分析CDN网络安全防护方案
发布时间:2021-12-19 19:47:56 所属栏目:安全 来源:互联网
导读:今天通过SaltStack漏洞这个药引子,聊聊CDN网络安全防护这个话题。先聊聊,CDN定义:Content Delivery Network,内容分发网络,给用户带来的价值,加速获得其静态或者动态内容,典型的应用场景,360安全卫士中的软件安装,后台使用的就CDN网络。在比如目前
|
今天通过SaltStack漏洞这个药引子,聊聊CDN网络安全防护这个话题。先聊聊,CDN定义:Content Delivery Network,内容分发网络,给用户带来的价值,加速获得其静态或者动态内容,典型的应用场景,360安全卫士中的软件安装,后台使用的就CDN网络。在比如目前比较火的抖音短视频,用户在某个地方上传视频后,几亿的用户都可以快速看到,很难想象,如果这个短视频在一台服务器上,几千万人同时去下载,网络堵塞延迟会多大? 再聊聊SaltStack,是一个服务器基础架构集中化管理平台,几分钟之内就可以运行起来,速度特别快,服务器之间秒级通讯,扩展性好,很容易批量管理上万台服务器,显著的降低人力与运维成本。它是简化版的puppet,saltstack基于Python语言实现,结合轻量级消息队列(ZeroMQ),Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建,SaltStack是一套C/S架构的运维工具,服务端口默认为4505/4506,两个端口如果对外网开放危害非常大。 目前商业化的CDN绝大部分都在使用SaltStack做软件分发系统。黑客利用SaltStack的远程命令执行漏洞CVE-2020-11651可以直接绕过Salt-Master的认证机制,调用相关函数向Salt-Minion下发指令执行系统命令,最终导致挖矿。 针对CDN这种边缘服务,其实很难设计安全防护方案,因为,CDN厂商为了节省资源,二级节点一般部署10台二手服务器,处理带宽40~80G。一级节点也就20台服务器,做cache用。公有云CDN业务本身就是赔钱的买卖。你说上一套具备纵深防护体系的安全解决方案是不现实的。个人觉得只要在物理服务器上安装主机安全Agent就满足需求了。有的CDN厂商还在CDN机房扩建高防机房,复用带宽,这种情况下,针对主机层面的网络通讯流量,处理尤为重要。所以,主机安全Agent对网络流量的监控建议disable掉。主要能抓到挖矿进程就好。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号