熱點:安全問題是否能將DNS推入雲服務

狼人2007發表於2019-05-14

VeriSign公司、Afilias公司以及其他供應商正在努力研究基於雲端計算的DNS(域名伺服器)服務。

隨著數字簽名和公共金鑰加密的加入,網際網路域名系統的安全勢必將得到改善。但是域名系統安全擴充套件協議(DNSSEC)的部署是否會促使更多的企業外包他們的DNS運營呢?

這是服務供應商(包括VeriSign和Afilias)瞄準的一次機會,他們計劃在未來幾周內推出新型管理DNS和相關的安全服務。

DNSSEC是新興的網際網路標準,該標準能夠通過使用數字簽名和公鑰加密對網站驗證域名和對應的IP地址來防止欺騙攻擊。

完全部署DNSSEC後,企業就能夠防止快取中毒攻擊,在這種攻擊中,來自合法網站的流量將會被重新定向到假網站,而不被網站管理員和使用者知道。快取中毒攻擊源自DNS中的一個嚴重漏洞,該漏洞由安全研究人員Dan Kaminsky於2008年發現。

DNSSEC已經部署在網際網路基礎設施中,從DNS結構頂部的根伺服器到執行.com和.net以及其他頂級域名的伺服器,然後再到快取個人網站內容的伺服器。

DNS根伺服器已於7月15日開始支援DNSSEC,這能夠確保已經支援這項標準的頂級域名,包括非盈利的.org,.se、.uk、.br和.cz等。對於.edu、.net和.com新增DNSSEC支援將會在未來六個月內實現。

專家指出, 增加了額外的加密層後,DNSSEC使DNS變得更為複雜,這也使為什麼服務供應商認為將會有更多的企業開始外包他們的DNS。

“DNSSEC確實存在一定的複雜度,企業將更難管理DNS,”VeriSign公司網路智慧和有效性高階副總裁Ben Petro表示,“我們能夠為企業減輕管理DNS的負擔,讓DNSSEC變得更加簡單。”

“DNSSEC非常複雜,這個協議確實能夠顯著提高安全性,但是我們在測試DNSSEC的客戶中發現存在很多錯誤配置,”Name.com(域名註冊商)的技術長Sean Leach表示,“我相信在不久的將來,外包DNS將會成為大部分企業的首選。”

VeriSign公司和Afilias公司將推出基於雲端計算的域名系統

VeriSign公司的官方發言人稱,他們正在開發基於雲服務的DNS服務,該服務將直接銷售給企業客戶。VeriSign託管網際網路的13個根域名伺服器叢集中的兩個叢集,並且它是.com和.net域名的註冊商,運作著大規模全球DNS基礎設施,該公司希望這些優勢能夠吸引企業客戶。

VeriSign公司正在擴充套件其通過渠道經銷商銷售多年的管理DNS服務,並且該公司正在將帶有分散式拒絕服務(DoS)的基於雲端計算的DNS服務與網路智慧保護服務整合。

“管理DNS市場已經非常非常成熟,因為DNS是很難管理的服務,它涉及開源軟體和需要很多專業只是的操作,”Petro表示,“執行DNS涉及網路和負載平衡,我們能夠從該服務中節省大量成本。”

與此同時,DNS裝置供應商BlueCat網路公司與Afilis也計劃聯手推出基於雲端計算的DNS服務,該服務將能夠通過其Proteus裝置進行管理。Afilia公司是提供.info和.org域名的後端註冊服務的供應商,並且將在其全球網路中支援DNS服務。

BlueCat官方發言人表示,他們正在試圖與Afilias API進行整合以為企業提供管理內部和外部DNS服務的單一介面。BlueCat將這項新服務成為Proteus雲服務。

“目前我們正在試圖解決的問題就是如何改善客戶的DNS,”Afilias企業服務副總裁John Kane表示,“我們有全球多樣化的Anycast網路,通過我們的服務水平協議為客戶提供100%的正常執行,我們提供多種保護措施,並能夠避免單點故障。”

Kane表示Afilias網路為企業提供執行多種型別DNS軟體和多品牌路由器的優勢。

“我們有一個非常靈活的DNS網路,可以允許BlueCat利用我們的API,直接向他們的控制皮膚建立這個功能,然後客戶對於管理平臺會有一種無縫整體的感覺,”Kane補充說。

Dyn增加 IPv6支援

管理DNS服務供應商Dyn公司最近與NTT America合作增加對Ipv6的支援,這是對網際網路主要通訊協議的升級。

Dyn公司自2009年開始就完全支援DNSSEC,為其客戶提供Dynect平臺以對不同區前面,並且有自動化金鑰管理。Dyn官方發言人表示,DNSSEC和Ipv6都增加了DNS的複雜性,這讓外包變得更具吸引力。

“從網路負載的角度來看,DNSSEC為DNS增加了加密技術,而加密技術需要使用更多的頻寬,因為它需要傳送更多的位元組,”Dyn公司技術長Tom Daly表示,“而Ipv6讓DNS通訊變得更大了,將IP有效載荷header從32位增加到128位。”

由於DNSSEC和Ipv6都增加了DNS的複雜性,Dyn公司的外包客戶已經擴充套件到500家,包括Twitter、Netflix和Zappos。

“我們看到越來越多的人開始選擇管理DNS,隨著他們網站地位的提升,”Daly表示,“他們已經外包了web託管服務,現在他們將需要有人幫他們執行DNS。”

UltraDNS領先於DNS外包市場

UltraDNS公司(NeuStar的分公司)絕對是外包DNS市場的佼佼者,該公司今年從其管理DNS業務中收益超過1億美元,這比去年同期增長16%。

UltraDNS公司發言人表示他們希望有更多的公司選擇外包DNS,不僅僅是因為DNSSEC帶來的複雜性,而是因為對安全問題的廣泛考慮。

“現在我們大部分精力都放在了安全問題上,”UltraDNS公司的創始人兼主席Rodney Joffe表示,“這不僅僅是持有DNS基礎設施的問題,而是如何幫助客戶抵禦安全威脅的問題,這一點毫無疑問。”

“我們使用感測器來確定攻擊來源以及攻擊方式,攻擊者利用的是何種型別的漏洞,”Joffe表示,“一般企業對於DNS基礎設施甚至都不會考慮他們的路程是如何在網際網路處理的。我相信外包DNS將會激增,但這種增加是因為安全考慮,而不是因為DNSSEC。”


相關文章