Servidor Proxy e SWG em Ambientes Corporativos: Como Funcionam e Por Que São Cruciais
Descubra como servidores proxy e Secure Web Gateways (SWG) protegem sua empresa. Aprenda as diferenças entre eles, como funcionam, e por que a ausência de um SWG pode trazer riscos significativos.
MundiX News·12 de maio de 2026·10 min de leitura·👁 11 views
Em um ambiente corporativo, um servidor proxy é frequentemente percebido como algo em segundo plano: ele simplesmente existe, opera em algum lugar, transmite tráfego e raramente chama a atenção dos usuários – até que algo pare de funcionar. No entanto, na prática, seu papel é muito mais amplo. Especialmente quando não se trata apenas de um proxy, mas de um Secure Web Gateway.
Meu nome é Mikhail Levin, sou administrador de rede do grupo de segurança de rede SM Lab. Neste artigo, vou discutir o que é um servidor proxy, como ele difere de um SWG, quais soluções existem no mercado e como todo esse esquema funciona em uma empresa.
O que é um Servidor Proxy
De modo geral, um servidor proxy é um intermediário entre o usuário e um recurso externo. Quando um usuário abre um site, sua solicitação não vai diretamente para a Internet. Primeiro, o tráfego é enviado para o servidor proxy, e então o proxy o redireciona para a rede externa e retorna a resposta ao usuário. Ou seja, não há acesso direto à Internet para o usuário neste esquema.
Para a empresa, essa abordagem oferece várias oportunidades. Em primeiro lugar, é possível restringir o acesso dos funcionários aos recursos da Internet, dependendo de quais grupos do Active Directory eles pertencem. Em segundo lugar, surge a capacidade de identificar recursos suspeitos ou proibidos e bloquear o acesso a eles. Essencialmente, as páginas acessadas pelos usuários são analisadas. Em terceiro lugar, é possível regular qual software e quais extensões são permitidos para download. Além disso, o servidor proxy permite o cache de solicitações a sites, o que ajuda a economizar tráfego.
Como os Servidores Proxy são Usados
Um servidor proxy em uma empresa pode ser usado em dois modos principais: explícito e transparente.
Proxy Explícito: No caso de um proxy explícito, as configurações são escritas no dispositivo do usuário. Elas podem ser vistas no computador do funcionário e verificar se o proxy está realmente especificado. Isso é configurado de várias maneiras: por meio de um script de configuração automática ou manualmente. Como regra, esses parâmetros são distribuídos por políticas de grupo, para que o funcionário não precise fazer nada sozinho – tudo já está configurado com antecedência.
Proxy Transparente: No segundo caso, um proxy transparente é usado. Aqui, nada é escrito no computador do usuário. Quando um funcionário acessa um recurso da web, seu tráfego primeiro chega ao roteador e depois é redirecionado para o servidor proxy usando o protocolo WCCP. Como resultado, o usuário ainda acessa a Internet por meio do proxy, mas não o vê. Este modo é especialmente útil nos casos em que não é possível especificar um proxy no dispositivo ou é difícil fazê-lo. Por exemplo, podemos estar falando de servidores Linux. Acontece que o próprio software não permite que você defina um servidor proxy – então o modo transparente se torna uma opção de trabalho.
Por que um Servidor Proxy Já Não é Suficiente
Na verdade, um servidor proxy é apenas um intermediário entre o usuário e a Internet. É aí que seu papel básico termina. Um Secure Web Gateway, ou SWG, não é apenas um intermediário, mas um complexo inteiro de soluções projetadas para garantir a segurança da web dos funcionários.
Um SWG inclui todas as capacidades básicas de um servidor proxy, mas também oferece:
Categorização de recursos;
Uso de um banco de dados de sites constantemente atualizado com dados sobre sua reputação;
Verificação do recurso ao acessar;
Identificação de sites suspeitos;
Detecção de código executável;
Detecção de malware;
Aplicação de políticas de segurança ao tráfego do usuário;
Análise e monitoramento em tempo real.
Ou seja, um proxy normal simplesmente permite que os usuários acessem a Internet por meio dele, e um SWG já ajuda a gerenciar esse acesso, controlá-lo e reduzir os riscos.
Como um SWG Difere de um Proxy Normal
Ambas as soluções podem interceptar o tráfego da web. Mas, em seguida, as diferenças se tornam fundamentais.
