Vad är en omvänd proxy? Kärnkomponenter i säkerhetsarkitekturen
Omvända proxyservrar används som en mellanliggande nätverkskomponent för att säkra servrar för offentliga onlinetjänster. De tar emot serverförfrågningar å servrarnas vägnar och vidarebefordrar dem till användarna.
Hur fungerar en omvänd proxy?
I huvudsak fungerar en proxyserver som en kommunikationsförmedlare i nätverket, som tar emot förfrågningar och vidarebefordrar dem till en målserver på klientens vägnar. En omvänd proxy är placerad mellan klienter (t.ex. webbläsare) och backend-servrar (t.ex. webbservrar, databasservrar eller applikationer). Den aktiveras när en klientbegäran görs och avgör om och till vilken intern serverkomponent begäran ska dirigeras. Processen följer dessa fyra grundläggande steg:
- Mottagande av klientförfrågan: Den omvända proxyn accepterar HTTP, HTTPS eller andra förfrågningar som FTP eller WebSocket.
- Analysera förfrågan: Proxyn undersöker om förfrågan är giltig, om den utgör någon säkerhetsrisk och om det finns en cachad version tillgänglig.
- Vidarebefordran till rätt server: Om förfrågan inte kan besvaras från cachen skickar den omvända proxyn förfrågan till en av de interna servrarna.
- Svar till klienten: Den omvända proxyn tar emot svaret från backend-servern, bearbetar det vidare om det behövs (t.ex. kryptering) och skickar tillbaka det till den begärande klienten.
Vad är skillnaden jämfört med framåtproxyservrar?
Medan omvända proxyservrar, som nämnts tidigare, placeras mellan klienter och backend-servrar, placeras framåtproxyservrar mellan klienter och internet. En framåtproxyserver kanaliserar alla klientförfrågningar och vidarebefordrar dem med sin egen avsändaradress till målservrarna på internet. Serverns svar når också proxyn först innan de distribueras till respektive klientens enheter. Dessa förblir anonyma – såvida det inte är en transparent proxy. Medan en framåtproxy skyddar klienter i det interna nätverket från externa hot, säkrar en omvänd proxy servrar i ett offentligt nätverk och optimerar deras tillgänglighet.
Medan omvända proxyservrar erbjuder tydliga fördelar för serverstrukturer genom funktioner som lastbalansering och olika säkerhetsfunktioner, ligger styrkan hos framåtproxyservrar i klientskyddet.
Användningsområden för omvända proxyservrar
Genom att samla klientförfrågningar kan omvända proxyservrar kontrollera inkommande trafik i hög grad. Detta gör det bland annat möjligt att tillhandahålla flera servrar under samma URL, fördela förfrågningar jämnt mellan olika servrar och påskynda datahämtning genom caching. Nedan följer de viktigaste användningsområdena för en omvänd proxyserver.
Lastbalansering
En omvänd proxy placerad framför gör det möjligt att länka en URL till olika servrar i det privata nätverket. Detta fördelar inkommande förfrågningar över flera servrar. En sådan lastbalansering förhindrar överbelastning av enskilda system och kompenserar vid fel. Om en server är otillgänglig på grund av hårdvaru- eller programvarufel omfördelar proxyns lastbalanseringsmodul inkommande förfrågningar till återstående servrar. Detta säkerställer tillgängligheten av servertjänster även vid fel.
Caching
För att påskynda servertjänsterna kan omvända proxyservrar erbjuda en funktion som gör det möjligt att cachelagra ofta efterfrågat innehåll. Denna cachelagring gör det möjligt för proxyservern att självständigt besvara repetitiva förfrågningar, antingen helt eller delvis. Statiskt innehåll som bilder eller CSS-stilmallar lagras i proxyns cache. Som ett resultat behöver lite eller ingen data hämtas från backend-servern, vilket avsevärt påskyndar åtkomsthastigheten till webbtjänster. Eftersom snabbt föränderligt innehåll inte alltid garanterar att proxyns cache har den aktuella versionen finns det dock en risk att föråldrad information levereras till begärande klienter.
Skydds- och säkerhetsåtgärder
En omvänd proxy fungerar som ett slags skydd för backend-servrarna och kan erbjuda olika säkerhetsfunktioner i denna roll:
- DDoS-skydd: Omvända proxyservrar kan upptäcka och blockera misstänkt eller ovanligt hög trafik under DDoS-attacker innan den når backend-servrarna.
- Web Application Firewall (WAF): Många omvända proxyservrar har en WAF som kan filtrera bort skadliga förfrågningar som SQL-injektioner eller Cross-Site Scripting (XSS).
- IP-vitlista och svartlista: Den omvända proxyn kan blockera vissa IP-adresser eller endast tillåta anslutningar från specifika nätverk om det behövs.
- Döljning av backend-servrar: Den omvända proxyn förhindrar att backend-servrarnas interna IP-adresser blir synliga för allmänheten, vilket gör attacker svårare.
Kryptering
För att minska belastningen på backend-servrar kan även omvända proxyservrar användas för kryptering. I detta fall dekrypterar den klientens SSL/TLS-förfrågan (t.ex. en HTTPS-anslutning), vidarebefordrar den dekrypterade datan till backend-servrarna och skickar tillbaka motsvarande svar till klienten, återigen krypterat. Den interna kommunikationen kan ske antingen krypterad eller okrypterad.
Anonymisering
En omvänd proxy kan också användas för att anonymisera trafiken genom att dölja klienternas ursprungliga IP-adresser eller ersätta dem med sina egna IP-adresser. Detta bidrar till att skydda klienternas integritet, eftersom de faktiska IP-adresserna inte syns i loggarna. Dessutom möjliggör detta geografisk lastbalansering: förfrågningar kan dirigeras till närmaste server beroende på användarens geografiska plats.
Kompression
Med rätt programvara kan en omvänd proxy användas för att komprimera inkommande och utgående data. Ett populärt program för komprimering av webbplatser är gzip, som ofta används i kombination med webbservrarna Apache eller NGINX.