Ressources > Glossaire des termes de sécurité > Qu’est-ce qu’un proxy direct

Qu’est-ce qu’un proxy direct ?

Qu’est-ce qu’un proxy direct ?

Comme son nom l’indique, un proxy direct (souvent appelé simplement proxy) agit comme un courtier qui exécute une tâche pour une autre entité. Plus précisément, un tel proxy sert d’intermédiaire entre l’appareil d’un utilisateur (ou plusieurs appareils d’un utilisateur) et Internet. Plutôt que de se connecter directement à une destination web, un appareil se connecte au proxy qui se connecte ensuite à la destination en son nom, évaluant les demandes sortantes et prenant des mesures à leur égard avant de les relayer à la destination externe. Lorsque la destination renvoie la communication, elle l’envoie au proxy, qui l’inspecte, prend les mesures nécessaires et la transmet à l’appareil d’origine, le cas échéant.

Un proxy direct est bien plus qu’un contrôleur de trafic ; en tant qu’intermédiaire, la valeur du proxy en matière de sécurité réside dans sa capacité à protéger les utilisateurs d’un accès direct, intentionnel ou non, avec des acteurs malveillants, et d’empêcher ces derniers de compromettre les données et les ressources de l’entreprise. Il fonctionne inline, c’est-à-dire qu’il se trouve directement dans le flux du trafic, ce qui permet à une entreprise d’identifier tout problème de sécurité et d’appliquer les politiques appropriées en temps réel. Les proxies sont des tampons qui contribuent à protéger les applications et les données contre toute atteinte, que celle-ci résulte d’une erreur d’un utilisateur négligent ou d’une exfiltration malveillante de données ou encore de logiciels malveillants.

Si la plupart d’entre nous sont familiers avec le pare-feu en tant que moyen de protection des systèmes contre les menaces extérieures, un proxy direct diffère du pare-feu sur des points importants. Les pare-feu utilisent une approche de type « passthrough », ce qui signifie que le trafic est transmis au destinataire final pendant que son contenu est inspecté. S’il s’avère que le trafic contient des logiciels malveillants ou d’autres menaces, le pare-feu envoie une alerte, mais celle-ci risque d’être reçue trop tard. Un proxy, en revanche, ne transmet pas le trafic tant que son contenu n’a pas été analysé et qu’un verdict « sûr » n’a pas été rendu. 

Une autre différence essentielle est la capacité du proxy à inspecter le trafic chiffré (du moins lorsqu’un tel proxy est déployé dans le cloud plutôt que sous forme d’appliance). La majeure partie du trafic est désormais chiffrée, et il est essentiel de disposer d’une visibilité sur ce trafic. Cependant, le processus de déchiffrement, d’inspection et de rechiffrement du trafic est gourmand en ressources informatiques, et les pare-feu basés sur des appliances ne sont pas en mesure de répondre à cette demande.

Les personnes qui abordent les proxy directs le font de plus en plus souvent en relation avec les CASB (Cloud Access Security Brokers). Les CASB sont des outils de sécurité cloud qui peuvent être déployés en mode proxy direct, ce qui signifie que le logiciel installé sur l’appareil de chaque utilisateur transmet le trafic à un point d’inspection dans le cloud qui applique des politiques de sécurité en temps réel lorsque les utilisateurs interagissent avec les ressources basées sur le cloud telles que les applications SaaS et les plateformes IaaS. À mesure que l’adoption des applications SaaS et du télétravail se généralise, l’utilisation du proxy direct basé sur le cloud d’un CASB (par opposition à un pare-feu ou à une appliance proxy sur site ou déployée virtuellement) devient de plus en plus cruciale pour la sécurité et la productivité de l’entreprise.

 

Pourquoi un proxy direct est-il désormais indispensable ?