Inspeção SSL: As capacidades de inspeção SSL de um proxy normal são limitadas. Por inspeção SSL, entende-se aqui a capacidade de analisar o tráfego criptografado que vai para os recursos da web: entender exatamente para onde a solicitação está indo e, com base nisso, tomar uma decisão – permitir ou não. Para um SWG, este é um cenário padrão. Mas os servidores proxy normais podem ter problemas de desempenho com o aumento do tráfego, o crescimento da empresa e a escalabilidade da infraestrutura.
Filtragem de URL: Se estamos falando de filtragem de URL, a diferença também é notável. Um SWG usa uma base completa de categorias e reputações de recursos para isso. Em um proxy normal, tudo se resume a listas brancas e pretas, que precisam ser mantidas manualmente. Para uma grande empresa, essa é uma abordagem inconveniente e não escalável.
Proteção contra Ameaças: Um proxy normal não possui proteção completa contra phishing e malware. Em um SWG, esses mecanismos estão incluídos no conjunto padrão de recursos.
Modos: A questão do modo transparente também é importante. Em um SWG, esses cenários são implementados, e no caso de proxies normais, pode haver restrições.
Relatórios e Análise: Um proxy normal não possui os relatórios e análises que um SWG oferece.
Quais Soluções Existem no Mercado
Se falarmos sobre o lado prático da questão, existem várias soluções populares no mercado.
Symantec Blue Coat SWG: Em nossa empresa, usamos a solução comercial Symantec Blue Coat SWG. Esta é uma solução para grandes empresas, líder mundial em Secure Web Gateway. Na verdade, ele pode fazer quase tudo – talvez até mais do que precisamos na prática. Entre seus recursos estão:
Inspeção completa de tráfego;
Categorização de recursos;
Bases de categorias de sites constantemente atualizadas;
Operação nos modos explícito e transparente;
Documentação de alta qualidade;
Suporte técnico.
Destaco separadamente a documentação: se você precisar configurar algo ou descobrir por que algo quebrou, geralmente pode encontrar uma descrição que realmente corresponda à configuração real. Se isso não for suficiente, você sempre pode entrar em contato com o suporte.
UserGate: Este não é um SWG puro, mas um Next Generation Firewall, ou seja, um firewall de nova geração com funções SWG. A solução também é voltada para grandes empresas e é considerada líder no mercado russo. Em termos de conjunto de funções, ele pode fazer quase tudo o mesmo que o Symantec. Mas existem restrições:
No momento, o UserGate não pode operar no modo transparente;
A documentação nem sempre corresponde ao que deveria ser;
Também existem nuances com o suporte.
Ao mesmo tempo, a solução foi comprada por nós, foi testada no ano passado, e como resultado, podemos dizer que se algo acontecer com o Symantec, o UserGate poderá substituí-lo quase completamente.
Squid: Um servidor proxy de código aberto gratuito. Em essência, é aí que suas principais vantagens para grandes empresas terminam. Esta é realmente uma solução mais para pequenos escritórios. O Squid pode inspecionar o tráfego HTTPS, mas se um grande volume de tráfego passar por ele, a questão de saber se ele vai lidar com isso surge imediatamente. Ao mesmo tempo, não há menção à categorização de recursos no Squid. Tudo é construído exclusivamente em listas brancas e pretas. Ou seja, ele não poderá determinar automaticamente a qual tipo um recurso pertence. Além disso:
Ele só funciona no modo explícito;
A documentação se resume essencialmente a fóruns e ao que pode ser encontrado na Internet;
Não há suporte.
O projeto vive às custas de entusiastas: quando eles têm tempo – eles o apoiam, quando não têm tempo – não o fazem.
Como o SWG Funciona em Nossa Empresa
Agora vou contar como esse esquema se parece para nós. Digamos que um funcionário queira acessar um site externo – por exemplo, Asics, para ver a linha de modelos dos concorrentes.
Primeiro, sua solicitação vai para o servidor proxy. Em seguida, o servidor proxy substitui o certificado por um confiável. Devido a isso, a inspeção SSL se torna possível: o tráfego pode ser descriptografado e verificado. Do ponto de vista do usuário, tudo parece que ele está acessando o site diretamente. Na verdade, o usuário interage apenas com o servidor proxy, ou melhor, com o SWG, e o SWG já acessa o site externo em seu nome. Após receber a solicitação, o SWG:
Verifica o grupo AD ao qual o funcionário pertence;
Verifica a presença do recurso na lista branca e na lista negra;
Determina a categoria do recurso;
Estabelece uma conexão segura com o endereço de destino;
Verifica o recurso quanto à presença de malware e código;
E só depois disso decide abrir o acesso ou bloqueá-lo.
