2024-04-29 分類(lèi): 網(wǎng)站建設(shè)
與暴露于互聯(lián)網(wǎng)的所有網(wǎng)絡(luò)一樣,CDN?必須防御在途攻擊、數(shù)據(jù)泄露,以及試圖通過(guò) DDoS 攻擊壓垮目標(biāo)源服務(wù)器的網(wǎng)絡(luò)的行為。CDN 可使用多種策略來(lái)緩解漏洞,包括適當(dāng)?shù)?SSL/TLS 加密和專(zhuān)門(mén)的加密硬件。
什么是 SSL/TLS 加密?
傳輸層安全(TLS)是用于加密通過(guò)互聯(lián)網(wǎng)發(fā)送的數(shù)據(jù)的協(xié)議。TLS 源于安全套接字層(SSL)(首個(gè)被廣泛采用的 Web 加密協(xié)議),旨在是修復(fù)大多數(shù)早期協(xié)議的安全漏洞。出于歷史原因,業(yè)界仍然在某種程度上互換使用這兩個(gè)術(shù)語(yǔ)。如果您訪(fǎng)問(wèn) web 站點(diǎn)地址開(kāi)頭為 https:// 而非 http://,那么該網(wǎng)站在瀏覽器和服務(wù)器之間進(jìn)行的通信使用 TLS/SSL 加密。
為了防止攻擊者訪(fǎng)問(wèn)重要數(shù)據(jù),必須采取適當(dāng)?shù)募用芊椒?。由于互?lián)網(wǎng)的設(shè)計(jì)方式允許數(shù)據(jù)在許多位置之間傳輸,因此可以在含有重要信息的數(shù)據(jù)包在全球范圍內(nèi)傳播時(shí)截獲它們。通過(guò)使用加密協(xié)議,只有預(yù)期的接收者才能夠解碼和讀取信息,防止中間人對(duì)所傳輸數(shù)據(jù)的內(nèi)容進(jìn)行解碼。
TLS 協(xié)議設(shè)計(jì)為提供 3 個(gè)組件:
身份驗(yàn)證:驗(yàn)證所提供身份標(biāo)識(shí)的有效性
加密:模糊化從一臺(tái)主機(jī)發(fā)送到另一主機(jī)的信息
完整性:檢測(cè)偽造和篡改
什么是 SSL 證書(shū)?
要啟用 TLS,站點(diǎn)需要 SSL 證書(shū)和相應(yīng)的密鑰。證書(shū)是包含有關(guān)站點(diǎn)所有者以及非對(duì)稱(chēng)密鑰對(duì)中公鑰部分的信息的文件。證書(shū)頒發(fā)機(jī)構(gòu)(CA)對(duì)證書(shū)進(jìn)行數(shù)字簽名,以核實(shí)證書(shū)中的信息正確無(wú)誤。信任證書(shū)即表示,您信任證書(shū)頒發(fā)機(jī)構(gòu)已進(jìn)行了盡職調(diào)查。
操作系統(tǒng)和瀏覽器通常具有一份隱式信任的證書(shū)頒發(fā)機(jī)構(gòu)名單。如果網(wǎng)站提供的證書(shū)是由不受信任的證書(shū)頒發(fā)機(jī)構(gòu)簽名的,則瀏覽器會(huì)警告訪(fǎng)問(wèn)者可能存在某種問(wèn)題。
證書(shū)及其實(shí)施方式也可以根據(jù)強(qiáng)度、協(xié)議支持和其他特征進(jìn)行獨(dú)立評(píng)級(jí)。隨著更新、更好的實(shí)施變得可用,或者其他因素導(dǎo)致認(rèn)證實(shí)施的整體安全性降低,評(píng)級(jí)可能會(huì)不時(shí)變化。如果源服務(wù)器的 SSL 安全性實(shí)施比較舊且等級(jí)較低,那么其評(píng)級(jí)通常會(huì)比較差,而且容易受到破壞。
