引言

前兩講我們介紹了 DNS 相關的攻擊型別，以及針對 DDoS 攻擊的防範措施。這些都是更底層的知識，有同學就來問能否講講和我們的日常操作相關的知識點，今天我們就來說說和我們日常 DNS 操作相關的安全風險和防範措施。

賬號安全

在平臺上管理域名解析，就需要登陸，進行許可權的認證。但域名在企業中可能會有多人需要操作，比如購買和續費、解析的操作管理，更有可能會將某些業務外包而要合作伙伴來操作域名。而我們知道，多個共用一個賬號和密碼是一種有很大安全風險的管理方式。在現在的複雜場景下，就需要有一個靈活的許可權管理系統。

阿里雲支援主賬號外，可以透過訪問控制（Resource Access Management，RAM）來統一管理使用者身份與資源訪問許可權，以及 阿里雲臨時安全令牌（Security Token Service，STS）來時行臨時授權。

使用RAM，您可以建立、管理RAM使用者（例如員工、系統或應用程式），並可以控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源時，使用RAM可以讓您避免與其他使用者共享雲賬號金鑰，按需為使用者分配最小許可權，從而降低企業資訊保安風險。RAM是一種永久授權（當然也可以刪除相應的許可權），而如果要一定時間內給某個使用者授權，如授權合作伙伴公司管理域名，就可以使用 STS 的方式來授權。透過STS服務，您所授權的身份主體（RAM使用者、RAM使用者組或RAM角色）可以獲取一個自定義時效和訪問許可權的臨時訪問令牌。STS令牌持有者可以訪問阿里雲資源。

同時，對上述的賬號，還可以開啟多因素認證（Multi-factor authentication，MFA），為您的賬號提供更高的安全保護。更多有關賬號的訪問控制的說明，可檢視 
訪問控制幫助文件。

業務安全

對於域名的業務安全，首先要找使用有技術實力、有責任心、溝通便捷的服務商來提供域名解析的服務。歷史上發生過多起被駭客透過技術破解、社會學攻擊等篡改域名的DNS或其它資訊，導致域名被劫持的問題。同時，如果國內使用者的域名使用的國外的服務商的解析服務，出現問題時溝通不暢再加上時差的問題，會使問題更加難以處理。從使用者自身來講，還是要選擇一下靠譜的域名解析服務商。

在自己的域名管理上，也要提前做好操作的規劃、步驟和風險評估。尤其是遷移域名服務商、修改主域名的 NS時（如將解析從其它註冊商轉移到阿里雲），需要先在要遷移的解析服務提供商把解析新增完全、正確，並進行相應的測試，再去註冊商處修改域名的NS，且修改後要在原解析服務提供商處的解析服務保留至少48小時。因主域名 NS 記錄的快取時間較長，在完全生效前，會有部分請求到舊的提供商處進行查詢，如果在舊的解析提供商處的解析不完整，或不正確，就會使域名的訪問受到影響，網站打不開、郵箱收不到信等。

在普通解析記錄做變更時，自己的新舊地址也要做好平滑的遷移。在變更解析前將解析的 TTL (解析記錄的快取時間) 適當減少，在變更解析記錄時，等舊的地址上沒有應用流量時再關閉應用。

資料安全

資料安全一般是指資料的保密性、完整性和可用性。保密性需要由平臺和使用者共擔，使用者不對外洩露資料，平臺做好許可權控制和稽核，只開放給必要的系統使用，並做到可稽核可追蹤。對提供給域名解析服務商的資料，由平臺來進行資料的完整性和保密性。阿里雲依託強大的基礎設施，以保證資料在多臺存有備案，並進行相關的加密和審記管理，保證資料的安全。

以上簡單介紹了域名在業務管理時的常見風險和防範措施，域名安全需要使用者在管理上多加註意，同時也是域名解析服務提供商不可推薦的責任。除了業務安全外，域名在使用中還會遇到其它的問題，比如被快取投毒、被劫持等。下一期我們重點介紹一下DNS快取投毒的原理和怎麼處理。

本文作者：kimi_nyn

 
原文連結

本文為雲棲社群原創內容，未經允許不得轉載。

《DNS攻擊防範科普系列3》 -如何保障 DNS 操作安全

引言

賬號安全

業務安全

資料安全

相關文章