Risorse > Glossario dei termini sulla sicurezza > Che cos'è un proxy cloud?

Che cos'è un proxy cloud?

Un proxy cloud è un sistema con base cloud che risiede tra un client e un server web, un'applicazione SaaS o un data center. Agisce come intermediario tra il client e il server, fornendo un accesso sicuro alle risorse e proteggendo il server da malware e altre minacce.

Perché hai bisogno di un proxy cloud?

Un proxy cloud funziona per molti versi in modo analogo a un reverse proxy, in cui le richieste dei client passano attraverso il proxy cloud per raggiungere un indirizzo Internet e le risposte (ad esempio, l'autorizzazione ad accedere a una pagina web), passano nuovamente attraverso il proxy per arrivare ai client. Dato che questo tipo di proxy risiede sul cloud, non ha le limitazioni dell'hardware del data center, come invece avviene per i proxy convenzionali basati sugli apparecchi fisici.
 

I problemi dei proxy basati su apparecchi fisici

I server di reverse proxy tradizionali e i proxy HTTP sono ancora molto diffusi nei set di soluzioni di sicurezza di rete di oggi, ma i responsabili IT riportano sempre più frequentemente dei problemi di:

  • Latenza: i proxy devono operare inline per intercettare il traffico. L'instradamento seriale del traffico attraverso apparecchi con larghezza di banda limitata può aggiungere una latenza molto significativa alle richieste, in particolare per le distribuzioni aziendali on-premise, dando vita un'esperienza utente scadente.
  • Compatibilità: i proxy tradizionali sono soggetti a problemi di compatibilità con le applicazioni, perché non sono stati concepiti per supportare le modalità con cui le applicazioni RIA basate sul web eseguono l'autenticazione, le chiamate alle API, le richieste di servizio e molto altro ancora. Questo significa che bisogna eseguire ulteriori attività di risoluzione dei problemi.
  • Costo: il costo degli apparecchi proxy commerciali è troppo alto e sproporzionato rispetto al tipico budget IT, e la spesa sale ancora di più se un'organizzazione intende utilizzarli per ispezionare il traffico TLS/SSL, per cui alcuni fornitori possono arrivare a consigliare un numero di apparecchi aggiuntivi di otto volte superiore.
  • Memorizzazione nella cache: un tempo una funzione fondamentale di un'architettura proxy, la memorizzazione nella cache è ormai una caratteristica di tutti i browser web moderni. Per questo motivo, la memorizzazione nella cache basata sul web è ormai un'offerta secondaria.
     

I vantaggi di un proxy cloud

I proxy rappresentano ancora la soluzione giusta per le aziende che cercano di prevenire le minacce elusive senza compromettere l'esperienza utente, ma nell'era del cloud e della mobilità, le soluzioni basate su hardware non sono in grado di fornire questa funzionalità. Un'efficace architettura proxy con base cloud offre:

  • Sensibilità alle applicazioni a livello universale, comprese le applicazioni con base cloud, su qualsiasi porta, con una conseguente riduzione significativa dei problemi di compatibilità.
  • Scalabilità globale, per tenere il passo con utenti che sono in continuo movimento e spesso lontani dalla rete aziendale.
  • Significativi risparmi sui costi, rispetto ai costi tipici dei proxy con base hardware, con conseguente riduzione della spesa IT.
  • Esperienza utente ottimale, anche con l'ispezione TLS/SSL completa attivata, senza latenza rilevabile per gli utenti finali.
  • Nessuna visibilità sul server dall'esterno, grazie al supporto delle intestazioni XFF per le applicazioni che richiedono il vero indirizzo IP sorgente dell'utente.

La più efficace architettura proxy con base cloud fa parte di un'architettura di sicurezza completa, in grado di adattarsi a tutti parametri di riferimento per la conformità e la sicurezza, senza lasciare lacune che richiederebbero la risoluzione da parte di un'altra funzione o una terza parte (ad esempio un provider di servizi cloud).

Molte delle funzionalità dell'SASE utilizzeranno un modello proxy per entrare nel percorso dei dati e proteggere l'accesso. I fornitori di reti inline e di firewall aziendali tradizionali non hanno le competenze necessarie per costruire proxy inline distribuiti su scala, con il rischio che questa inesperienza si traduca in costi più elevati e/o prestazioni insufficienti per chi adotta l'SASE.

Gartner: Il futuro della sicurezza della rete è nel cloud

Come funziona un proxy cloud?

Inserendosi nel flusso del traffico, un proxy cloud si integra con il servizio di autenticazione di un'organizzazione (ad esempio, il single sign-on), ed è quindi in grado di funzionare inline senza agente. In questo modo è possibile offrire un'esperienza utente semplice, in cui il traffico in entrata verso app cloud gestite e altre entità analoghe viene reindirizzato in automatico verso il proxy cloud.

Diamo un'occhiata più da vicino a questo processo.

