CDN/Cache安全架構研究及實踐

高 潔/Gao Jie

（中國移動通信集團設計院有限公司 北京100080）

1 引言

CDN/Cache 直接給用戶提供業(yè)務服務，其可能受到的安全威脅因素如下。

（1）網絡開放性

CDN 系統網絡具有接入無關性，支持多種方式接入，即CDN 系統接入網不再是封閉的網絡，用戶可以直接通過互聯網接入CDN 系統。由于CDN系統接入的開放性，接入網絡不再是可信任的網絡，需要采取措施規(guī)避終端接入對CDN 系統的安全威脅。

（2）基于IP網絡

CDN 系統采用全IP網絡架構，將直接面臨來自互聯網的攻擊，黑客可能利用互聯網的攻擊工具對CDN 系統進行攻擊。CDN 系統對于網絡犯罪而言，只是一種普通的IP網絡；但對于黑客攻擊者而言，攻擊CDN 系統給其帶來的經濟利益更大。

（3）終端智能化

當前智能手機的處理能力已經等同甚至超過了普通的PC 機，智能手機也不再只是提供單一的話音業(yè)務，終端用戶可以任意下載個性化的業(yè)務應用軟件，這為病毒和惡意軟件的傳播提供了載體。

（4）業(yè)務融合化

CDN 系統網絡是固定網絡與移動網絡的融合，傳統電信系統中的非法竊聽、業(yè)務盜用、計費欺騙等常見的業(yè)務邏輯安全問題在CDN 系統中同樣存在，即CDN 系統依然存在傳統電信系統中遇到的安全威脅。同時，網絡融合化讓跨網絡攻擊成為可能，CDN 系統面臨著各種網絡發(fā)起的攻擊威脅。

（5）網絡結構復雜化

CDN 系統分布在IP網絡中，涉及的網元節(jié)點眾多。相對于傳統組網，其分布式部署以及內外部接口眾多的特性，使得安全管理愈加復雜化。

攻擊者對CDN 系統實施的攻擊手段包括破壞、篡改、刪除及泄漏等。

2 CDN/Cache的安全方案

為了解決當前所面臨的安全威脅和挑戰(zhàn)，CDN系統從網絡層、系統層、應用層和管理層等方面考慮，采用分層的安全防護策略，為CDN 系統構建多層安全防線。不同的安全防線采用不同的安全策略，當網絡中某個安全防線被攻破后，其他網元實體依然能夠對該安全威脅實施有效的防護機制，確保網絡的安全運行。

2.1 安全目標

（1）機密性

機密性是指保護CDN 系統關鍵信息以及內容提供商的業(yè)務內容信息不泄露給非授權的用戶和實體。

（2）完整性

完整性是指保護CDN 系統關鍵信息以及內容提供商的業(yè)務內容信息未經授權不能進行改變。

（3）可用性

可用性是指CDN 系統可被授權用戶訪問，避免網絡環(huán)境下的拒絕服務，避免破壞網絡以及避免破壞有關系統的正常運行。

（4）不可抵賴

不可抵賴是指提供歷史事件的記錄，對發(fā)生的安全事件提供調查依據和手段。

2.2 安全策略

（1）防攻擊邊界化

通過加強CDN 系統邊界網絡的安全防護措施，使CDN 系統相對封閉化。CDN 系統的對外接口部署防火墻，防火墻開啟ACL（Access Control List，接入控制列表）功能和防攻擊功能，各對外接口的邊界網元實現用戶接入鑒權以及其他應用層的安全策略。

（2）網絡安全隔離

根據CDN 系統各網元所在的位置及其承擔的安全目標和安全威脅差異，將CDN 系統劃分為若干個不同的安全區(qū)。當出現安全事件時，將安全事件的影響降低到最小。同時，在CDN 系統的承載網中劃分不同的VLAN，進行網絡業(yè)務流隔離，使可能出現的安全事件影響最小化。在不安全的傳輸網絡中，使用防火墻作為安全網關部署在CDN 系統前。