Distribuição de Direitos de Acesso entre Funcionários
O servidor proxy recebe dados do LDAP, onde as informações sobre os usuários e sua afiliação a grupos são armazenadas. Com base nisso, os funcionários são divididos em vários grupos:
Administradores de lojas;
Diretores de lojas;
Funcionários com acesso padrão;
Funcionários com acesso estendido;
Funcionários sem restrições de acesso.
Formando a Matriz de Acesso
Em seguida, os direitos são definidos para os grupos por categorias de recursos. No lado do SWG, há um conjunto de categorias, e uma matriz é formada para cada uma delas: qual grupo tem permissão de acesso e qual é negado. É por isso que os pedidos dos usuários vêm periodicamente na forma de “Estou abrindo o site, mas ele não está funcionando”. Nesses casos, olhamos para duas coisas: a qual categoria o recurso pertence e em qual grupo o usuário está. Às vezes, o problema é resolvido não abrindo um site específico, mas transferindo o funcionário para outro grupo com direitos mais amplos.
Análise de Recursos de Terceiros
Cada acesso a um recurso externo é acompanhado pela verificação de sua categoria. O SWG analisa o site e o compara com seu banco de dados. Dependendo do resultado, o recurso cai em uma ou outra categoria. Por exemplo, o recurso underlinestore.ru pode, por algum motivo, estar na categoria Suspicious, ou seja, entre sites suspeitos. Isso significa que, durante a análise, o código ou os scripts no site pareceram suspeitos para o sistema, e o recurso foi bloqueado. Mas, na prática, pode acontecer que este seja um site normal com roupas, que é necessário para o trabalho. Nesse caso, no Blue Coat, você pode usar o serviço de recategorização de recursos. Para fazer isso, a categoria atual do site é verificada, após o que você pode enviar uma solicitação para sua revisão. Em seguida, o recurso é verificado no lado da Symantec, e então a resposta chega:
Ou a categoria muda, por exemplo, para Shopping, o que corresponde à essência do site;
Ou uma recusa chega, e o recurso permanece na mesma categoria.
No segundo caso, você já tem que tomar uma decisão dentro da empresa – adicionar o site à lista branca ou negar o acesso ao funcionário.
Políticas Internas de Segurança SWG
Além da categorização e das bases de reputação, as políticas internas de segurança também estão em vigor no SWG – aquelas que configuramos nós mesmos. Por exemplo, usamos o navegador corporativo Mozilla Firefox. Para alguns grupos, como regra, lojas, o uso de outros navegadores é proibido. Se um funcionário da loja abrir o Chrome ou qualquer outro navegador, ele receberá uma mensagem de erro. Ao mesmo tempo, receberemos informações sobre qual usuário executou a ação, qual servidor proxy respondeu, em qual grupo ele está e o que foi executado. Existem outras políticas também. Por exemplo, você pode proibir o download de determinados tipos de arquivos, em particular, arquivos executáveis .exe. Se um funcionário de um grupo com essas restrições tentar baixar um arquivo semelhante, o sistema exibirá uma mensagem de bloqueio e negará o acesso.