Un proxy cloud è in grado di proteggere i dati sensibili (ad es., dati PCI, PII) agendo come intermediario o sostituto del server su cui risiedono tali dati. Le richieste dei client vengono instradate prima verso il proxy cloud, quindi attraverso una porta specificata in un qualsiasi firewall idoneo, e in seguito verso il server dei contenuti, per poi tornare indietro alla fine. Il client e il server non comunicano mai direttamente, ma il client interpreta le risposte come se lo avessero fatto. Ecco i passaggi fondamentali:

  1. Il client invia una richiesta che il proxy cloud intercetta
  2. Il proxy cloud inoltra la richiesta in entrata a un firewall, se possibile
  3. Il firewall blocca la richiesta o la inoltra al server
  4. Il server invia la risposta attraverso il firewall al proxy
  5. Il proxy cloud invia la risposta al client

Grazie al supporto dell'elasticità del cloud, questo processo avviene praticamente in tempo reale, indipendentemente dal volume di traffico.

La sicurezza basata su proxy: un pilastro dell'architettura cloud first

Leggi il blog
leggi il blog

Perché i proxy e i firewall sono essenziali nel panorama delle minacce moderne

Leggi il blog
leggi il blog

Una panoramica sul modello SASE di Zscaler

Leggi l'informativa sulla soluzione
Leggi l'informativa sulla soluzione

Il proxy cloud di Zscaler

Per fornire un accesso a Internet semplice, sicuro e conforme e offrire un'esperienza ottimale a tutti gli utenti, indipendentemente da dispositivo, sistema operativo, rete e posizione, la soluzione ideale è un'architettura proxy con base cloud.

La nostra comprovata architettura basata su proxy e in cloud costituisce le fondamenta di Zscaler Internet Access™, una soluzione Security Service Edge (SSE) nativa del cloud, frutto di un decennio di leadership nel campo dei secure web gateway. Offerta come piattaforma SaaS scalabile e basata sul security cloud più grande del mondo, sostituisce le soluzioni di sicurezza di rete legacy per bloccare gli attacchi avanzati e prevenire la perdita dei dati adottando un approccio zero trust completo.

Zscaler Internet Access fa parte di Zero Trust Exchange™ di Zscaler, una piattaforma di sicurezza completa e nativa del cloud.

Scopri di più su Zscaler Internet Access.

Molte delle funzionalità dell'SASE utilizzeranno un modello proxy per entrare nel percorso dei dati e proteggere l'accesso. I fornitori di reti inline e di firewall aziendali tradizionali non hanno le competenze necessarie per costruire proxy inline distribuiti su scala, con il rischio che questa inesperienza si traduca in costi più elevati e/o prestazioni insufficienti per chi adotta l'SASE.

Gartner: Il futuro della sicurezza della rete è nel cloud

Casi d'uso del proxy cloud

L'architettura proxy con base cloud di Zscaler fornisce la copertura del reverse proxy per tutto il traffico, un elemento fondamentale del CASB (Cloud Access Security Broker) all'interno del modello SSE (Security Service Edge).

In quanto parte di un'infrastruttura SSE, la nostra architettura proxy con base cloud supporta le organizzazioni offrendo:
 

Protezione dei dispositivi non gestiti

Molti dei dipendenti potrebbero utilizzare dispositivi diversi per svolgere il proprio lavoro, compresi quelli personali. Inoltre, molti fornitori, partner e clienti potrebbero aver bisogno di accedere alle applicazioni interne dai loro dispositivi non gestiti, il che rappresenta un rischio per la sicurezza.

È possibile installare degli agenti per gestire i dispositivi di proprietà dell'organizzazione, ma per gli endpoint non gestiti la situazione è un po' diversa. Le terze parti non permettono di installare agenti sui loro endpoint, e molti dipendenti non vogliono installare agenti sui propri dispositivi personali. La nostra architettura proxy offre invece una protezione senza agente contro la perdita di dati e i malware da qualsiasi dispositivo non gestito che acceda alle applicazioni e alle risorse cloud.
 

Protezione dati

L'architettura proxy di Zscaler è in grado di applicare policy per prevenire la perdita di dati impedendo l'upload o il download accidentale o intenzionale di informazioni sensibili dalle app cloud autorizzate. Poiché opera inline e ispeziona tutto il traffico, anche quello criptato, è in grado di garantire che i dati caricati o scaricati rispettino le policy aziendali.
 

Prevenzione delle minacce

Un file infetto in un servizio cloud può diffondersi alle app e ai dispositivi collegati, soprattutto se non gestiti. Impedendo gli upload o i download di file infetti dalle risorse cloud senza la necessità di installare agenti, la nostra architettura proxy offre una protezione dalle minacce avanzate contro malware e ransomware.

Per sua natura, la nostra architettura nasconde inoltre i server e i relativi indirizzi IP dai client, che a sua volta consente di proteggere le risorse web da minacce come attacchi DDoS (Distributed Denial of Service).
 

Bilanciamento del carico

Il proxy di Zscaler può essere utilizzato per gestire le richieste dei client che altrimenti potrebbero sovraccaricare un singolo server, favorendo l'alta disponibilità e ottimizzando i tempi di caricamento con la distribuzione delle richieste in modo uniforme tra i server.