（3）用戶授權最小化

在CDN 系統中，無論是最終用戶、網絡維護人員，還是營業(yè)廳操作人員，都只開放完成其正常操作的最小權限。對于不必要的網絡服務及進程，在缺省情況下都被禁止，使CDN 系統的安全風險降到最低。

（4）縱深多層次防護

采用多層防護措施來過濾報文，對同一安全威脅，不同網元實體共同防御，拉長CDN 系統的安全防線。例如，除了在防火墻部署防IP 攻擊外，還在網元上部署基本的IP 防攻擊能力。

（5）基礎架構安全平臺化

操作系統安全、數據庫安全、安全日志等主機基礎架構，由廠家平臺統一提供基礎安全能力，各產品在該基礎安全能力上，適配其安全策略，確保網絡各基礎架構安全策略的一致性。通過基礎架構安全平臺化，使CDN 系統各網元的安全策略管理簡單化。

2.3 安全架構

根據保護對象的不同，按照安全層次將CDN系統安全劃分為網絡層、系統層、應用層和管理層。根據每層的業(yè)務和面臨的安全威脅不同，每層采取相應的安全機制和安全策略來應對可能的安全問題，如圖1所示。

2.3.1 網絡層安全

（1）安全組網

CDN 系統的組網設計方案中，網絡設備包括防火墻、交換機和路由器。防火墻通過合理劃分安全域，實現域間安全策略控制；交換機通過合理劃分VLAN，在流量入口處進行ACL 限制或通過VLAN間的ACL 限制合法訪問；路由器在流量入口處通過ACL 限制合法訪問。

（2）網絡設備安全配置

CDN 系統在業(yè)務上線前，需要進行規(guī)范配置，以保證網絡設備的安全性。

（3）防DOS/DDoS 攻擊

CDN 系統提供的內容分發(fā)能力，對最終用戶屏蔽了業(yè)務源站的信息，用戶訪問到的數據為CDN系統中的緩存數據。因此，CDN 系統承擔了業(yè)務源站的流量壓力，需要針對網絡常見的DOS/DDoS 進行重點防護。

（4）防DDoS 攻擊

過去的DDoS 攻擊以Flood 型攻擊為主，更多地針對運營商的網絡和基礎架構； 當前的DDoS攻擊越來越多的是針對具體應用和業(yè)務，如針對某個移動APP 應用、企業(yè)門戶應用、在線購物、在線視頻、在線游戲、DNS、E-mail 等，攻擊的目標更加廣泛，單次攻擊流量小、成本低，移動型智能終端攻擊傳統防御方式影響正常業(yè)務，攻擊行為更加復雜和仿真，造成DDoS 攻擊檢測和防御更加困難。

圖1 CDN 系統安全架構

圖2 防DDoS 攻擊原理

為了更好地對DDoS 攻擊進行有針對性和高效的防御，還需要引入專業(yè)的防DDoS 攻擊設備，其防DDoS 攻擊原理如圖2所示。其工作原理為：檢測中心負責以鏡像流的方式監(jiān)測網絡流量，以檢測是否受到DDoS 攻擊。當發(fā)現受到攻擊時，管理中心會向清洗中心下達指令，讓其對外部傳輸來的數據分組進行清洗，再將清洗后的數據分組傳送到內網。

（5）防DNS 攻擊

DNS 攻擊主要分為以下3 種類型。

①域名劫持。攻擊者通過控制域名管理密碼和域名管理郵箱，將該域名的NS 紀錄指向黑客可以控制的DNS 服務器，然后通過在該DNS 服務器上添加相應的域名紀錄，使網民在訪問該域名時，進入黑客所指向的內容。

