CDN 安全嗎��?關(guān)于這個(gè)問(wèn)題表明�����,是能覆蓋網(wǎng)絡(luò)在性能和安全性之間進(jìn)行權(quán)衡。內(nèi)容交付網(wǎng)絡(luò) (CDN) 就像Internet的滾珠軸承���。如果沒(méi)有邊緣緩存來(lái)加快圖片和其他靜態(tài)內(nèi)容的加載時(shí)間���,互聯(lián)網(wǎng)的齒輪就會(huì)停止運(yùn)轉(zhuǎn)。
CDN是一種覆蓋網(wǎng)絡(luò)�,可將網(wǎng)站內(nèi)容移近最終用戶以獲得更好的性能?���;ヂ?lián)網(wǎng)覆蓋網(wǎng)絡(luò)提供的常見(jiàn)服務(wù)包括邊緣緩存、SSL 卸載和邊緣路由等 CDN 服務(wù)�����。
互聯(lián)網(wǎng)覆蓋網(wǎng)絡(luò)允許網(wǎng)站提供商利用第三方基礎(chǔ)設(shè)施來(lái)提高性能和安全性����。與建立區(qū)域數(shù)據(jù)中心不同,網(wǎng)站提供商可以以一小部分成本“租用”覆蓋網(wǎng)絡(luò)基礎(chǔ)設(shè)施��。
本文將描述了覆蓋網(wǎng)絡(luò)和 CDN 的潛在安全問(wèn)題,以及在提高性能的同時(shí)減少漏洞的替代方案�����。
一����、CDN安全和覆蓋網(wǎng)絡(luò)
在評(píng)估覆蓋網(wǎng)絡(luò)的安全問(wèn)題時(shí),Web和移動(dòng)應(yīng)用程序提供商應(yīng)考慮三個(gè)關(guān)鍵架構(gòu)問(wèn)題:
1���、有狀態(tài)與無(wú)狀態(tài)覆蓋網(wǎng)絡(luò):覆蓋網(wǎng)絡(luò)執(zhí)行的邊緣服務(wù)類型很重要�����。一些示例包括緩存、路由和SSL卸載��?�?缍鄠€(gè)邊緣節(jié)點(diǎn)存儲(chǔ)敏感內(nèi)容會(huì)帶來(lái)安全風(fēng)險(xiǎn)����。
2、需要SSL密鑰與無(wú)密鑰覆蓋網(wǎng)絡(luò):需要SSL 密鑰可以提供更好的性能����。代價(jià)是新的安全漏洞��。如果內(nèi)容被緩存在邊緣節(jié)點(diǎn)中��,則尤其如此���。
3、共享與無(wú)共享覆蓋網(wǎng)絡(luò):共享基礎(chǔ)設(shè)施意味著其他人的問(wèn)題可能會(huì)成為您的問(wèn)題��。隔離可以降低這種風(fēng)險(xiǎn)�����。
二�、有狀態(tài)與無(wú)狀態(tài)覆蓋網(wǎng)絡(luò)
大多 CDN在許多地理位置分散的位置緩存內(nèi)容。相比之下����,一些覆蓋網(wǎng)絡(luò)是“無(wú)狀態(tài)的”,邊緣節(jié)點(diǎn)中沒(méi)有存儲(chǔ)敏感內(nèi)容��。在CDN中緩存靜態(tài)和公開(kāi)可用內(nèi)容的風(fēng)險(xiǎn)非常低��。例如�,公共圖像、視頻和字體通常安全地緩存在CDN中。
另一方面����, 如果安全是一個(gè)主要問(wèn)題,公共CDN可能不是一個(gè)好的解決方案��。特別是����,在第三方CDN中托管 JavaScript 庫(kù)可能會(huì)有風(fēng)險(xiǎn)。對(duì)于敏感內(nèi)容����,限制數(shù)據(jù)中心的數(shù)量是一種很好的安全做法。
為了解決這些安全問(wèn)題�,有兩種類型的無(wú)狀態(tài)覆蓋網(wǎng)絡(luò):
1、SSL 卸載:邊緣節(jié)點(diǎn)可以代表源服務(wù)器處理與最終用戶的SSL握手��。這可以大大減少支持SSL連接的開(kāi)銷��。代價(jià)是它需要源網(wǎng)站共享其 SSL 密鑰�。
2�、邊緣路由:邊緣節(jié)點(diǎn)可以處理TCP終止并優(yōu)化返回源服務(wù)器的路由。這可以在不需要SSL證書的情況下提高性能�。
三、需要 SSL 密鑰與無(wú)密鑰覆蓋網(wǎng)絡(luò)
覆蓋網(wǎng)絡(luò)可以通過(guò)邊緣節(jié)點(diǎn)與最終用戶執(zhí)行SSL握手。這需要來(lái)自源網(wǎng)站的SSL證書�����。盡管最終用戶和邊緣節(jié)點(diǎn)之間的流量是加密的���,但緩存中的內(nèi)容通常不會(huì)�。這使得這些緩存成為黑客攻擊的潛在目標(biāo)�。
無(wú)需SSL證書即可加速流量的覆蓋網(wǎng)絡(luò)可降低Web和移動(dòng)應(yīng)用程序提供商的安全風(fēng)險(xiǎn)。
四�、CDN 安全性和“共享一切”覆蓋網(wǎng)絡(luò)
覆蓋網(wǎng)絡(luò)供應(yīng)商通常會(huì) 在安全基礎(chǔ)設(shè)施上進(jìn)行大量投資。然而���,它們的規(guī)模和成功威脅到 CDN 的安全并招致攻擊���。簡(jiǎn)而言之,CDN 存在點(diǎn) (POP) 增加了潛在黑客的攻擊面����。當(dāng)網(wǎng)站 與覆蓋網(wǎng)絡(luò)提供商共享 SSL 證書時(shí),這種風(fēng)險(xiǎn)會(huì)進(jìn)一步增加����。
CDN 的好處是在提供靜態(tài)內(nèi)容時(shí)限制網(wǎng)絡(luò)擁塞�����。然而��, 安全風(fēng)險(xiǎn) 是任何在 CDN 服務(wù)器上具有類似 root 權(quán)限的用戶都可以訪問(wèn)和替換內(nèi)容�����。這反過(guò)來(lái)又要求 CDN 客戶信任每個(gè) CDN POP 的安全性����。
另一種方法是讓覆蓋網(wǎng)絡(luò)在每個(gè)客戶的基礎(chǔ)上運(yùn)行單獨(dú)和隔離的虛擬網(wǎng)絡(luò)��。在某些情況下�,隔離可以基于每個(gè) URL。這種“無(wú)共享”方法有助于確保即使一個(gè)虛擬網(wǎng)絡(luò)受到威脅�,其他網(wǎng)絡(luò)也不會(huì)受到影響。由于客戶之間的隔離�����,像 CloudBleed 這樣的錯(cuò)誤帶來(lái)的風(fēng)險(xiǎn)要低得多�。
總之����,CloudBleed漏洞提高了對(duì)與分發(fā)內(nèi)容和SSL密鑰相關(guān)的潛在 CDN安全問(wèn)題的認(rèn)識(shí)����。Web和移動(dòng)應(yīng)用程序提供商應(yīng)考慮多種因素來(lái)確定滿足其要求的最佳覆蓋網(wǎng)絡(luò)解決方案���。
