Ressources > Glossaire des termes de sécurité > Qu’est-ce qu’un proxy inverse

Qu’est-ce qu’un proxy inverse ?

Définition du proxy inverse

Un proxy inverse est un serveur, une application ou un service cloud qui se place devant un ou plusieurs serveurs web pour intercepter et inspecter les demandes entrantes des clients avant de les transmettre au serveur web et de renvoyer ensuite la réponse du serveur au client. Cela contribue à la sécurité, à l’évolutivité et aux performances des sites web, des services cloud et des réseaux de diffusion de contenu (CDN).

Le proxy inverse en tant que service cloud est l’un des modes de déploiement d’un CASB (cloud access security broker), conçu pour fournir une sécurité inline et en temps réel pour les applications, l’infrastructure et autres ressources basées sur le cloud.
 

Quelle est la différence entre un proxy inverse et un proxy direct ?

Il est facile de confondre ces deux types de serveurs proxy, aussi allons-nous les détailler.

En se plaçant devant un serveur web, un proxy inverse s’assure qu’aucun client ne communique directement avec le serveur. Un proxy direct (un autre mode de CASB) se trouve devant les terminaux des clients pour intercepter les demandes entrantes et s’assurer qu’aucun serveur ne communique directement avec un client. Ces modes peuvent sembler similaires d’un point de vue fonctionnel, mais les proxys directs dépendent généralement d’un agent logiciel installé sur les terminaux pour transférer le trafic, ce qui n’est pas le cas des proxys inverses.
 

Qu’est-ce qu’un serveur proxy inverse ?

« Serveur proxy inverse » est essentiellement un terme plus formel pour désigner un proxy inverse. (Il en va de même pour « serveur proxy direct » pour un proxy direct). Le terme « serveur » a tendance à être abandonné aujourd’hui car il évoque le matériel, comme une boîte physique, alors que la technologie revêt souvent la forme d’une application ou d’un service cloud.

Comment fonctionne un proxy inverse ?

Situé dans le flux du trafic, un proxy inverse s’intègre au service d’authentification d’une entreprise (par exemple, l’authentification unique). Une fois que les services et les applications sont configurés pour effectuer des transactions avec le proxy inverse, il peut fonctionner inline, sans agent. L’utilisateur bénéficie ainsi d’une expérience directe, le trafic entrant vers les applications cloud gérées et les autres étant automatiquement redirigé vers le proxy inverse.

Examinons ce processus plus en détail.

Un proxy inverse peut protéger les données sensibles (par exemple, les données PCI, PII) en agissant comme un intermédiaire ou un substitut du serveur qui héberge ces données. Les demandes du client sont d’abord acheminées vers le proxy inverse, puis via un port spécifique dans tout pare-feu applicable, puis vers le serveur de contenu et enfin, dans le sens inverse. Le client et le serveur ne communiquent jamais directement, mais le client interprète les réponses comme s’ils avaient communiqué. Voici les étapes de base :

  1. Le client envoie une requête, que le proxy inverse intercepte.
  2. Le proxy inverse transmet la demande entrante au pare-feu.
    a. Le proxy inverse peut être configuré pour répondre directement aux requêtes de fichiers dans son cache sans communiquer avec le serveur — plus de détails à ce sujet dans les cas d’utilisation.
  3. Le pare-feu bloque la demande ou la transmet au serveur.
  4. Le serveur envoie la réponse au proxy à travers le pare-feu.
  5. Le proxy inverse envoie la réponse au client.

Le proxy inverse peut également analyser les réponses du serveur pour y rechercher des informations qui pourraient permettre à un hacker de rediriger vers des ressources internes protégées ou de tirer parti d’autres vulnérabilités.

Cas d’utilisation du proxy inverse

Le proxy inverse, en tant que mode de déploiement du CASB, est au cœur du modèle SSE (Security Service Edge), aux côtés de la passerelle web sécurisée (SWG), de l’accès réseau Zero Trust (ZTNA) et d’autres services de sécurité fournis dans le cloud.