②緩存投毒。利用控制DNS 緩存服務器，把原本準備訪問某網站的用戶在不知不覺中帶到黑客指向的其他網站。

③DDoS 攻擊。針對DNS的DDoS 攻擊有兩種：一種攻擊針對DNS 服務器軟件本身，通常利用BIND 軟件程序中的漏洞，導致DNS 服務器崩潰或拒絕服務； 另一種攻擊的目標不是DNS 服務器，而是利用DNS 服務器作為中間的“攻擊放大器”，去攻擊互聯網上的其他主機，導致被攻擊主機拒絕服務。

（6）DNS 欺騙

DNS 欺騙就是攻擊者冒充域名服務器的一種欺騙行為。

針對DNS 攻擊，特別是域名劫持的防護，主要考慮的是對調度中心進行有效地保護。

域名劫持的原理是黑客首先攻破DNS 服務器的管理員賬戶系統，然后通過修改域名記錄的方式來實現攻擊。建議對調度中心采取以下保護措施。

（1）域名服務與管理配置分離

將調度中心的域名服務地址與管理員管理/配置地址分離。前者配置公網地址，用于域名解析服務；后者配置私網地址，并只能通過VPN 被授權的管理員訪問。

（2）通過“防火墻+跳轉主機”的方式提升管理流程安全性

調度中心需要遠程維護、升級、定位問題。為了保障系統安全，要求通過防火墻和跳轉主機的IP Table 對遠程維護IP 進行嚴格限制，同時必須采用SSH 協議，從而實現遠程安全接入。當無需遠程維護時，維護人員還可以通過OM 區(qū)將跳轉機連接交換機的端口狀態(tài)置為down；需要遠程維護時再將端口狀態(tài)置為up，這種機制對黑客的防護示意如圖3所示。

2.3.2 系統層安全

1.操作系統安全

（1）安全加固

通過安全加固工具對操作系統進行安全加固，防止因操作系統配置不當引起的安全隱患，安全加固覆蓋但不限于以下內容：最小化安裝、最小化開放端口、服務安全配置、內核調整、目錄與文件保護、賬號與操作環(huán)境保護、密碼策略、系統日志策略及登錄提示等。

（2）安全補丁

操作系統安裝時，確保打上最新的安全補丁。然后定期發(fā)布經過驗證的補丁列表，并對操作系統進行補丁升級，以消除操作系統的安全漏洞。

2.數據庫安全

（1）安全加固

通過數據庫安全加固工具對數據庫進行安全加固，防止因數據庫配置不當引起的安全隱患，安全加固覆蓋但不限于以下內容：最小化安裝、賬號管理、權限控制、網絡接入策略及審計日志等。

（2）安全補丁

安裝數據庫時，應確保打上最新的安全補丁。然后定期發(fā)布經過驗證的補丁列表，并對數據庫進行補丁升級，以消除數據庫的安全漏洞。

2.3.3 應用層安全

（1）源站保護

采用CDN 系統后，暴露在公網的內容源站將得到有效隱藏，向最終用戶提供服務的IP 地址為CDN 節(jié)點，最終用戶無法通過互聯網訪問獲得內容源站的真實IP 地址，因此，從根本上杜絕了攻擊者對網站的攻擊可能。

同時，當內容源站遭受攻擊服務導致不可用時，廠家DNS 系統服務節(jié)點仍可在一定時間內為用戶提供內容服務，以降低內容源站的事故影響。

（2）內容安全

CDN 系統提供對源站內容的分發(fā)、緩存業(yè)務，向最終用戶提供更快速、準確的瀏覽體驗。因此，除了防范DOS/DDoS 攻擊外，保證CDN 系統的內容分發(fā)和存儲安全也顯得極為重要。

CDN 系統可采取以下措施保證內容的安全性。

①版權保護：為防止用戶非法訪問內容，CDN系統應提供防盜鏈和二次鑒權兩種用戶鑒權方案。

②內容容災部署：CDN的緩存系統支持分布式、分站點部署，一旦某個站點因故障、停電等原因導致無法提供服務，其他站點的Cache 可以接管業(yè)務。

圖3 “防火墻+跳轉主機”策略

（3）接口訪問控制

CDN 系統的對外接口主要包括系統接口、統一管理接口、終端側接口、Local DNS 接口4 種類型，由于這些接口對外開放，可以被外部訪問，需要對這些接口的訪問進行合理的訪問控制。

