CDN 能否為安全把關?

七月 10, 2016 | IMPERVA, 產品新聞

自從 DDoS 事件頻傳後,大家都知道原來 CDN 可以對網站提供防禦,的確如此,現在的 CDN 由於背後擁有很強大的網路基礎設施,因此能抵擋一些大型的 DDoS 攻擊。
由於現在的 CDN 在全球各地都備有 PoPs,即使面對一定規模的攻擊請求,也能完全處理。試想 DDoS 攻擊的請求由全球數以百計、千計、萬計的 PoPs 完全吸收,您的伺服器卻不會輕易被這些大量請求癱瘓,實在大快人心。
而一些 CDN 服務還能提供不同的防護,如 Imperva Incapsula 便是其中一個例子,此 CDN 服務供應商提供了由 Application 層面 (Layer 7) 到 Network 層面 (Layers 3, 4) 的DDoS 保護功能。
在評估 CDN 附帶的 DDoS 功能上,就個人經驗而言大家應留意該 CDN 服務是否有詳細說明當中包括什麼 DDoS 防禦細節。某些 CDN 服務供應商雖說他們支援 DDoS 保護,但追問之下才發現,原來所謂的 DDoS 防護只不過是該公司提供了十分強大的基礎建設及廣泛的 PoPs,因此雖然廠商能自信地說,即使面對大規模攻擊,他們的基礎建設也能應付、吸收這些大規模的 DDoS 請求,但很明顯地,對於用户來說,這並不是 DDoS 防護功能。
常見的 DDoS 防禦服務主要以提供 Layer 7, 3, 4 等防護為主,至於能否為 DNS 提供 DDoS 攻擊防禦則並非每一家都有明確列出;更進階一些的 BGP DDoS 防禦更並不是每一家 CDN 服務供應商都有提供。
除了針對 DDoS 提供防禦功能外,許多 CDN 服務供應商也提供了額外的防禦功能,例如針對 Spam 提供防禦,或是防止垃圾郵件、封鎖指定地區 IP、防止 Scraping content 等。
以下是 Imperva Incapsula CDN 服務所支援的防禦功能。(內容僅節錄Imperva相關內容,且為筆者自行整理的防禦功能,有些功能可能並未顯示於官網上,因而有所缺漏,請大家在選購服務前再進一步確認)

Imperva Incapsula

Imperva Incapsula 是眾多廠商之中,提供較多防禦功能的 CDN 服務供應商。除了提供 DDoS 防禦功能外,更提供了針對 Web 的防禦功能,包括網頁應用防火牆(WAFl)、進階Bot流量緩解(Advanced Bot Mitigation)、針對管理者帳戶的雙因素驗證(Two-Factor Authentication)、網站存取管控等,以下為 Imperva Incapsula 提供的安全防禦功能。

支援的防護功能

針對 DDoS 的防禦

– 網路層的防禦,例如可針對 SYN 或 UDP floods
– 透明緩解 DDoS 攻擊(Transparent Mitigation)
– 自動檢測和即時觸發
– 層級攻擊進階緩解
– DNS 防禦功能(Name Server Protection)
– BGP 路由基礎設施防護

針對 Web 應用的防護

– 企業級網路應用程式防火牆 (WAF)
– 進階Bot流量緩解
– 雙因素驗證(Two-Factor Authentication)
– 網站存取管控

資料編輯來源:HK IT Blog

進一步了解 Imperva Incapsula