O Que Está Sob o Capô
Do ponto de vista técnico, tudo começa com a declaração de grupos de usuários do Active Directory: diretores e administradores de lojas, funcionários com acesso padrão ou estendido e assim por diante. Depois disso, as regras de acesso são formadas para cada grupo. Se tomarmos como exemplo o grupo de funcionários com acessos padrão, no qual a grande maioria dos funcionários está, então, por exemplo, você pode permitir a categoria Finance para ele. Isso significa que os sites desta categoria estarão disponíveis. A próxima etapa é definir a proibição por blacklist – uma lista de recursos que é mantida manualmente com base nas políticas internas de segurança. As fontes para essa lista são diferentes. Às vezes, o serviço de segurança da informação pede para bloquear recursos específicos. Às vezes, o monitoramento mostra que um computador infectado está constantemente tentando acessar sites suspeitos para, provavelmente, puxar algo mais malicioso. Esses recursos são inseridos na lista negra para cortar esse tráfego o mais rápido possível. Em seguida, há uma proibição de sites não categorizados. O problema é que novos recursos da Internet aparecem todos os dias, e é impossível rastrear e categorizar absolutamente todos os sites no modo “segundo a segundo”. Portanto, existe uma categoria de recursos sem categoria. E pode haver qualquer coisa lá: um site normal e um site com malware. Portanto, esses recursos são bloqueados por padrão. A lógica aqui é simples: é melhor proibir o desconhecido primeiro e depois processar o pedido de abertura de acesso do que permitir tudo de uma vez e depois lidar com as consequências. Depois disso, uma whitelist é compilada – uma lista de recursos permitidos. É necessário, por exemplo, na seguinte situação: a empresa enviou um pedido de recategorização de um recurso que considera seguro e necessário para o trabalho, mas o fornecedor respondeu que não o considera seguro. Se, dentro da empresa, ainda tiverem certeza de que não há ameaça, esse recurso pode ser adicionado à lista branca. Nesse caso, o SWG primeiro verificará a lista branca e, em seguida, não olhará para a categoria do site e simplesmente permitirá que o usuário o acesse. Em seguida, as demais políticas por categorias são aplicadas. Por exemplo, a categoria Suspicious, da qual falamos acima, é proibida para nós. Além da lista negra e da lista branca, há outra lista importante – recursos para os quais a Interceptação SSL não se aplica. Isso é necessário nos casos em que um recurso externo não permite a presença de um intermediário entre o usuário e o servidor. Do seu ponto de vista, esse comportamento pode parecer um esquema não confiável ou até mesmo uma tentativa de ataque man-in-the-middle, portanto, ele pode não aceitar solicitações por meio de um proxy. Bancos costumam trabalhar de acordo com esse cenário. Portanto, Sberbank, VTB, Unicredit e outros recursos semelhantes caem em uma lista separada: o proxy não interfere no tráfego, e os usuários podem acessá-los diretamente. Muitas vezes, o setor público funciona com o mesmo princípio: vários departamentos e serviços estatais. Portanto, essa lista é necessária na infraestrutura.
O Que Acontece se o Usuário Desativar o Proxy
Agora sobre a questão prática que surge periodicamente no suporte: o que acontecerá se o usuário simplesmente desativar o proxy nas configurações. Parece que não há nada complicado: abriu as configurações, desligou – e foi para a Internet diretamente. Mas o esquema real funciona de forma diferente. Vamos imaginar dois funcionários: um com o proxy ativado e outro não.
Se o Proxy Estiver Ativado: O usuário acessa o recurso e, em primeiro lugar, encontra o roteador mais próximo. O roteador possui uma lista de acesso – este é o primeiro nível de restrições. Claro, você não pode listar toda a Internet nela, mas você pode permitir o acesso aos recursos locais da empresa e ao próprio SWG. Como resultado, o esquema é o seguinte:
O acesso ao servidor proxy é permitido;
Os recursos corporativos vivem fora do servidor proxy;
Mesmo que o proxy não funcione, os recursos internos da empresa ainda estão disponíveis;
A saída para a Internet externa já passa pelo proxy.
Se o Proxy Estiver Desativado: Se o usuário desativar o proxy, ele também chegará ao roteador primeiro. Mas então surge um problema: qualquer que seja o recurso externo que ele tente abrir – Yandex, Asics, Gosuslugi ou qualquer outra coisa – esse acesso não é descrito diretamente por meio do equipamento de rede. Como resultado, a Internet simplesmente não funcionará para ele. Ao mesmo tempo, o acesso aos recursos corporativos permanecerá, porque eles são permitidos separadamente. É por isso que, quando alguém no escritório “não tem Internet”, uma das primeiras perguntas geralmente soa assim: as configurações do servidor proxy estão escritas para você?