（4）敏感數據保護

CDN 系統中除了內容外，還存在系統賬號口令、數據庫連接密碼、業(yè)務系統注冊賬號口令、管理員口令等敏感數據。

2.3.4 管理層安全

（1）日志管理

CDN 系統支持對所有管理功能的用戶活動、操作指令都記錄日志。日志內容能夠支撐事后的審計工作，記錄用戶ID、時間、事件類型、被訪問資源的名稱、訪問結果等信息，日志有訪問控制功能，只有管理員才有刪除權限。

（2）口令管理

對系統中的用戶賬號及其權限進行定期審核，對多余的賬號和權限進行清理。系統管理員創(chuàng)建并維護操作系統和應用系統中的賬號及權限列表。對于缺省創(chuàng)建的賬號，要求嚴格控制其使用范圍。

（3）時間同步

CDN 系統內各網元保持時間的一致性，在日志管理、計費、安全審計等方面非常必要。CDN 系統采用網絡時間同步協議（NTP）來解決時間同步問題。NTP 是基于IP 和UDP，由時間協議（Time Protocol，TP）和ICMP 演化而來，用于分布式時間服務器和客戶端之間進行時間同步。理論上NTP 時間同步精度可達10-10s。

在CDN 系統中，內部NTP Server 作為客戶端同步外部NTP Server的時間，同時，內部NTP Server又充當本地NTP Server，CDN 系統的其他設備作為客戶端同步內部NTP Server的時間。

3 CDN/Cache安全的展望

隨著網絡流量的不斷增大，CDN/Cache的服務節(jié)點將不斷下沉。從傳統的IDC 下沉到城域網、接入網甚至內嵌到網絡設備中。網絡節(jié)點下沉后，邊緣服務節(jié)點可能不會部署專業(yè)的防火墻設備，這對CDN/Cache的安全提出了新挑戰(zhàn)。

3.1 HTTPS安全加密

當前的Web 應用和網站絕大部分是基于HTTP，因為HTTP 簡單方便，易于部署，并且設計之初也沒有考慮安全性，所有內容都是明文傳輸，也就為現在的安全問題埋下了隱患。對CDN/Cache 承載的關鍵業(yè)務，建議SP 啟用HTTPS 進行安全保護。

在SP 支持HTTPS 協議時，SP 可以通過HTTPS安全通道將內容注入CDN 系統。CDN 系統支持通過HTTPS安全通道將內容分發(fā)給用戶。如果SP 系統不支持HTTPS，則SP 把安全密鑰分發(fā)給CDN 系統，CDN 把密鑰存儲到有防火墻保護的安全中心。SP 將使用安全密鑰加密后的內容注入CDN 系統，CDN 系統進行本地解密后，通過HTTPS 通道對用戶提供服務。

3.2 Anycast 分布式調度

傳統CDN/Cache 采用集中式內容調度，通過Anycast 分布式調度可以減小DDoS 給用戶帶來的影響。Anycast 允許源節(jié)點向一組目標節(jié)點中的一個節(jié)點發(fā)送數據報，而這個節(jié)點由路由系統選擇，對源節(jié)點透明。當CDN中的某個或者某幾個業(yè)務的服務節(jié)點受到攻擊時，路由器根據各個Anycast 組成員的響應時間，自動轉發(fā)到其他邊緣服務節(jié)點。這樣受到的攻擊會均勻分攤到整個網絡的各個服務節(jié)點，避免了單節(jié)點和主機承受所有攻擊流量，因此，在一定程度上提高了安全性。

[1]文偉平.基于CDN的視頻網絡架構及關鍵技術的研究與實現[D].北京郵電大學,2008.

[2]崔亞娟,陶蒙華.下一代CDN 架構及關鍵問題探討[J].信息通信技術,2011，（3）.