如何確保內(nèi)容交付網(wǎng)絡(luò)的安全性

據(jù)稱，自動內(nèi)容交付網(wǎng)絡(luò)的數(shù)字簽名惡意軟件威脅呈上升趨勢，能否提供一些最佳做法來幫助我們保護(hù)CDN？

專家認(rèn)為，攻擊者利用內(nèi)容交付網(wǎng)絡(luò)（CDN）就像利用泄露用戶賬戶的權(quán)限，這兩者沒有太大的不同。如果用戶通過身份驗證（或者代碼獲得簽名），無論他或她做什么（或者無論代碼在CDN的文件中代表什么）都是合法的，因為它有密碼—最低安全標(biāo)準(zhǔn)。

然而，我們已經(jīng)發(fā)展到了這樣的地步，即自簽名證書都不會被質(zhì)疑，只要部署了某種證書機制，連接和文件都被認(rèn)為是安全的。

我并不確定是否有比傳統(tǒng)方法更好的方法來保護(hù)CDN，這些傳統(tǒng)方法包括：惡意軟件掃描、內(nèi)容過濾以及類似的威脅情報來檢測和/或阻止問題流量。有趣的是，我測試了幾個CDN環(huán)境的安全性，在可預(yù)見的情況下，每個環(huán)境都有幾個嚴(yán)重的安全漏洞，這些漏洞可能導(dǎo)致不同類型的系統(tǒng)濫用。

為了確保來自CDN的文件的安全性，我們需要多層控制組（包括上述列出的那些），以在檢測到惡意流量時分析和阻止這些流量。這種工作負(fù)擔(dān)落在最終用戶肩上（即對他們正在做的事情做出正確的決定），并且需要企業(yè)IT或安全團(tuán)隊部署終端安全控制。因此，每個企業(yè)都可以靠自己有效地確保這些控制的部署。

（高俊峰）