La passerelle Internet traditionnelle utilisait des outils tels que les pare-feu pour créer une barrière entre le réseau et Internet et était conçue pour empêcher les éléments indésirables d’y pénétrer. Elle faisait partie du « périmètre » sécurisé, créé pour protéger le réseau et tout ce qu’il contient : applications, données, serveurs, PC, autres appareils et les utilisateurs eux-mêmes. Mais les applications ont migré vers le cloud et la plupart des utilisateurs ont quitté le réseau. Ils se connectent désormais depuis leur domicile, des sites distants, des cafés : de n'importe où. En conséquence, le modèle de périmètre de sécurité est devenu obsolète.

Comment une entreprise dont les employés se connectent de n'importe où à des applications SaaS et privées ainsi qu’à des données dans des clouds publics, comme AWS et Azure, doit-elle réagir ? Si l’entreprise s’en tient au modèle traditionnel, l’utilisateur se connecte par le biais d’un réseau privé virtuel (VPN) au data center, qui envoie ensuite le trafic à travers la pile de sécurité de la passerelle sortante jusqu’à la destination cloud ; après quoi, le trafic revient en sens inverse. Cette approche crée une série de risques potentiels pour l’entreprise (voir VPN, surface d’attaque) et elle crée une expérience inline épouvantable pour l’utilisateur.

Les employés des filiales connaissent une expérience tout aussi médiocre, car leur trafic est renvoyé vers un data center central par des liaisons MPLS privées avant de passer par la passerelle et de sortir vers le cloud (avec un nouveau long trajet en retour).

Les applications cloud ont été conçues pour être accessibles directement, via le chemin le plus court, pour une expérience rapide et productive. Les appliances du data center qui autorisent le passthrough ne sont tout simplement pas adaptées à cette tâche. Pour des connexions rapides, directes et sécurisées, vous devez utiliser un proxy direct qui exploite les performances et l’évolutivité du cloud.

 

À quelles fins les entreprises utilisent-elles des proxy directs ? 

Une stratégie de sécurité bâtie sur une architecture de proxy basée sur le cloud est essentielle pour les entreprises qui migrent vers le cloud. Voici quelques cas d’utilisation essentiels pour les entreprises qui souhaitent adopter le proxy direct (et le CASB en particulier) :

 

Découverte de l'informatique fantôme

L’utilisation du cloud est répartie entre les applications SaaS, les groupes d’utilisateurs et les différents emplacements. Les applications non approuvées (également connues sous le nom d’informatique fantôme) abondent, mais maintenir une visibilité sur ce à quoi les utilisateurs accèdent est difficile, voire impossible, sans les bonnes solutions. Heureusement, un proxy direct assure une fonctionnalité CASB telle que la détection de l’informatique fantôme en inspectant tout le trafic provenant des appareils des utilisateurs, ce qui permet au service informatique d’identifier les applications non approuvées et d’en contrôler l’accès, soit individuellement, soit par catégorie.

 

Protection des données

Les applications SaaS étant conçues pour permettre un partage rapide et simple, il n’est pas rare que les utilisateurs téléchargent, par inadvertance ou par négligence, des données professionnelles critiques vers des emplacements inappropriés que le service informatique préférerait qu’ils évitent. Un proxy direct basé sur le cloud, parce qu’il fonctionne inline et dispose de l’envergure nécessaire pour inspecter tout le trafic, constitue le meilleur moyen d’empêcher les utilisateurs de télécharger des informations sensibles vers des destinations cloud risquées (qu’ils le fassent accidentellement ou intentionnellement).

 

Prévention des menaces

Non contentes de représenter une filière attrayante pour l’exfiltration de données, les applications SaaS peuvent constituer un canal de propagation de logiciels malveillants si elles ne sont pas contrôlées : la fonctionnalité de partage rapide peut être détournée pour diffuser des fichiers infectés au sein des entreprises et entre elles. Un proxy direct empêche le téléchargement de fichiers infectés vers des ressources cloud en permettant à des technologies telles que la protection contre les menaces avancées (ATP) et le cloud sandbox de fonctionner inline de manière à pouvoir intercepter les menaces en transit.

 

Comment choisir un proxy direct ? 