Au-delà du SSE, les cas d’utilisation spécifiques les plus courants pour les proxys inverses sont notamment :
 

Sécurisation des appareils non gérés

Nombre de vos employés peuvent utiliser plusieurs appareils pour le travail, y compris leurs appareils personnels. Par ailleurs, de nombreux fournisseurs, partenaires et clients peuvent avoir besoin d’accéder à vos applications internes sur leurs propres appareils non gérés, ce qui représente un risque pour votre sécurité.

Vous pouvez installer des agents pour gérer les appareils appartenant à votre entreprise, mais les terminaux non gérés sont une toute autre histoire. Les tiers ne vous laisseront pas installer des agents sur leurs terminaux, et de nombreux employés ne veulent pas non plus d’agents sur leurs appareils personnels. En revanche, un proxy inverse offre une protection sans agent contre les fuites de données et les logiciels malveillants à partir de tout appareil non géré qui accède à vos applications et ressources cloud.

More browsing, less worry

Protection des données

Un proxy inverse peut appliquer des politiques de protection contre la perte de données pour empêcher les téléchargements, accidentels ou intentionnels, d’informations sensibles vers ou depuis des applications cloud autorisées. Parce qu’il opère inline et inspecte le trafic chiffré (en particulier un proxy inverse basé sur le cloud), il peut s’assurer que les données chargées ou téléchargées sont conformes à vos politiques.
 

Prévention des menaces

Un fichier infecté dans un service cloud peut se propager aux applications et appareils connectés, plus particulièrement aux appareils non gérés. En empêchant, sans agent, le chargement ou le téléchargement de fichiers infectés vers ou depuis des ressources cloud, un proxy inverse fournit une protection contre les menaces avancées que constituent les programmes malveillants et les ransomwares.

Par nature, les proxys inverses dissimulent également les serveurs et leurs adresses IP aux clients, ce qui protège les ressources web contre les menaces telles que les attaques par déni de service distribué (DDoS).
 

Équilibrage de charge

Les proxys inverses peuvent être utilisés pour traiter les demandes des clients qui pourraient autrement submerger un unique serveur en cas de forte demande, ce qui permet une grande disponibilité et de meilleurs temps de chargement tout en soulageant le serveur backend. Ils le font principalement de deux manières différentes :

  1. Un proxy inverse peut mettre en cache le contenu d’un serveur d’origine dans un stockage temporaire, puis envoyer le contenu aux clients qui le demandent sans autre transaction avec le serveur (c’est ce qu’on appelle l’accélération web). Les DNS peuvent être utilisés pour acheminer les demandes de manière uniforme entre plusieurs proxys inverses.
  2. Si un grand site web ou un autre service web utilise plusieurs serveurs d’origine, un proxy inverse peut répartir les demandes entre ceux-ci afin d’assurer une charge uniforme sur les serveurs.

Les avantages de l’utilisation d’un proxy inverse

En gardant ces cas d’utilisation à l’esprit, les avantages de l’utilisation d’un proxy inverse se répartissent en trois domaines principaux :

  • Sécurité des données et prévention des menaces : les proxy inverses fournissent une fonctionnalité de pare-feu d’application web (WAF) en surveillant et en filtrant le trafic (y compris le trafic chiffré) entre les terminaux gérés et non gérés et le serveur web, le protégeant ainsi de l’injection SQL, des scripts intersites, etc.
  • Évolutivité et gestion des ressources : il s’agit d’un avantage en deux parties. Les proxy inverses permettent d’étendre les opérations en éliminant la nécessité d’installer des agents sur chaque terminal utilisateur avant de pouvoir fournir un accès sécurisé aux ressources gérées. Ils prennent également en charge l’échelle de l’infrastructure grâce à des capacités d’équilibrage de la charge pour les ressources les plus sollicitées.
  • Performance et productivité : les proxys inverses basés sur le cloud peuvent analyser et appliquer des politiques de sécurité au trafic, y compris au trafic des utilisateurs distants, sans backhauling via votre data center. Ils disposent également d’une capacité d’évolution réellement illimitée pour inspecter le trafic TLS/SSL (la majorité du trafic actuel), alors que les pare-feu et les proxys basés sur des appliances ne peuvent que rarement inspecter le chiffrement TLS/SSL sans baisse importante des performances.

