un proxy cloud?

La sicurezza basata su proxy: un pilastro dell'architettura cloud first

Leggi il blog
La sicurezza basata su proxy: un pilastro dell'architettura cloud first

I principali casi d'uso del CASB

Leggi l'eBook
I principali casi d'uso del CASB

Perché i firewall di nuova generazione non potranno mai essere dei proxy: l'architettura giusta fa la differenza

Leggi il blog
Perché i firewall di nuova generazione non potranno mai essere dei proxy: l'architettura giusta fa la differenza