Conclusões
Se você olhar formalmente, um servidor proxy é um intermediário entre o usuário e a Internet. Mas em um ambiente corporativo, você não pode ir muito longe apenas com a mediação. Quando uma empresa precisa não apenas rotear o tráfego, mas entender quais sites os usuários estão visitando, verificar recursos, restringir o acesso, aplicar políticas de segurança, trabalhar com categorização, inspeção SSL, análise e monitoramento, o SWG entra em primeiro plano. É por isso que em uma grande infraestrutura a conversa geralmente não é sobre “apenas um proxy”, mas sobre um gateway de segurança da web completo, que se torna um dos pontos básicos de controle de acesso à Internet.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Em um ambiente corporativo, um servidor proxy é frequentemente percebido como algo em segundo plano: ele simplesmente existe, opera em algum lugar, transmite tráfego e raramente chama a atenção dos usuários – até que algo pare de funcionar. No entanto, na prática, seu papel é muito mais amplo. Especialmente quando não se trata apenas de um proxy, mas de um Secure Web Gateway.
Meu nome é Mikhail Levin, sou administrador de rede do grupo de segurança de rede SM Lab. Neste artigo, vou discutir o que é um servidor proxy, como ele difere de um SWG, quais soluções existem no mercado e como todo esse esquema funciona em uma empresa.
O que é um Servidor Proxy
De modo geral, um servidor proxy é um intermediário entre o usuário e um recurso externo. Quando um usuário abre um site, sua solicitação não vai diretamente para a Internet. Primeiro, o tráfego é enviado para o servidor proxy, e então o proxy o redireciona para a rede externa e retorna a resposta ao usuário. Ou seja, não há acesso direto à Internet para o usuário neste esquema.
Para a empresa, essa abordagem oferece várias oportunidades. Em primeiro lugar, é possível restringir o acesso dos funcionários aos recursos da Internet, dependendo de quais grupos do Active Directory eles pertencem. Em segundo lugar, surge a capacidade de identificar recursos suspeitos ou proibidos e bloquear o acesso a eles. Essencialmente, as páginas acessadas pelos usuários são analisadas. Em terceiro lugar, é possível regular qual software e quais extensões são permitidos para download. Além disso, o servidor proxy permite o cache de solicitações a sites, o que ajuda a economizar tráfego.
Como os Servidores Proxy são Usados
Um servidor proxy em uma empresa pode ser usado em dois modos principais: explícito e transparente.
Proxy Explícito: No caso de um proxy explícito, as configurações são escritas no dispositivo do usuário. Elas podem ser vistas no computador do funcionário e verificar se o proxy está realmente especificado. Isso é configurado de várias maneiras: por meio de um script de configuração automática ou manualmente. Como regra, esses parâmetros são distribuídos por políticas de grupo, para que o funcionário não precise fazer nada sozinho – tudo já está configurado com antecedência.
Proxy Transparente: No segundo caso, um proxy transparente é usado. Aqui, nada é escrito no computador do usuário. Quando um funcionário acessa um recurso da web, seu tráfego primeiro chega ao roteador e depois é redirecionado para o servidor proxy usando o protocolo WCCP. Como resultado, o usuário ainda acessa a Internet por meio do proxy, mas não o vê. Este modo é especialmente útil nos casos em que não é possível especificar um proxy no dispositivo ou é difícil fazê-lo. Por exemplo, podemos estar falando de servidores Linux. Acontece que o próprio software não permite que você defina um servidor proxy – então o modo transparente se torna uma opção de trabalho.
Por que um Servidor Proxy Já Não é Suficiente
Na verdade, um servidor proxy é apenas um intermediário entre o usuário e a Internet. É aí que seu papel básico termina. Um Secure Web Gateway, ou SWG, não é apenas um intermediário, mas um complexo inteiro de soluções projetadas para garantir a segurança da web dos funcionários.
Um SWG inclui todas as capacidades básicas de um servidor proxy, mas também oferece:
Categorização de recursos;
Uso de um banco de dados de sites constantemente atualizado com dados sobre sua reputação;
Verificação do recurso ao acessar;
Identificação de sites suspeitos;
Detecção de código executável;
Detecção de malware;
Aplicação de políticas de segurança ao tráfego do usuário;
Análise e monitoramento em tempo real.
Ou seja, um proxy normal simplesmente permite que os usuários acessem a Internet por meio dele, e um SWG já ajuda a gerenciar esse acesso, controlá-lo e reduzir os riscos.
Como um SWG Difere de um Proxy Normal
Ambas as soluções podem interceptar o tráfego da web. Mas, em seguida, as diferenças se tornam fundamentais.