Qu’est-ce qu’un proxy direct ?

En savoir plus
Qu’est-ce qu’un proxy direct ?

Qu’est-ce qu’un proxy cloud ?

En savoir plus
Qu’est-ce qu’un proxy cloud ?

Isolation de navigateur cloud

Lire la fiche technique
Isolation de navigateur cloud

Les difficultés liées aux proxys inverses

Les proxys inverses offrent des avantages notables pour la sécurisation des appareils non gérés et des applications d’entreprise, mais ils présentent également des inconvénients notables, tels que :

  • Aucune sécurité pour les ressources non gérées : si un utilisateur a besoin d’un accès sécurisé à une application ou à une ressource qui n’est pas intégrée à votre SSO, le proxy inverse ne pourra pas s’en charger. Les proxys inverses ne surveillent que le trafic destiné aux ressources approuvées, pas l’ensemble du trafic. Pour sécuriser les ressources non approuvées de la même manière, vous devrez recourir à un proxy direct.
  • Risque de pannes fréquentes : les proxys inverses sont généralement codés en dur pour fonctionner avec des versions spécifiques d’applications, donc lorsqu’une application est mise à jour et que le nouveau code est envoyé au proxy, une rupture est possible. Cela peut engendrer une indisponibilité de l’application mise à jour jusqu’à ce que le proxy puisse être recodé, ce qui provoque le mécontentement des utilisateurs et une perte de productivité.

Une meilleure méthode : Cloud Browser Isolation (Isolation du navigateur cloud)

De plus en plus d’entreprises se tournent désormais vers l’isolation du navigateur cloud pour éviter les limitations et les risques de rupture des proxys inverses tout en permettant une utilisation sécurisée des appareils non gérés sans agents de terminaux.

Lorsqu’un utilisateur accède à une application cloud gérée, Zscaler Cloud Browser Isolation virtualise la session et restitue le contenu dans un environnement isolé dans le cloud, en envoyant la session à l’utilisateur sous forme de flux de pixels. L’expérience utilisateur est identique à l’expérience native de cette application cloud, à cela près que CBI empêche les appareils non gérés de télécharger, copier, coller ou imprimer les données sensibles présentes dans l’application.

CBI constitue donc le moyen idéal de favoriser la flexibilité et la productivité de votre base d’utilisateurs étendue tout en empêchant les fuites accidentelles, l’exfiltration malveillante et la prolifération de logiciels malveillants via des appareils non gérés.

Isolation de navigateur cloud

Zscaler Cloud Browser Isolation procure une défense inégalée contre les fuites de données et les menaces sur le web, grâce à l’isolation web Zero Trust la plus avancée du secteur.

Expérience utilisateur sans précédent
Bénéficiez de connexions ultrarapides aux applications et aux sites web grâce à notre technologie unique de streaming de pixels et à notre architecture de proxy direct-au-cloud. Les utilisateurs reçoivent un flux haute performance de pixels dans leur navigateur, garantissant la sécurité sans nuire à la productivité.

Protection cohérente pour les utilisateurs où qu’ils soient
Protégez n’importe quel utilisateur, sur n’importe quel appareil, dans n’importe quel endroit avec une politique d’isolation Zero Trust qui s’étend du siège social aux sites mobiles ou distants, en passant par des fonctions et des départements très ciblés.

Moins de soucis de gestion
Déployez et gérez en quelques secondes, à l’aide de Zscaler Client Connector ou d’une option sans agent pour acheminer le trafic via Zscaler Zero Trust Exchange™ avec l’intégration native de Cloud Browser Isolation.

Compatibilité universelle
Bénéficiez d’une protection de tous les principaux navigateurs web afin de répondre aux préférences des utilisateurs. La persistance des cookies pour les sessions isolées permet de conserver intacts les paramètres clés, les préférences et les informations de connexion des utilisateurs.

More browsing, less worry