Les proxy directs ont souvent une mauvaise réputation. Ils sont considérés comme coûteux et très complexes à configurer et à gérer. Ils peuvent ajouter de la latence et engendrer une piètre expérience utilisateur. De plus, si un proxy subit une coupure, cela peut entraîner une perturbation importante des opérations de l’entreprise. Cependant, cela est dû au fait que les proxys ont traditionnellement été déployés sous forme d’appliances physiques ou virtuelles.

Les proxy directs sont extrêmement bénéfiques pour la sécurité lorsqu’ils sont fournis dans le cloud, où ils ne présentent aucun des inconvénients de leurs homologues basés sur des appliances. Une architecture de proxy basée sur le cloud élimine les dépenses liées à l’achat et à la maintenance des appliances, et évolue en fonction des besoins pour répondre aux demandes croissantes de trafic. Cette capacité à fournir une évolutivité sans précédent résout également le problème clé de l’inspection du trafic chiffré à la recherche de menaces et de fuites de données, ce qui, comme nous l’avons déjà mentionné, est une tâche à forte intensité de calcul. Le proxy direct adéquat permet :

  • Une protection cohérente des données (et une protection contre les menaces) sur tous vos canaux de données cloud avec une politique simple et unique.
  • Une sécurité unifiée dans le cadre d’une offre SASE qui prend en charge le plus grand nombre de cas d’utilisation liés au CASB, au SWG et au ZTNA, pour sécuriser respectivement, l’accès aux applications cloud, au web et aux ressources internes.
  • Une simplicité de l’écosystème informatique grâce à une architecture cloud à passage unique qui dispense de l’utilisation d’appliances et fournit les éléments cités ci-dessus sans nécessiter de configurations complexes, telles que le chaînage du proxy.

Pourquoi Zscaler ?

Lors du choix d’un proxy direct, ou plus précisément d’un CASB, il est important de choisir un fournisseur qui dispose d’une solution inline ayant fait ses preuves et qui jouit d’une réputation de confiance dans le domaine de la sécurité. Zscaler est construit sur une architecture de proxy cloud-native afin de fournir tous les avantages énumérés plus haut. La société possède le plus grand cloud de sécurité inline au monde avec 150 centres de données répartis sur six continents qui servent des clients dans 185 pays ; elle traite 160 milliards de transactions chaque jour.

Zscaler est conçu pour la performance et achemine intelligemment le trafic vers le data center le plus proche, ses offres interagissant avec la plupart des meilleures applications, notamment Microsoft 365, Zoom et Salesforce, pour établir la distance la plus courte entre les utilisateurs et leurs applications. Cette performance renforcée se traduit par une meilleure expérience utilisateur qui dynamise la productivité de l’entreprise. 

Zscaler fournit des capacités CASB de pointe (de la correspondance exacte des données (EDM) pour la protection contre la perte de données (DLP), au cloud sandbox pour la protection contre les menaces avancées (ATP)) afin de protéger les applications cloud des entreprises. Parallèlement, elle propose des produits SWG et ZTNA intégrés de premier plan pour assurer une sécurité véritablement complète sur une seule et même plateforme, conformément à la vision de Gartner concernant le SASE. 

En fournissant une sécurité cohérente dans l’ensemble de l’écosystème informatique, quel que soit l’endroit où les utilisateurs se connectent, Zscaler permet à des milliers d’entreprises d’adopter en toute sécurité la transformation digitale et les initiatives en faveur du télétravail pour le personnel distant et hybride. 

Qu’est-ce qu’un proxy cloud ?

En savoir plus
Qu’est-ce qu’un proxy cloud ?

La sécurité basée sur le proxy : un pilier de l’architecture cloud-first

Lire le blog
La sécurité basée sur le proxy : un pilier de l’architecture cloud-first

Principaux cas d’utilisation du CASB

Lire l'e-Book
Principaux cas d’utilisation du CASB

Pourquoi les pare-feu de nouvelle génération ne pourront jamais être des proxys : une architecture adaptée est importante

Lire le blog
Pourquoi les pare-feu de nouvelle génération ne pourront jamais être des proxys : une architecture adaptée est importante