如何确保内容交付网络CDN的安全性？

　　据称，自动内容交付网络的数字签名恶意软件威胁呈上升趋势，能否提供一些最佳做法来帮助我们保护CDN？

　　Kevin Beaver：攻击者利用内容交付网络（CDN）就像利用泄露用户账户的权限，这两者没有太大的不同。如果用户通过身份验证（或者代码获得签名），无论他或她做什么（或者无论代码在CDN的文件中代表什么）都是合法的，因为它有密码—最低安全标准。

　　然而，我们已经发展到了这样的地步，即自签名证书都不会被质疑；只要部署了某种证书机制，连接和文件都被认为是安全的。这是超额工作的员工（包括IT和安全人员）以及我们对即刻满足的需求的副作用：我们现在需要它，我们就可以解决以后的任何后果。

　　最后，这归结为信任问题—但也超越了信任。我并不确定是否有比传统方法更好的方法来保护CDN，这些传统方法包括：恶意软件扫描、内容过滤以及类似的威胁情报来检测和/或阻止问题流量。有趣的是，我测试了几个CDN环境的安全性，在可预见的情况下，每个环境都有几个严重的安全漏洞（围绕输入验证和用户会话管理），这些漏洞可能进一步导致不同类型的系统滥用。

　　为了确保来自CDN的文件的安全性，我们需要多层控制组（包括上述列出的那些），以在检测到恶意流量时分析和阻止这些流量。这种工作负担落在最终用户肩上（即对他们正在做的事情做出正确的决定），并且需要企业IT或安全团队部署终端安全控制。因此，每个企业都可以靠自己有效地确保这些控制的部署。