Ne každá proxy je stejná. A když do hry vstoupí šifrování přes TLS, začíná jít o docela zásadní rozdíly, které můžou rozhodnout o tom, jak bezpečný, výkonný a transparentní bude provoz mezi klientem a serverem. Pokud pracujete se síťovou infrastrukturou, provozujete reverzní proxy nebo ladíte bezpečnostní politiky ve firmě, měl by vás zajímat rozdíl mezi TLS terminací a tzv. pass-through proxy (průchozí proxy). Obě přístupy pracují s TLS, ale každá úplně jinak.
Co je TLS terminace?
Když se řekne „TLS terminace“, znamená to, že šifrované spojení mezi klientem a serverem je ukončeno už na proxy. Jinými slovy – proxy rozšifruje provoz, koukne se, co v něm je, případně ho upraví nebo přesměruje, a pak (většinou) vytvoří nové šifrované spojení dál směrem k cílovému serveru.
Je to jako kdyby proxy fungovala jako „přestupní stanice“ – klient pošle šifrovanou zprávu, proxy ji přečte, přebalí a odešle dál.
Co to umožňuje?
- Inspekce obsahu – např. detekce virů, filtrování zakázaných webů nebo blokace citlivých dat.
- Load balancing – proxy může rozhodnout, na jaký backend server požadavek pošle.
- Offloading šifrování – šifrovací operace běží na proxy, takže backend servery mají menší zátěž.
Co to ale znamená pro bezpečnost?
Proxy má přístup k nešifrovaným datům. Pokud je proxy kompromitována, útočník může vidět nebo měnit citlivý obsah (např. přihlašovací údaje, zdravotní data apod.). Proto je naprosto klíčové, aby byla proxy zabezpečená jak Fort Knox.
Co je TLS pass-through (průchozí proxy)?
Průchozí proxy dělá přesně to, co napovídá název – neřeší vůbec nic, jen přeposílá šifrovaný provoz dál. Nemá šanci ani nárok do něj nahlédnout, protože spojení mezi klientem a serverem zůstává end-to-end šifrované.
K čemu je to dobré?
- Vysoká bezpečnost obsahu – proxy vůbec nevidí, co se přenáší. Riziko úniku dat je minimální.
- Nižší zátěž – proxy nemusí počítat žádné šifrování, takže je rychlejší a jednodušší.
- Transparentní provoz – pro klienta je proxy prakticky neviditelná. Skvělé pro testovací prostředí nebo jednodušší sítě.
Ale má to háček
Protože proxy nevidí dovnitř provozu, není možné provádět žádnou inspekci ani filtrování. Nelze detekovat škodlivý obsah, škálovat požadavky nebo řešit load balancing na základě obsahu požadavků.
Praktické rozdíly na konkrétním příkladu
| Aspekt | TLS terminace proxy | Průchozí (pass-through) proxy |
|---|---|---|
| Šifrování mezi klientem a proxy | Proxy data dešifruje | Data zůstávají šifrovaná |
| Šifrování mezi proxy a serverem | Proxy naváže nové TLS spojení | Proxy přeposílá šifrovaná data dál |
| Inspekce/modifikace dat | Ano – proxy má přístup k obsahu | Ne – proxy nevidí data |
| Bezpečnost | Vyšší riziko, pokud proxy selže | Obsah je chráněn po celé trase |
| Výkon | Vyšší zátěž – dešifrování je náročné | Nižší zátěž – žádné dešifrování |
| Použití | Filtrování, load balancing, WAF | Transparentní přeposílání TLS |
| Konfigurace klienta | Navazuje spojení s proxy | Navazuje spojení se serverem |
Kdy zvolit TLS terminaci?
Zvažte TLS terminaci, pokud:
- potřebujete inspekci provozu (např. kvůli legislativě nebo interním politikám),
- chcete rozdělovat zátěž mezi víc backendů,
- implementujete Web Application Firewall (WAF),
- provozujete reverzní proxy před aplikačními servery.
Např. NGINX nebo HAProxy v roli TLS terminující proxy vám umožní kontrolovat, co přesně uživatelé odesílají a přijímají.
Kdy raději použít pass-through?
Zůstaňte u průchozí proxy, pokud:
- je pro vás klíčové zachování maximální bezpečnosti dat,
- nechcete riskovat únik nešifrovaného provozu přes proxy,
- nepotřebujete inspekci ani load balancing,
- provozujete forward proxy nebo jednoduchý tunneling (např. v síti bez detailní správy provozu).
Typickým příkladem je situace, kdy nechcete „špehovat“ klienty, ale jen chcete povolit nebo blokovat přístup podle domény (např. poAmocí SNI – Server Name Indication), aniž byste rozšifrovali celou komunikaci.
Závěrečné shrnutí
TLS terminace
- Umožňuje pokročilou inspekci a manipulaci s provozem.
- Vyžaduje důvěru v proxy – má přístup k citlivým datům.
- Je vhodná pro enterprise prostředí, bezpečnostní analýzy nebo regulované segmenty.
TLS pass-through
- Zachovává end-to-end šifrování mezi klientem a serverem.
- Je jednodušší, rychlejší a bezpečnější z pohledu úniku dat.
- Hodí se tam, kde není potřeba kontrolovat obsah přenášených dat.
Můj tip na závěr
Pokud váháte, co použít, položte si otázku:
„Potřebuju vědět, co v tom provozu je, nebo mi stačí, že data bezpečně dorazí?“
Pokud druhé, průchozí proxy vám udělá skvělou službu bez zbytečné režie. Pokud první, jděte do TLS terminace.
Vaše komentáře
Zatím nejsou žádné komentáře… Buďte první, kdo ho napíše.
Přispějte svým komentářem