CDN 還有一個(gè)好處,使用 CDN 提供的證書(shū)可以為訪(fǎng)問(wèn)其網(wǎng)絡(luò)內(nèi)托管的資產(chǎn)的訪(fǎng)問(wèn)者提供安全保護(hù)。因?yàn)樵L(fǎng)問(wèn)者僅連接到 CDN,所以源服務(wù)器和 CDN 之間使用較舊或較不安全的證書(shū)不會(huì)影響客戶(hù)端的體驗(yàn)。
實(shí)際上,這種服務(wù)器至邊緣安全的薄弱仍然是一種漏洞,應(yīng)予以避免,特別是考慮到有可能使用免費(fèi)源加密輕松升級(jí)源服務(wù)器安全性的情況。
適當(dāng)?shù)陌踩詫?duì)于有機(jī)搜索也很重要;加密的 Web 資產(chǎn)在 Google 搜索中的排名更高。
SSL/TLS 連接的運(yùn)作不同于傳統(tǒng)的 TCP/IP 連接。在完成了 TCP 連接的初始階段后,就會(huì)發(fā)生單獨(dú)的交換以建立安全連接。本文把請(qǐng)求安全連接的設(shè)備稱(chēng)為客戶(hù)端,并把提供安全連接的設(shè)備稱(chēng)為服務(wù)器,就像用戶(hù)加載使用 SSL/TLS 加密的網(wǎng)頁(yè)時(shí)那樣。
首先,通過(guò) 3 個(gè)步驟進(jìn)行TCP/IP 握手:
1.客戶(hù)端向服務(wù)器發(fā)送 SYN 數(shù)據(jù)包以發(fā)起連接。
2.服務(wù)器接著通過(guò) SYN/ACK 數(shù)據(jù)包對(duì)著初始數(shù)據(jù)包做出響應(yīng),以便確認(rèn)通信。
3.最后,客戶(hù)端返回 ACK 數(shù)據(jù)包以確認(rèn)接到服務(wù)器發(fā)出的數(shù)據(jù)包。完成這一系列數(shù)據(jù)包發(fā)送和接收操作后,TCP 連接將處于打開(kāi)狀態(tài)并且能夠發(fā)送和接收數(shù)據(jù)。
完成 TCP/IP 握手后,開(kāi)始 TLS 加密握手。TLS 握手實(shí)施背后的詳細(xì)過(guò)程不在本指南的討論范疇。我們重點(diǎn)探討握手的核心目的,以及完成該過(guò)程所需的時(shí)間。
從高層次上講,TLS 握手包含三個(gè)主要組成部分:
客戶(hù)端與服務(wù)器協(xié)商 TLS 版本,以及通信中要使用的加密算法類(lèi)型。
客戶(hù)端和服務(wù)器采取相應(yīng)步驟,以確保彼此進(jìn)行真實(shí)的通信。
交換密鑰,以用于以后的加密通信。
下圖呈現(xiàn)了 TCP/IP 握手和 TLS 握手中涉及的每個(gè)步驟。請(qǐng)注意,每個(gè)箭頭代表一個(gè)單獨(dú)的通信,該通信必須在客戶(hù)端和服務(wù)器之間進(jìn)行物理傳輸。由于使用 TLS 加密時(shí)來(lái)回消息總數(shù)會(huì)增加,因此網(wǎng)頁(yè)加載時(shí)間也會(huì)增加。
出于說(shuō)明目的,可以說(shuō) TCP 握手大約需要 50 毫秒,TLS 握手可能需要大約 110 毫秒。這主要是由于數(shù)據(jù)在客戶(hù)端和服務(wù)器之間雙向發(fā)送所花費(fèi)的時(shí)間。往返時(shí)間 (RTT)的概念,即信息從一個(gè)設(shè)備傳輸?shù)搅硪粋€(gè)設(shè)備并返回所需的時(shí)間量,可用于量化創(chuàng)建連接的“昂貴”程度。如果不進(jìn)行優(yōu)化并且不使用 CDN,額外的 RTT 代表最終用戶(hù)的延遲增加和加載時(shí)間減少。幸運(yùn)的是,可以進(jìn)行一些優(yōu)化來(lái)改善總加載時(shí)間并減少來(lái)回旅行的次數(shù)。
如何改善 SSL 延遲?
