CDN 安全嗎�����?關(guān)于這個問題表明,是能覆蓋網(wǎng)絡(luò)在性能和安全性之間進行權(quán)衡��。內(nèi)容交付網(wǎng)絡(luò) (CDN) 就像Internet的滾珠軸承�����。如果沒有邊緣緩存來加快圖片和其他靜態(tài)內(nèi)容的加載時間���,互聯(lián)網(wǎng)的齒輪就會停止運轉(zhuǎn)����。
CDN是一種覆蓋網(wǎng)絡(luò)��,可將網(wǎng)站內(nèi)容移近最終用戶以獲得更好的性能����。互聯(lián)網(wǎng)覆蓋網(wǎng)絡(luò)提供的常見服務(wù)包括邊緣緩存��、SSL 卸載和邊緣路由等 CDN 服務(wù)��。
互聯(lián)網(wǎng)覆蓋網(wǎng)絡(luò)允許網(wǎng)站提供商利用第三方基礎(chǔ)設(shè)施來提高性能和安全性����。與建立區(qū)域數(shù)據(jù)中心不同,網(wǎng)站提供商可以以一小部分成本“租用”覆蓋網(wǎng)絡(luò)基礎(chǔ)設(shè)施����。
本文將描述了覆蓋網(wǎng)絡(luò)和 CDN 的潛在安全問題��,以及在提高性能的同時減少漏洞的替代方案�����。
一���、CDN安全和覆蓋網(wǎng)絡(luò)
在評估覆蓋網(wǎng)絡(luò)的安全問題時,Web和移動應用程序提供商應考慮三個關(guān)鍵架構(gòu)問題:
1�����、有狀態(tài)與無狀態(tài)覆蓋網(wǎng)絡(luò):覆蓋網(wǎng)絡(luò)執(zhí)行的邊緣服務(wù)類型很重要�。一些示例包括緩存、路由和SSL卸載����?���?缍鄠€邊緣節(jié)點存儲敏感內(nèi)容會帶來安全風險��。
2�����、需要SSL密鑰與無密鑰覆蓋網(wǎng)絡(luò):需要SSL 密鑰可以提供更好的性能�。代價是新的安全漏洞。如果內(nèi)容被緩存在邊緣節(jié)點中���,則尤其如此�。
3����、共享與無共享覆蓋網(wǎng)絡(luò):共享基礎(chǔ)設(shè)施意味著其他人的問題可能會成為您的問題���。隔離可以降低這種風險���。
二�、有狀態(tài)與無狀態(tài)覆蓋網(wǎng)絡(luò)
大多 CDN在許多地理位置分散的位置緩存內(nèi)容�����。相比之下�,一些覆蓋網(wǎng)絡(luò)是“無狀態(tài)的”,邊緣節(jié)點中沒有存儲敏感內(nèi)容����。在CDN中緩存靜態(tài)和公開可用內(nèi)容的風險非常低。例如�����,公共圖像��、視頻和字體通常安全地緩存在CDN中���。
另一方面�����, 如果安全是一個主要問題�,公共CDN可能不是一個好的解決方案��。特別是���,在第三方CDN中托管 JavaScript 庫可能會有風險�。對于敏感內(nèi)容�����,限制數(shù)據(jù)中心的數(shù)量是一種很好的安全做法�����。
為了解決這些安全問題�,有兩種類型的無狀態(tài)覆蓋網(wǎng)絡(luò):
1、SSL 卸載:邊緣節(jié)點可以代表源服務(wù)器處理與最終用戶的SSL握手����。這可以大大減少支持SSL連接的開銷。代價是它需要源網(wǎng)站共享其 SSL 密鑰�。
2、邊緣路由:邊緣節(jié)點可以處理TCP終止并優(yōu)化返回源服務(wù)器的路由�。這可以在不需要SSL證書的情況下提高性能。
三、需要 SSL 密鑰與無密鑰覆蓋網(wǎng)絡(luò)
覆蓋網(wǎng)絡(luò)可以通過邊緣節(jié)點與最終用戶執(zhí)行SSL握手�。這需要來自源網(wǎng)站的SSL證書。盡管最終用戶和邊緣節(jié)點之間的流量是加密的��,但緩存中的內(nèi)容通常不會��。這使得這些緩存成為黑客攻擊的潛在目標��。
無需SSL證書即可加速流量的覆蓋網(wǎng)絡(luò)可降低Web和移動應用程序提供商的安全風險����。
四�����、CDN 安全性和“共享一切”覆蓋網(wǎng)絡(luò)
覆蓋網(wǎng)絡(luò)供應商通常會 在安全基礎(chǔ)設(shè)施上進行大量投資����。然而,它們的規(guī)模和成功威脅到 CDN 的安全并招致攻擊���。簡而言之�����,CDN 存在點 (POP) 增加了潛在黑客的攻擊面�。當網(wǎng)站 與覆蓋網(wǎng)絡(luò)提供商共享 SSL 證書時,這種風險會進一步增加��。
CDN 的好處是在提供靜態(tài)內(nèi)容時限制網(wǎng)絡(luò)擁塞����。然而, 安全風險 是任何在 CDN 服務(wù)器上具有類似 root 權(quán)限的用戶都可以訪問和替換內(nèi)容��。這反過來又要求 CDN 客戶信任每個 CDN POP 的安全性���。
另一種方法是讓覆蓋網(wǎng)絡(luò)在每個客戶的基礎(chǔ)上運行單獨和隔離的虛擬網(wǎng)絡(luò)���。在某些情況下,隔離可以基于每個 URL����。這種“無共享”方法有助于確保即使一個虛擬網(wǎng)絡(luò)受到威脅,其他網(wǎng)絡(luò)也不會受到影響��。由于客戶之間的隔離��,像 CloudBleed 這樣的錯誤帶來的風險要低得多�。
總之���,CloudBleed漏洞提高了對與分發(fā)內(nèi)容和SSL密鑰相關(guān)的潛在 CDN安全問題的認識。Web和移動應用程序提供商應考慮多種因素來確定滿足其要求的最佳覆蓋網(wǎng)絡(luò)解決方案�����。