Inspeção SSL: As capacidades de inspeção SSL de um proxy normal são limitadas. Por inspeção SSL, entende-se aqui a capacidade de analisar o tráfego criptografado que vai para os recursos da web: entender exatamente para onde a solicitação está indo e, com base nisso, tomar uma decisão – permitir ou não. Para um SWG, este é um cenário padrão. Mas os servidores proxy normais podem ter problemas de desempenho com o aumento do tráfego, o crescimento da empresa e a escalabilidade da infraestrutura.
Filtragem de URL: Se estamos falando de filtragem de URL, a diferença também é notável. Um SWG usa uma base completa de categorias e reputações de recursos para isso. Em um proxy normal, tudo se resume a listas brancas e pretas, que precisam ser mantidas manualmente. Para uma grande empresa, essa é uma abordagem inconveniente e não escalável.
Proteção contra Ameaças: Um proxy normal não possui proteção completa contra phishing e malware. Em um SWG, esses mecanismos estão incluídos no conjunto padrão de recursos.
Modos: A questão do modo transparente também é importante. Em um SWG, esses cenários são implementados, e no caso de proxies normais, pode haver restrições.
Relatórios e Análise: Um proxy normal não possui os relatórios e análises que um SWG oferece.
Quais Soluções Existem no Mercado
Se falarmos sobre o lado prático da questão, existem várias soluções populares no mercado.
Symantec Blue Coat SWG: Em nossa empresa, usamos a solução comercial Symantec Blue Coat SWG. Esta é uma solução para grandes empresas, líder mundial em Secure Web Gateway. Na verdade, ele pode fazer quase tudo – talvez até mais do que precisamos na prática. Entre seus recursos estão:
Inspeção completa de tráfego;
Categorização de recursos;
Bases de categorias de sites constantemente atualizadas;
Operação nos modos explícito e transparente;
Documentação de alta qualidade;
Suporte técnico.
Destaco separadamente a documentação: se você precisar configurar algo ou descobrir por que algo quebrou, geralmente pode encontrar uma descrição que realmente corresponda à configuração real. Se isso não for suficiente, você sempre pode entrar em contato com o suporte.
UserGate: Este não é um SWG puro, mas um Next Generation Firewall, ou seja, um firewall de nova geração com funções SWG. A solução também é voltada para grandes empresas e é considerada líder no mercado russo. Em termos de conjunto de funções, ele pode fazer quase tudo o mesmo que o Symantec. Mas existem restrições:
No momento, o UserGate não pode operar no modo transparente;
A documentação nem sempre corresponde ao que deveria ser;
Também existem nuances com o suporte.
Ao mesmo tempo, a solução foi comprada por nós, foi testada no ano passado, e como resultado, podemos dizer que se algo acontecer com o Symantec, o UserGate poderá substituí-lo quase completamente.
Squid: Um servidor proxy de código aberto gratuito. Em essência, é aí que suas principais vantagens para grandes empresas terminam. Esta é realmente uma solução mais para pequenos escritórios. O Squid pode inspecionar o tráfego HTTPS, mas se um grande volume de tráfego passar por ele, a questão de saber se ele vai lidar com isso surge imediatamente. Ao mesmo tempo, não há menção à categorização de recursos no Squid. Tudo é construído exclusivamente em listas brancas e pretas. Ou seja, ele não poderá determinar automaticamente a qual tipo um recurso pertence. Além disso:
Ele só funciona no modo explícito;
A documentação se resume essencialmente a fóruns e ao que pode ser encontrado na Internet;
Não há suporte.
O projeto vive às custas de entusiastas: quando eles têm tempo – eles o apoiam, quando não têm tempo – não o fazem.
Como o SWG Funciona em Nossa Empresa
Agora vou contar como esse esquema se parece para nós. Digamos que um funcionário queira acessar um site externo – por exemplo, Asics, para ver a linha de modelos dos concorrentes.
Primeiro, sua solicitação vai para o servidor proxy. Em seguida, o servidor proxy substitui o certificado por um confiável. Devido a isso, a inspeção SSL se torna possível: o tráfego pode ser descriptografado e verificado. Do ponto de vista do usuário, tudo parece que ele está acessando o site diretamente. Na verdade, o usuário interage apenas com o servidor proxy, ou melhor, com o SWG, e o SWG já acessa o site externo em seu nome. Após receber a solicitação, o SWG:
Verifica o grupo AD ao qual o funcionário pertence;
Verifica a presença do recurso na lista branca e na lista negra;
Determina a categoria do recurso;
Estabelece uma conexão segura com o endereço de destino;
Verifica o recurso quanto à presença de malware e código;
E só depois disso decide abrir o acesso ou bloqueá-lo.
