В современном мире скорость работы веб-сайтов и сервисов играет огромную роль. Если скорость слишком мала ― это чревато потерей аудитории, а во многих случаях ― ещё и прибыли. Один из способов решения этой проблемы ― использование сетей доставки контента (Content Delivery Networks, CDN) — это географически распределённая сетевая инфраструктура, обеспечивающая быструю доставку контента пользователям веб-сервисов и сайтов. Входящие в состав CDN серверы географически располагаются таким образом, чтобы сделать время ответа для пользователей сайта/сервиса минимальным. (рис.1).
Выделим основные термины, определяющие особенности CDN, а именно:
Ориджин (origin) — сервер, на котором хранятся исходные файлы или данные, раздаваемые через CDN.
PoP (point of presence) — кэширующий сервер в составе CDN, расположенный в определенной географической локации.
Динамический контент ― контент, генерируемый на сервере в момент получения запроса (либо изменяемый пользователем, либо загружаемый из базы данных).
Статический контент ― контент, хранимый на сервере в неизменяемом виде (например, бинарные файлы, аудио- и видеофайлы, JS и CSS).
Стриминговый контент ― сервисы потоковой загрузки. Раздача сегодня является еще одним распространенным сценарием использования CDN.
Пользователь переадресуется к географически ближайшему кэширующему серверу в составе CDN, благодаря чему доставка статического контента происходит гораздо быстрее (рис.2).
Рисунок 1. Принципы работы CDN
Рисунок 2. Особенности использования CDN
Рассмотрев теоретические вопросы особенностей CDN, перейдем к примеру. Совсем недавно, 8 июня 2021 года произошел перебой в работе крупных мировых сайтов. Многие сайты вместо главной страницы показывали сообщение об ошибке: Error 503 Service Unavailable. На других порталах не загружались изображения, некоторые внутренние страницы и другой контент. Причиной оказался сбой в работе CDN-провайдера Fastly. Компания заявила, что определила конфигурацию службы, которая вызвала сбои в работе интернет-протокола POP во всём мире, и отключила эту конфигурацию, что и устранило проблему.
К сожалению, сети доставки контента не имеют стопроцентной защиты от взлома, и атаки случаются повсеместно. Хакеры научились менять контент и перехватывать пользовательские данные при взломе CDN. Необходимо обеспечить защиту сайта, чтобы минимизировать риски при взломе сети доставки контента.
Рассмотрим актуальные угрозы информационной безопасности из банка данных угроз безопасности информации ФСТЭК, возможные при использовании CDN:
|
Угроза |
Определение |
Причины |
Реализация |
|
Неправомерные действия в каналах связи |
Добавление или удаление данных с целью оказания влияния на работу или получения доступа к конфиденциальной информации, передаваемой по каналу связи |
Отсутствие проверки целостности и подлинности получаемых данных |
НСД нарушителя к сетевому трафику |
|
НСД к активному/пассивному виртуальному/физическому сетевому оборудованию из физической/виртуальной сети |
Изменения вредоносными программами алгоритма работы ПО параметров его настройки путём эксплуатации уязвимостей ПО |
Наличие фиксированного сетевого адреса |
Наличие уязвимостей в ПО |
|
Перехват данных, передаваемых по вычислительной сети |
«Прослушивание» трафика или подмена пакетов, изменение их содержимого для сбора и анализа сведений, оставаясь незамеченным |
Слабости механизмов сетевого взаимодействия, ошибки конфигурации сетевого ПО |
Доступ нарушителя к дискредитируемой вычислительной сети и неспособность технологий |
|
Подмена содержимого сетевых ресурсов |
НСД к защищаемым данным пользователей или мошенничества путём скрытной подмены содержимого (сайты, веб-страницы) или передаваемых (электронные письма, сетевые пакеты) по сети данных |
Невыполнение проверки подлинности содержимого электронного сообщения |
Наличие прав доступа к сетевым ресурсам и отсутствие мер по обеспечению их целостности |
|
Приведение системы в состояние «отказ в обслуживании». |
Отказ в доступе легальным пользователям при лавинообразном увеличении числа сетевых соединений или при использовании недостатков реализации сетевых протоколов |
Ограниченность скорости обработки потоков сетевых запросов, недостаточность мер контроля за управлением соединениями и ошибками реализации сетевых протоколов |
Превышение объёма запросов над объёмами доступных для их обработки ресурсов, наличие ошибок реализации сетевых протоколов |
|
«Фишинг» |
Убеждение пользователя, с помощью методов социальной инженерии, зайти на поддельный сайт, на котором требуется ввести защищаемую информацию или открыть заражённое вложение в письме |
Недостаточность знаний пользователей о методах и средствах «фишинга» |
Наличие сведений о конкретных сайтах, посещаемых пользователем; средства создания и запуска поддельного сайта; сведения о контактах пользователя с доверенной организацией |
Таким образом, перед тем как заказать то или иное CDN решение, нужно узнать, можно ли доверять провайдеру и его продукту. А можно купить дополнительный домен: это обойдется в $10/год. И разделить контент на два сайта. Это касается cookies и всей личной информации, что поможет предотвратить утечку данных.
Список литературы
- Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа / А.Ю. Щеглов. — СПб. : Наука и Техника, 2004. — 384 с.
- Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей : учеб. пособие / В.Ф. Шаньгин — М.: Изд-во ФОРУМ: ИНФРА-М, 2011. — 416 с.
- Вострецова, Е.В. Основы информационной безопасности : учеб. пособие для студентов вузов / Е.В. Вострецова.— Екатеринбург : Изд-во Урал. ун-та, 2019.— 204 с.
- Бондарев В.В. Анализ защищенности и мониторинг компьютерных сетей. Методы и средства. / В.В. Бондарев. — М. : Изд-во МГТУ им. Н. Э. Баумана, 2017.— 228 с.
- Банк данных угроз безопасности информации. ФСТЭК России. ФАУ «ГНИИИ ПТЗИ ФСТЭК России». Режим доступа:
