Radware 當前,CDN安全遠遠不足

2021-09-22 22:21:13 字數 1919 閱讀 3610

當前,許多企業都意識到

ddos

防禦對維護非凡客戶體驗而言至關重要。這是為什麼呢?因為

網路攻擊對

載入時間或終端使用者體驗的影響遠超過

其他因素

,網路攻擊是應用效能的無症狀殺手。

作為向終端使用者提供

高可用和高效能內容

的經銷商,cdn是客戶體驗的關鍵。然而,cdn網路中的新漏洞也讓很多人想知道cdn本身是否容易遭受到各

類攻擊侵擾,如:

迴圈攻擊。

那麼cdn容易遭受到什麼型別的攻擊呢?以下是

會危及到cdn的5大威脅

,企業必須防範這些威脅。

盲點1:動態內容攻擊

許多cdn都能夠限制

傳送到受攻擊伺服器的動態請求數量。這就意味著,他們

無法區分

攻擊者和合法使用者,速率限制

也會攔截合法使用者。

盲點2:基於ssl的攻擊

基於ssl的ddos攻擊

的攻擊目標是

容易發起,

但是很難

緩解,因此成為了攻擊者的最愛。為了檢測並緩解ddos ssl攻擊,cdn伺服器必須首先

利用客戶的ssl金鑰

解密流量

。如果客戶不願意向cdn提供商提供ssl金鑰,ssl攻擊流量就會重定向至客戶的源伺服器,使得

在涉及到waf技術的ddos攻擊中,cdn網路

在可擴充套件性能的

每秒ssl連線數方面還有乙個

明顯劣勢

,並可能出現嚴重的延遲問題。

pci和其它安全合規性也是乙個問題,有時候

會限制資料中心

為客戶提供

服務的能力,這是

因為並不是所有的cdn都具備跨所有資料中心的pci合規性。這可能再次增加延遲並引發審計問題。

盲點3:針對非cdn服務的攻擊

流向這些應用的流量並不會通過cdn傳送。此外,許多web應用也不是由cdn提供

服務的。攻擊者正在利用這一盲點發起

不經過cdn傳送的

針對應用的攻擊

,並利用可能堵塞客戶網際網路管道的大規模攻擊客戶源伺服器。一旦網際網路管道被堵塞,客戶源伺服器中的所有應用

對合法使用者均不可用

,包括由cdn提供

服務的應用。

盲點4:直接ip攻擊

一旦攻擊者發起了針對客戶源web伺服器ip位址的直接攻擊,

即使直接

容易受到攻擊侵擾。

盲點5:web應用攻擊

針對web應用威脅的cdn防護措施

的防護水平

有限,會將客戶web應用暴露

在資料洩露、資料竊取和其它常見web應用威脅

之下。多數基於cdn的web

應用防火牆的功能

也很有限

,僅適用於一組基本的預定義特徵碼和規則。

許多基於cdn的waf不能閱讀http引數,不

會建立主動安全規則,因此無法防禦零日攻擊和已知威脅。

對於在waf中為web應用提供

優化措施

的企業而言,實現這一

防護水準

所需的成本

也是相當高的。

除了之前已確認的重大盲點

外,多數cdn安全服務都不夠敏感,因此可能需要數小時的手動部署

才能將安全配置覆蓋到所有網路伺服器。安全服務正在使用

速率限制等

過時的技術,

該技術在

上個攻擊活動中已被證實效率較低,缺乏網路行文分析、質詢-

應答機制等功能。

原文發布時間為:

簡單分析CDN安全

目前cdn技術到處可見。像網宿 藍訊 加速樂等都依靠cdn過活,連安全寶也都使用了cdn技術,當然很多網域名稱空間商現在也提供cdn服務。從以往網際網路的發展上看,cdn是個趨勢,很多廠商也都多多少少購買了商業化的cdn資源,比如360 騰訊 新浪等等等,當然大部分流量還是走自建的cdn網路。本文筆...

超2TB快取 Radware進軍中國雲安全市場

本文講的是超2tb快取 radware進軍中國雲安全市場,6月1日,恰逢兒童節,radware公司安全解決方案副總裁carl w.herberger訪華並召開 見面會。在會中,carl w.herberger表達了radware欲發力中國安全市場的期望,同時也透露了雲服務轉型的發展方向。作為應用交付...

《CDN 之我見》系列二 原理篇(快取 安全)

cdn之我見 共由三個篇章組成,分為原理篇 詳解篇和隕坑篇。本篇章適合那些從未接觸過 或僅了解一些 cdn 專業術語,想深入了解和感受 cdn 究竟是什麼的同學。本次由白金老師繼續為大家分享 cdn之我見 系列二,主要講解快取是什麼 工作的基本原理是怎樣的,以及 cdn 是如何面對安全挑戰的。對於 ...