Qu’est-ce qu’un proxy cloud ?

Pourquoi avez-vous besoin d’un proxy cloud ?

Un proxy cloud fonctionne comme un proxy inverse à bien des égards : les demandes des clients passent par le proxy cloud pour arriver à une adresse Internet, et les réponses (par exemple, l’autorisation d’accéder à une page Web) repassent par le proxy pour arriver aux clients. Mais comme le proxy cloud réside dans le cloud, il n’est pas confiné au matériel du data center comme un proxy conventionnel basé sur une appliance.
 

Les difficultés liées aux proxys basés sur des appliances

Les serveurs proxy inverses traditionnels et les proxys HTTP sont encore monnaie courante dans les piles de sécurité réseau contemporaines, mais les responsables informatiques évoquent de plus en plus de problèmes de :

• Latence : les proxys doivent fonctionner inline pour intercepter le trafic. L’acheminement en série du trafic à travers des appliances dont la bande passante est limitée peut ajouter une latence considérable aux demandes, en particulier dans le cas de déploiements d’entreprise sur site, ce qui se traduit par une mauvaise expérience utilisateur.
• Compatibilité : les proxys traditionnels sont sujets à des problèmes de compatibilité avec les applications car ils n’ont pas été conçus pour la façon dont les applications Web effectuent l’authentification, les appels API, les demandes de service, etc., ce qui impose un dépannage supplémentaire.
• Coût : les appliances proxy commerciales coûtent trop cher en comparaison avec les budgets informatiques typiques, encore plus si une entreprise veut les utiliser pour inspecter le trafic TLS/SSL, pour lequel certains fournisseurs peuvent recommander jusqu’à huit fois plus d’appliances.
• Mise en cache : autrefois une fonction essentielle d’une architecture proxy, la mise en cache est désormais une fonctionnalité propre à tous les navigateurs Web modernes, faisant de la mise en cache basée sur le réseau une offre secondaire dans le meilleur des cas.
   

Avantages d’un proxy cloud

Les proxys demeurent la solution idéale pour les entreprises qui cherchent à prévenir les menaces furtives sans compromettre l’expérience utilisateur. À l’ère du cloud et de la mobilité, les offres matérielles ne peuvent pas tenir cette promesse de manière satisfaisante. Une architecture proxy efficace basée sur le cloud propose les avantages suivants :

• Une connaissance universelle des applications, y compris les applications basées sur le cloud, sur n’importe quel port, avec beaucoup moins de problèmes de compatibilité.
• Une échelle mondiale pour suivre des utilisateurs constamment en mouvement, souvent très éloignés du réseau de l’entreprise.
• Des économies significatives par rapport aux prix des proxy matériels classiques, ce qui réduit les dépenses informatiques.
• Une expérience utilisateur exceptionnelle, même lorsque l’inspection TLS/SSL complète est activée, sans latence détectable pour les utilisateurs finaux.
• Aucune visibilité extérieure sur le serveur, avec prise en charge des en-têtes XFF pour les applications qui exigent l’adresse IP source réelle de l’utilisateur.

L’architecture proxy basée sur le cloud la plus efficace fait partie d’une architecture de sécurité complète, capable de répondre à l’ensemble des critères de conformité et de sécurité sans créer de lacunes qu’une autre fonction ou un tiers (par exemple, un fournisseur de cloud) devra résoudre.

Comment fonctionne un proxy cloud ?

Situé dans le flux du trafic, un proxy cloud s’intègre au service d’authentification d’une entreprise (par exemple, l’authentification unique), après quoi il peut fonctionner inline sans agent. L’utilisateur bénéficie ainsi d’une expérience directe, le trafic entrant vers les applications cloud gérées et le reste étant automatiquement redirigé vers le proxy cloud.

Examinons ce processus de plus près.

