CDN 安全嗎？關(guān)于這個問題表明，是能覆蓋網(wǎng)絡(luò)在性能和安全性之間進(jìn)行權(quán)衡。內(nèi)容交付網(wǎng)絡(luò) (CDN) 就像Internet的滾珠軸承。如果沒有邊緣緩存來加快圖片和其他靜態(tài)內(nèi)容的加載時間，互聯(lián)網(wǎng)的齒輪就會停止運轉(zhuǎn)。

CDN是一種覆蓋網(wǎng)絡(luò)，可將網(wǎng)站內(nèi)容移近最終用戶以獲得更好的性能。互聯(lián)網(wǎng)覆蓋網(wǎng)絡(luò)提供的常見服務(wù)包括邊緣緩存、SSL 卸載和邊緣路由等 CDN 服務(wù)。

互聯(lián)網(wǎng)覆蓋網(wǎng)絡(luò)允許網(wǎng)站提供商利用第三方基礎(chǔ)設(shè)施來提高性能和安全性。與建立區(qū)域數(shù)據(jù)中心不同，網(wǎng)站提供商可以以一小部分成本“租用”覆蓋網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

本文將描述了覆蓋網(wǎng)絡(luò)和 CDN 的潛在安全問題，以及在提高性能的同時減少漏洞的替代方案。

一、CDN安全和覆蓋網(wǎng)絡(luò)

在評估覆蓋網(wǎng)絡(luò)的安全問題時，Web和移動應(yīng)用程序提供商應(yīng)考慮三個關(guān)鍵架構(gòu)問題：

1、有狀態(tài)與無狀態(tài)覆蓋網(wǎng)絡(luò)：覆蓋網(wǎng)絡(luò)執(zhí)行的邊緣服務(wù)類型很重要。一些示例包括緩存、路由和SSL卸載。跨多個邊緣節(jié)點存儲敏感內(nèi)容會帶來安全風(fēng)險。

2、需要SSL密鑰與無密鑰覆蓋網(wǎng)絡(luò)：需要SSL 密鑰可以提供更好的性能。代價是新的安全漏洞。如果內(nèi)容被緩存在邊緣節(jié)點中，則尤其如此。

3、共享與無共享覆蓋網(wǎng)絡(luò)：共享基礎(chǔ)設(shè)施意味著其他人的問題可能會成為您的問題。隔離可以降低這種風(fēng)險。

二、有狀態(tài)與無狀態(tài)覆蓋網(wǎng)絡(luò)

大多 CDN在許多地理位置分散的位置緩存內(nèi)容。相比之下，一些覆蓋網(wǎng)絡(luò)是“無狀態(tài)的”，邊緣節(jié)點中沒有存儲敏感內(nèi)容。在CDN中緩存靜態(tài)和公開可用內(nèi)容的風(fēng)險非常低。例如，公共圖像、視頻和字體通常安全地緩存在CDN中。

另一方面， 如果安全是一個主要問題，公共CDN可能不是一個好的解決方案。特別是，在第三方CDN中托管 JavaScript 庫可能會有風(fēng)險。對于敏感內(nèi)容，限制數(shù)據(jù)中心的數(shù)量是一種很好的安全做法。

為了解決這些安全問題，有兩種類型的無狀態(tài)覆蓋網(wǎng)絡(luò)：

1、SSL 卸載：邊緣節(jié)點可以代表源服務(wù)器處理與最終用戶的SSL握手。這可以大大減少支持SSL連接的開銷。代價是它需要源網(wǎng)站共享其 SSL 密鑰。

2、邊緣路由：邊緣節(jié)點可以處理TCP終止并優(yōu)化返回源服務(wù)器的路由。這可以在不需要SSL證書的情況下提高性能。

三、需要 SSL 密鑰與無密鑰覆蓋網(wǎng)絡(luò)

覆蓋網(wǎng)絡(luò)可以通過邊緣節(jié)點與最終用戶執(zhí)行SSL握手。這需要來自源網(wǎng)站的SSL證書。盡管最終用戶和邊緣節(jié)點之間的流量是加密的，但緩存中的內(nèi)容通常不會。這使得這些緩存成為黑客攻擊的潛在目標(biāo)。

無需SSL證書即可加速流量的覆蓋網(wǎng)絡(luò)可降低Web和移動應(yīng)用程序提供商的安全風(fēng)險。

四、CDN 安全性和“共享一切”覆蓋網(wǎng)絡(luò)

覆蓋網(wǎng)絡(luò)供應(yīng)商通常會 在安全基礎(chǔ)設(shè)施上進(jìn)行大量投資。然而，它們的規(guī)模和成功威脅到 CDN 的安全并招致攻擊。簡而言之，CDN 存在點 (POP) 增加了潛在黑客的攻擊面。當(dāng)網(wǎng)站  與覆蓋網(wǎng)絡(luò)提供商共享 SSL 證書時，這種風(fēng)險會進(jìn)一步增加。

CDN 的好處是在提供靜態(tài)內(nèi)容時限制網(wǎng)絡(luò)擁塞。然而， 安全風(fēng)險 是任何在 CDN 服務(wù)器上具有類似 root 權(quán)限的用戶都可以訪問和替換內(nèi)容。這反過來又要求 CDN 客戶信任每個 CDN POP 的安全性。

另一種方法是讓覆蓋網(wǎng)絡(luò)在每個客戶的基礎(chǔ)上運行單獨和隔離的虛擬網(wǎng)絡(luò)。在某些情況下，隔離可以基于每個 URL。這種“無共享”方法有助于確保即使一個虛擬網(wǎng)絡(luò)受到威脅，其他網(wǎng)絡(luò)也不會受到影響。由于客戶之間的隔離，像 CloudBleed 這樣的錯誤帶來的風(fēng)險要低得多。

總之，CloudBleed漏洞提高了對與分發(fā)內(nèi)容和SSL密鑰相關(guān)的潛在 CDN安全問題的認(rèn)識。Web和移動應(yīng)用程序提供商應(yīng)考慮多種因素來確定滿足其要求的最佳覆蓋網(wǎng)絡(luò)解決方案。