SSL 優(yōu)化可以減少 RTT 并縮短頁(yè)面加載時(shí)間。下方列出了可以?xún)?yōu)化 TLS 連接的 3 種方式:
TLS 會(huì)話(huà)恢復(fù):CDN 可以為其他請(qǐng)求恢復(fù)同一會(huì)話(huà),使源服務(wù)器和 CDN 網(wǎng)絡(luò)之間的連接保持更長(zhǎng)的時(shí)間。當(dāng)客戶(hù)端需要進(jìn)行未緩存的源獲取時(shí),使連接保持活動(dòng)狀態(tài)可以節(jié)省重新協(xié)商 CDN 與源服務(wù)器之間連接所花費(fèi)的時(shí)間。只要源服務(wù)器在保持與 CDN 的連接的同時(shí)收到其他請(qǐng)求,該站點(diǎn)的其他訪(fǎng)問(wèn)者就會(huì)體驗(yàn)到較低的延遲。
會(huì)話(huà)恢復(fù)的總成本不到完整 TLS 握手的 50%,主要是因?yàn)闀?huì)話(huà)恢復(fù)只需要一次往返,而完整的 TLS 握手需要兩次。此外,會(huì)話(huà)恢復(fù)不需要任何大的有限域算法(新會(huì)話(huà)需要),因此與完整的 TLS 握手相比,客戶(hù)端的 CPU 成本幾乎可以忽略不計(jì)。對(duì)于移動(dòng)用戶(hù)而言,會(huì)話(huà)恢復(fù)帶來(lái)的性能提升意味著更具反應(yīng)性和電池壽命友好的沖浪體驗(yàn)。
啟用 TLS 虛假啟動(dòng):訪(fǎng)問(wèn)者首次訪(fǎng)問(wèn)網(wǎng)站時(shí),上文所述的會(huì)話(huà)恢復(fù)將無(wú)濟(jì)于事。TLS 虛假啟動(dòng)允許發(fā)送方無(wú)需進(jìn)行完整的 TLS 握手,就能發(fā)送應(yīng)用程序數(shù)據(jù)。
虛假啟動(dòng)不會(huì)修改 TLS 協(xié)議本身,只會(huì)改變數(shù)據(jù)傳輸?shù)臅r(shí)間。一旦客戶(hù)端開(kāi)始密鑰交換,加密確保會(huì)發(fā)生,數(shù)據(jù)傳輸就可開(kāi)始。這一修改可減少往返總次數(shù),將所需的延遲縮短 60 毫秒。
零往返時(shí)間恢復(fù)(0-RTT):0-RTT 允許會(huì)話(huà)恢復(fù),而且不增加連接的RTT 延遲。對(duì)于使用TLS 1.3和0-RTT 的恢復(fù)連接,連接速度得以改善,從而為用戶(hù)經(jīng)常訪(fǎng)問(wèn)的網(wǎng)站帶來(lái)了更快速、更流暢的Web 體驗(yàn)。這種速度提升在移動(dòng)網(wǎng)絡(luò)上尤為顯著。
0-RTT 是有效的改進(jìn),但并非沒(méi)有安全上的妥協(xié)。為了應(yīng)對(duì)所謂的重播攻擊的風(fēng)險(xiǎn),CDN 服務(wù)可能會(huì)對(duì) HTTP 請(qǐng)求的類(lèi)型和允許的參數(shù)實(shí)施限制。要了解更多信息,請(qǐng)瀏覽 0-RTT 簡(jiǎn)介。
CDN 防御 DDoS 攻擊
現(xiàn)代互聯(lián)網(wǎng)上 Web 資產(chǎn)最嚴(yán)重的安全漏洞之一是使用分布式拒絕服務(wù) (DDoS) 攻擊。隨著時(shí)間的推移,DDoS 攻擊的規(guī)模和復(fù)雜性都在增加,攻擊者利用僵尸網(wǎng)絡(luò)攻擊具有攻擊流量的網(wǎng)站。大型且配置正確的 CDN 具有潛在的規(guī)模優(yōu)勢(shì),可以作為 DDoS 的保護(hù)因素;通過(guò)擁有足夠的數(shù)據(jù)中心位置和相當(dāng)大的帶寬能力,CDN 能夠承受和減輕大量傳入的攻擊流量,這些流量很容易使目標(biāo)源服務(wù)器不堪重負(fù)。
文章名稱(chēng):服務(wù)器安全-CDN有哪些安全風(fēng)險(xiǎn)?
鏈接分享:http://jinyejixie.com/news29/326329.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供移動(dòng)網(wǎng)站建設(shè)、虛擬主機(jī)、品牌網(wǎng)站制作、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容