Distribuição de Direitos de Acesso entre Funcionários
O servidor proxy recebe dados do LDAP, onde as informações sobre os usuários e sua afiliação a grupos são armazenadas. Com base nisso, os funcionários são divididos em vários grupos:
Administradores de lojas;
Diretores de lojas;
Funcionários com acesso padrão;
Funcionários com acesso estendido;
Funcionários sem restrições de acesso.
Formando a Matriz de Acesso
Em seguida, os direitos são definidos para os grupos por categorias de recursos. No lado do SWG, há um conjunto de categorias, e uma matriz é formada para cada uma delas: qual grupo tem permissão de acesso e qual é negado. É por isso que os pedidos dos usuários vêm periodicamente na forma de “Estou abrindo o site, mas ele não está funcionando”. Nesses casos, olhamos para duas coisas: a qual categoria o recurso pertence e em qual grupo o usuário está. Às vezes, o problema é resolvido não abrindo um site específico, mas transferindo o funcionário para outro grupo com direitos mais amplos.
Análise de Recursos de Terceiros
Cada acesso a um recurso externo é acompanhado pela verificação de sua categoria. O SWG analisa o site e o compara com seu banco de dados. Dependendo do resultado, o recurso cai em uma ou outra categoria. Por exemplo, o recurso underlinestore.ru pode, por algum motivo, estar na categoria Suspicious, ou seja, entre sites suspeitos. Isso significa que, durante a análise, o código ou os scripts no site pareceram suspeitos para o sistema, e o recurso foi bloqueado. Mas, na prática, pode acontecer que este seja um site normal com roupas, que é necessário para o trabalho. Nesse caso, no Blue Coat, você pode usar o serviço de recategorização de recursos. Para fazer isso, a categoria atual do site é verificada, após o que você pode enviar uma solicitação para sua revisão. Em seguida, o recurso é verificado no lado da Symantec, e então a resposta chega:
Ou a categoria muda, por exemplo, para Shopping, o que corresponde à essência do site;
Ou uma recusa chega, e o recurso permanece na mesma categoria.
No segundo caso, você já tem que tomar uma decisão dentro da empresa – adicionar o site à lista branca ou negar o acesso ao funcionário.
Políticas Internas de Segurança SWG
Além da categorização e das bases de reputação, as políticas internas de segurança também estão em vigor no SWG – aquelas que configuramos nós mesmos. Por exemplo, usamos o navegador corporativo Mozilla Firefox. Para alguns grupos, como regra, lojas, o uso de outros navegadores é proibido. Se um funcionário da loja abrir o Chrome ou qualquer outro navegador, ele receberá uma mensagem de erro. Ao mesmo tempo, receberemos informações sobre qual usuário executou a ação, qual servidor proxy respondeu, em qual grupo ele está e o que foi executado. Existem outras políticas também. Por exemplo, você pode proibir o download de determinados tipos de arquivos, em particular, arquivos executáveis .exe. Se um funcionário de um grupo com essas restrições tentar baixar um arquivo semelhante, o sistema exibirá uma mensagem de bloqueio e negará o acesso.
