CDN安全远远不足
2017-03-08
当前,许多企业都意识到DDoS防御对维护非凡客户体验而言至关重要。这是为什么呢?因为网络攻击对加载时间或最终用户体验的影响远超过其他因素,网络攻击是应用性能的无症状杀手。作为向最终用户提供高可用和高性能内容的系统,CDN是客户体验的关键。然而,CDN网络中的新漏洞也让很多人想知道CDN本身是否容易遭受到各类攻击侵扰,如:循环攻击。
那么CDN容易遭受到什么类型的攻击呢?以下是会危及到CDN的5大威胁,企业必须防范这些威胁。
盲点1:动态内容攻击
攻击者了解到,CDN服务中的重大盲点是对动态内容请求的处理。由于动态内容并没有存储在CDN服务器中,因此所有动态内容请求都会发送到源服务器。攻击者可以利用这种行为,生成包含HTTP GET请求随机参数的攻击流量。CDN服务器可以立即将这些攻击流量重定向至源服务器进行请求处理。然而,在很多情况下,源服务器无法处理所有的攻击请求,也无法为合法用户提供在线服务,因此就会出现拒绝服务的情况。
许多CDN都能够限制发送到受攻击服务器的动态请求数量。这意味着,其无法区分攻击者和合法用户,速率限制也会拦截合法用户。
盲点2:基于SSL的攻击
基于SSL的DDoS攻击的攻击目标是安全在线服务。这些攻击容易发起,但是很难缓解,因此成为了攻击者的最爱。为了检测并缓解DDoS SSL攻击,CDN服务器必须首先利用客户的SSL密钥解密流量。如果客户不愿意向CDN提供商提供SSL密钥,SSL攻击流量就会重定向至客户的源服务器,使得客户容易受到SSL攻击侵扰。击中客户源服务器的SSL攻击可以轻易击垮安全在线服务。
在涉及到WAF技术的DDoS攻击中,CDN网络在可扩展性能的每秒SSL连接数方面还有一个明显劣势,并可能出现严重的延迟问题。
PCI和其它安全合规性也是一个问题,有时候会限制数据中心为客户提供服务的能力,这是因为并不是所有的CDN都具备跨所有数据中心的PCI合规性。这可能再次增加延迟并引发审计问题。
盲点3:针对非CDN服务的攻击
CDN服务通常只提供给HTTP/S和DNS应用。VoIP、邮件、FTP和专用协议等客户数据中心的其他在线服务和应用并非由CDN提供,因此流向这些应用的流量并不会通过CDN发送。此外,许多Web应用也不是由CDN提供服务的。攻击者正在利用这一盲点发起不经CDN发送的针对应用的攻击,并利用可能堵塞客户互联网管道的大规模攻击客户源服务器。一旦互联网管道被堵塞,客户源服务器中的所有应用对合法用户均不可用,包括由CDN提供服务的应用。
盲点4:直接IP攻击
一旦攻击者发起了针对客户源Web服务器IP地址的直接攻击,即使是由CDN提供服务的应用也会遭受到攻击。这些攻击可能是UDP洪水或ICMP洪水等不经由CDN服务进行传送的网络洪水,将直接击中客户源服务器。此类大流量网络攻击可能堵塞互联网管道,关闭源服务器中的所有应用和在线服务,包括由CDN提供服务的应用或在线服务。数据中心“防护”的错误配置可能导致应用易受到攻击侵扰。
盲点5:Web应用攻击
针对Web应用威胁的CDN防护措施的防护水平有限,会将客户Web应用暴露在数据泄露、数据窃取和其它常见Web应用威胁之下。多数基于CDN的Web应用防火墙的功能也很有限,仅适用于一组基本的预定义特征码和规则。许多基于CDN的WAF不能阅读HTTP参数,不会创建主动安全规则,因此无法防御零日攻击和已知威胁。对于在WAF中为Web应用提供优化措施的企业而言,实现这一防护水准所需的成本也是相当高的。除之前已确认的重大盲点外,多数CDN安全服务都不够敏感,因此可能需要数小时的手动部署才能将安全配置覆盖到所有网络服务器。安全服务正在使用速率限制等过时的技术,该技术在上个攻击活动中已被证实效率较低,缺乏网络行文分析、质询-应答机制等功能。