CDN 安全吗？关于这个问题表明，是能覆盖网络在性能和安全性之间进行权衡。内容交付网络 (CDN) 就像Internet的滚珠轴承。如果没有边沿缓存来加快图片和其他静态内容的加载时间，互联网的齿轮就会停止运转。

CDN是一种覆盖网络，可将网站内容移近终究用户以取得更好的性能。互联网覆盖网络提供的常见服务包括边沿缓存、SSL 卸载和边沿路由等 CDN 服务。

互联网覆盖网络允许网站提供商利用第三方基础设施来提高性能和安全性。与建立区域数据中心不同，网站提供商可以以一小部份本钱“租用”覆盖网络基础设施。

本文将描写了覆盖网络和 CDN 的潜伏安全问题，和在提高性能的同时减少漏洞的替换方案。

一、CDN安全和覆盖网络

在评估覆盖网络的安全问题时，Web和移动利用程序提供商应斟酌三个关键架构问题：

1、有状态与无状态覆盖网络：覆盖网络履行的边沿服务类型很重要。一些示例包括缓存、路由和SSL卸载。跨多个边沿节点存储敏感内容会带来安全风险。

2、需要SSL密钥与无密钥覆盖网络：需要SSL 密钥可以提供更好的性能。代价是新的安全漏洞。如果内容被缓存在边沿节点中，则特别如此。

3、同享与无同享覆盖网络：同享基础设施意味着其他人的问题可能会成为您的问题。隔离可以下降这类风险。

二、有状态与无状态覆盖网络

大多 CDN在许多地理位置分散的位置缓存内容。相比之下，一些覆盖网络是“无状态的”，边沿节点中没有存储敏感内容。在CDN中缓存静态和公然可用内容的风险非常低。例如，公共图象、视频和字体通常安全地缓存在CDN中。

另外一方面， 如果安全是一个主要问题，公共CDN可能不是一个好的解决方案。特别是，在第三方CDN中托管 JavaScript 库可能会有风险。对敏感内容，限制数据中心的数量是一种很好的安全做法。

为了解决这些安全问题，有两种类型的无状态覆盖网络：

1、SSL 卸载：边沿节点可以代表源服务器处理与终究用户的SSL握手。这可以大大减少支持SSL连接的开消。代价是它需要源网站同享其 SSL 密钥。

2、边沿路由：边沿节点可以处理TCP终止并优化返回源服务器的路由。这可以在不需要SSL证书的情况下提高性能。

三、需要 SSL 密钥与无密钥覆盖网络

覆盖网络可以通过边沿节点与终究用户履行SSL握手。这需要来自源网站的SSL证书。虽然终究用户和边沿节点之间的流量是加密的，但缓存中的内容通常不会。这使得这些缓存成为黑客攻击的潜伏目标。

无需SSL证书便可加速流量的覆盖网络可下降Web和移动利用程序提供商的安全风险。

四、CDN 安全性和“同享一切”覆盖网络

覆盖网络提供商通常会 在安全基础设施上进行大量投资。但是，它们的范围和成功要挟到 CDN 的安全并招致攻击。简而言之，CDN 存在点 (POP) 增加了潜伏黑客的攻击面。当网站  与覆盖网络提供商同享 SSL 证书时，这类风险会进一步增加。

CDN 的好处是在提供静态内容时限制网络堵塞。但是， 安全风险 是任何在 CDN 服务器上具有类似 root 权限的用户都可以访问和替换内容。这反过来又要求 CDN 客户信任每一个 CDN POP 的安全性。

另外一种方法是让覆盖网络在每一个客户的基础上运行单独和隔离的虚拟网络。在某些情况下，隔离可以基于每一个 URL。这类“无同享”方法有助于确保即便一个虚拟网络遭到要挟，其他网络也不会遭到影响。由于客户之间的隔离，像 CloudBleed 这样的毛病带来的风险要低很多。

总之，CloudBleed漏洞提高了对与分发内容和SSL密钥相干的潜伏 CDN安全问题的认识。Web和移动利用程序提供商应斟酌多种因夙来肯定满足其要求的最好覆盖网络解决方案。