O Que Está Sob o Capô
Do ponto de vista técnico, tudo começa com a declaração de grupos de usuários do Active Directory: diretores e administradores de lojas, funcionários com acesso padrão ou estendido e assim por diante. Depois disso, as regras de acesso são formadas para cada grupo. Se tomarmos como exemplo o grupo de funcionários com acessos padrão, no qual a grande maioria dos funcionários está, então, por exemplo, você pode permitir a categoria Finance para ele. Isso significa que os sites desta categoria estarão disponíveis. A próxima etapa é definir a proibição por blacklist – uma lista de recursos que é mantida manualmente com base nas políticas internas de segurança. As fontes para essa lista são diferentes. Às vezes, o serviço de segurança da informação pede para bloquear recursos específicos. Às vezes, o monitoramento mostra que um computador infectado está constantemente tentando acessar sites suspeitos para, provavelmente, puxar algo mais malicioso. Esses recursos são inseridos na lista negra para cortar esse tráfego o mais rápido possível. Em seguida, há uma proibição de sites não categorizados. O problema é que novos recursos da Internet aparecem todos os dias, e é impossível rastrear e categorizar absolutamente todos os sites no modo “segundo a segundo”. Portanto, existe uma categoria de recursos sem categoria. E pode haver qualquer coisa lá: um site normal e um site com malware. Portanto, esses recursos são bloqueados por padrão. A lógica aqui é simples: é melhor proibir o desconhecido primeiro e depois processar o pedido de abertura de acesso do que permitir tudo de uma vez e depois lidar com as consequências. Depois disso, uma whitelist é compilada – uma lista de recursos permitidos. É necessário, por exemplo, na seguinte situação: a empresa enviou um pedido de recategorização de um recurso que considera seguro e necessário para o trabalho, mas o fornecedor respondeu que não o considera seguro. Se, dentro da empresa, ainda tiverem certeza de que não há ameaça, esse recurso pode ser adicionado à lista branca. Nesse caso, o SWG primeiro verificará a lista branca e, em seguida, não olhará para a categoria do site e simplesmente permitirá que o usuário o acesse. Em seguida, as demais políticas por categorias são aplicadas. Por exemplo, a categoria Suspicious, da qual falamos acima, é proibida para nós. Além da lista negra e da lista branca, há outra lista importante – recursos para os quais a Interceptação SSL não se aplica. Isso é necessário nos casos em que um recurso externo não permite a presença de um intermediário entre o usuário e o servidor. Do seu ponto de vista, esse comportamento pode parecer um esquema não confiável ou até mesmo uma tentativa de ataque man-in-the-middle, portanto, ele pode não aceitar solicitações por meio de um proxy. Bancos costumam trabalhar de acordo com esse cenário. Portanto, Sberbank, VTB, Unicredit e outros recursos semelhantes caem em uma lista separada: o proxy não interfere no tráfego, e os usuários podem acessá-los diretamente. Muitas vezes, o setor público funciona com o mesmo princípio: vários departamentos e serviços estatais. Portanto, essa lista é necessária na infraestrutura.
O Que Acontece se o Usuário Desativar o Proxy
Agora sobre a questão prática que surge periodicamente no suporte: o que acontecerá se o usuário simplesmente desativar o proxy nas configurações. Parece que não há nada complicado: abriu as configurações, desligou – e foi para a Internet diretamente. Mas o esquema real funciona de forma diferente. Vamos imaginar dois funcionários: um com o proxy ativado e outro não.
Se o Proxy Estiver Ativado: O usuário acessa o recurso e, em primeiro lugar, encontra o roteador mais próximo. O roteador possui uma lista de acesso – este é o primeiro nível de restrições. Claro, você não pode listar toda a Internet nela, mas você pode permitir o acesso aos recursos locais da empresa e ao próprio SWG. Como resultado, o esquema é o seguinte:
O acesso ao servidor proxy é permitido;
Os recursos corporativos vivem fora do servidor proxy;
Mesmo que o proxy não funcione, os recursos internos da empresa ainda estão disponíveis;
A saída para a Internet externa já passa pelo proxy.
Se o Proxy Estiver Desativado: Se o usuário desativar o proxy, ele também chegará ao roteador primeiro. Mas então surge um problema: qualquer que seja o recurso externo que ele tente abrir – Yandex, Asics, Gosuslugi ou qualquer outra coisa – esse acesso não é descrito diretamente por meio do equipamento de rede. Como resultado, a Internet simplesmente não funcionará para ele. Ao mesmo tempo, o acesso aos recursos corporativos permanecerá, porque eles são permitidos separadamente. É por isso que, quando alguém no escritório “não tem Internet”, uma das primeiras perguntas geralmente soa assim: as configurações do servidor proxy estão escritas para você?
Conclusões
Se você olhar formalmente, um servidor proxy é um intermediário entre o usuário e a Internet. Mas em um ambiente corporativo, você não pode ir muito longe apenas com a mediação. Quando uma empresa precisa não apenas rotear o tráfego, mas entender quais sites os usuários estão visitando, verificar recursos, restringir o acesso, aplicar políticas de segurança, trabalhar com categorização, inspeção SSL, análise e monitoramento, o SWG entra em primeiro plano. É por isso que em uma grande infraestrutura a conversa geralmente não é sobre “apenas um proxy”, mas sobre um gateway de segurança da web completo, que se torna um dos pontos básicos de controle de acesso à Internet.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