Un proxy cloud peut protéger les données sensibles (par exemple, les données PCI, PII) en agissant comme un intermédiaire ou un substitut du serveur qui héberge ces données. Les demandes du client sont d’abord acheminées vers le proxy cloud, puis via un port spécifique dans tout pare-feu applicable, puis vers le serveur de contenu et enfin, dans le sens inverse. Le client et le serveur ne communiquent jamais directement, mais le client interprète les réponses comme s’ils avaient communiqué. Voici les étapes de base :

1. Le client envoie une demande, que le proxy cloud intercepte.
2. Le proxy cloud transmet la demande entrante à un pare-feu, le cas échéant.
3. Le pare-feu bloque la demande ou la transmet au serveur.
4. Le serveur envoie la réponse au proxy à travers le pare-feu.
5. Le proxy cloud envoie la réponse au client.

L’élasticité du cloud permet de réaliser tout cela en temps quasi réel, quel que soit le volume de trafic.

Proxy cloud de Zscaler

Pour fournir à tous les utilisateurs un accès Internet propre, sûr et conforme et une excellente expérience utilisateur, sur n’importe quel appareil ou système d’exploitation, sur n’importe quel réseau, où que soient les utilisateurs, la solution réside dans une architecture proxy basée sur le cloud.

Notre architecture éprouvée basée sur un proxy cloud constitue la base de Zscaler Internet Access™, une solution SSE (Security Service Edge) cloud-native qui s’appuie sur une décennie de leadership en matière de passerelles Web sécurisées. Proposée sous la forme d’une plateforme SaaS évolutive à partir du plus grand cloud sécurisé du monde, elle remplace les solutions de sécurité réseau traditionnelles afin de stopper les attaques avancées et d’empêcher la perte de données grâce à une approche Zero Trust complète.

Zscaler Internet Access fait partie de Zscaler Zero Trust Exchange™, une plateforme complète de sécurité cloud native.

Cas d’utilisation du proxy cloud

L’architecture proxy cloud de Zscaler fournit une couverture de proxy inverse pour tout le trafic, un élément central du CASB (Cloud Access Security Broker) au sein du modèle Security Service Edge (SSE).

Dans le cadre d’une structure SSE, notre architecture de proxy cloud aide votre entreprise comme suit :

Sécurisation des appareils non gérés

Nombre de vos employés peuvent utiliser plusieurs appareils pour le travail, y compris leurs appareils personnels. Par ailleurs, de nombreux fournisseurs, partenaires et clients peuvent avoir besoin d’accéder à vos applications internes sur leurs propres appareils non gérés, ce qui représente un risque pour votre sécurité.

Vous pouvez installer des agents pour gérer les appareils appartenant à votre entreprise, mais les terminaux non gérés sont une toute autre histoire. Les tiers ne vous laisseront pas installer des agents sur leurs terminaux, et de nombreux employés ne veulent pas non plus d’agents sur leurs appareils personnels. En revanche, notre architecture de proxy offre une protection sans agent contre les fuites de données et les logiciels malveillants à partir de tout appareil non géré qui accède à vos applications et ressources cloud.

Protection des données

L’architecture proxy de Zscaler peut appliquer des politiques de protection contre la perte de données pour empêcher les téléchargements, accidentels ou intentionnels, d’informations sensibles vers ou depuis des applications cloud autorisées. Parce qu’elle fonctionne inline et inspecte tout le trafic, même le trafic chiffré, elle peut garantir que les données chargées ou téléchargées sont conformes à vos politiques.

Prévention des menaces

Un fichier infecté dans un service cloud peut se propager aux applications et appareils connectés, en particulier aux appareils non gérés. En empêchant, sans agent, les téléchargements de fichiers infectés vers ou depuis des ressources cloud, notre architecture proxy offre une protection avancée contre les menaces à l’encontre des malwares et des ransomwares.

Par nature, notre architecture dissimule également les serveurs et leurs adresses IP aux clients, ce qui protège les ressources Web contre les menaces telles que les attaques par déni de service distribué (DDoS).

Équilibrage de charge

Le proxy de Zscaler peut être utilisé pour traiter les demandes des clients qui pourraient autrement submerger un unique serveur en cas de forte demande, ce qui permet une grande disponibilité et optimise les temps de chargement en distribuant les demandes à vos serveurs de manière uniforme.