CDN的安全风险是什么?
2019-05-30 12:23:23 【

与所有暴露于互联网的网络一样,CDN必须防范中间人攻击,数据泄露以及使用DDoS攻击淹没目标源服务器网络的企图。 CDN可以有多种策略来缓解漏洞,包括正确的SSL/TLS加密和专用加密硬件。


什么是SSL/TLS加密?

传输层安全性(TLS)是一种用于加密通过Internet发送的数据的协议。TLS源于安全套接字层(SSL),这是第一个广泛采用的Web加密协议,用于修复早期协议的大部分安全漏洞。由于历史原因,该行业仍然可以互换使用这些术语。您使用https://而不是http://开始访问的任何网站都使用TLS/SSL进行浏览器和服务器之间的通信。


为了防止不良行为者访问重要数据,必须采用适当的加密实践。由于互联网的设计方式使得数据可以跨越多个位置传输,因此可以在全球范围内拦截重要信息包。通过使用加密协议,只有预期的接收者能够解码和读取信息,并且防止中间人解码所传送的数据的内容。


TLS协议旨在提供3个组件:

身份验证 - 验证提供者的身份验证的有效性的能力

加密 - 将从一个主机发送到另一个主机的信息混淆的功能

完整性 - 检测伪造和篡改的能力

什么是SSL证书?

要启用TLS,站点需要SSL证书和相应的密钥。证书是包含有关站点所有者和非对称密钥对的公共一半的信息的文件。证书颁发机构(CA)对证书进行数字签名,以验证证书中的信息是否正确。通过信任证书,您相信证书颁发机构已经完成了尽职调查。




操作系统和浏览器通常具有他们隐含信任的证书颁发机构列表。如果网站提供者由不受信任的证书颁发机构签名的证书,则浏览器会警告访问者可能正在进行某些操作。


证书及其实施方式也可以根据强度,协议支持和其他特征进行独立评级。随着更新,更好的实施可用或其他因素导致认证实施的整体安全性降低,评级可能会随着时间而变化。如果原始服务器具有较旧的较低级SSL安全性实施,则其通常会被评级为较差并且可能易受损害。


CDN具有额外的好处,即使用CDN提供的证书为其网络中托管的属性的访问者提供安全性。由于访问者仅连接到CDN,因此原始服务器和CDN之间使用的较旧或安全性较低的证书不会影响客户端的体验。




实际上,这种较弱的服务器到边缘安全性仍然代表了一个漏洞,应该避免,特别是考虑到使用免费源加密可以轻松升级源服务器的安全性。





适当的安全性对于搜索引擎也很重要;加密的网络资源可以提高Google搜索的排名。


SSL / TLS连接的运行方式与传统的TCP / IP连接不同。一旦建立了TCP连接的初始阶段,就会进行单独的交换以建立安全连接。本文将请求作为客户端的安全连接的设备和作为服务器提供安全连接的设备,如用户加载使用SSL / TLS加密的网页的情况。


首先,TCP / IP握手分为3个步骤:

客户端向服务器发送SYN数据包以启动连接。

服务器使用SYN / ACK数据包响应该初始数据包,以便确认通信。

最后,客户端返回ACK数据包以确认从服务器接收到数据包。完成此数据包发送和接收序列后,TCP连接处于打开状态并能够发送和接收数据。





发生TCP / IP握手后,将开始TLS加密握手。 TLS握手实现背后的详细过程超出了本指南的范围。 相反,我们将专注于握手的核心目的和完成该过程所需的时间。


从高层次来看,TLS握手有三个主要组件:

客户端和服务器协商TLS版本以及要在通信中使用的加密密码的类型。

客户端和服务器采取措施确保相互真实的通信。

交换密钥以用于将来的加密通信。


在下图中,可视化TCP / IP握手和TLS握手中涉及的每个步骤。 请记住,每个箭头代表一个单独的通信,必须在客户端和服务器之间进行物理传输。 由于使用TLS加密时来回消息总数增加,因此网页加载时间会增加。





出于说明的目的,可以说TCP握手花费大约50ms,TLS握手可能花费大约110ms。这主要是由于在客户端和服务器之间双向发送数据所花费的时间。往返时间(RTT)的概念,即信息从一个设备传输到另一个设备再返回的时间量,可用于量化连接创建的“昂贵”程度。如果不进行优化且不使用CDN,则额外的RTT表示延迟增加并且最终用户的加载时间减少。幸运的是,可以进行优化以改善总加载时间并减少来回跳闸次数。


如何改善SSL延迟?

SSL优化可以减少RTT并缩短页面加载时间。以下是可以优化TLS连接的3种方法:


TLS会话恢复 - 通过为其他请求恢复相同的会话,CDN可以使源服务器和CDN网络之间的连接保持更长时间。保持连接活动可节省在客户端需要未缓存的原始提取时重新协商CDN与源服务器之间的连接所花费的时间。只要原始服务器在保持与CDN的连接的同时接收到其他请求,该站点的其他访问者将体验到更低的延迟。


会话恢复实时信息图表

会话恢复的总成本低于完整TLS握手的50%,这主要是因为会话恢复仅需要一次往返,而完整的TLS握手需要两次。此外,会话恢复不需要任何大的有限域算法(新会话),因此与完全TLS握手相比,客户端的CPU成本几乎可以忽略不计。对于移动用户而言,通过会话恢复提高性能意味着更具反应性和电池寿命的冲浪体验。


会话恢复CPU时间图表

启用TLS False Start  - 当访问者第一次查看该站点时,上面提到的会话恢复将没有帮助。 TLS False Start允许发送方在没有完整TLS握手的情况下发送应用程序数据。


SSL / TLS False启动握手图

False Start不会修改TLS协议本身,它只会修改数据传输的时间。一旦客户端开始密钥交换,就可以确保加密并开始数据传输。此修改减少了往返次数,减少了60ms所需的延迟。


零往返时间恢复(0-RTT) -  0-RTT允许会话恢复,而无需在连接中添加额外的RTT延迟。对于使用TLS 1.3和0-RTT的恢复连接,连接速度得到改善,从而为用户定期访问的网站带来更快,更流畅的Web体验。这种速度提升在移动网络上尤其明显。


0-RTT是一种有效的改进,但并非没有一些安全权衡。为了克服所谓的重放攻击的风险,CDN服务可以对HTTP请求的类型和允许的参数实施限制。要了解更多信息,请浏览0-RTT简介。


CDN防御DDoS攻击

现代互联网上Web属性最重要的安全漏洞之一是使用分布式拒绝服务DDoS攻击。随着时间的推移,DDoS攻击的规模和复杂性都在增加,攻击者利用僵尸网络来攻击具有攻击流量的网站。大规模且配置正确的CDN具有规模潜在的好处,可作为防御DDoS的保护因素;通过拥有足够的数据中心位置和相当大的带宽功能,CDN能够承受并减轻一些容易淹没目标源服务器的传入攻击流量。


可以采取其他步骤来保护TLS连接。了解有关防御吧CDN的更多信息并了解TLS攻击。


】【打印关闭】 【返回顶部
上一篇Windows应急响应处置流程 下一篇防御吧高防cdn