《DNS攻击防范科普系列3》 -如何保障 DNS 操作安全

简介: 引言前两讲我们介绍了 DNS 相关的攻击类型,以及针对 DDoS 攻击的防范措施。这些都是更底层的知识,有同学就来问能否讲讲和我们的日常操作相关的知识点,今天我们就来说说和我们日常 DNS 操作相关的安全风险和防范措施。

引言

前两讲我们介绍了 DNS 相关的攻击类型,以及针对 DDoS 攻击的防范措施。这些都是更底层的知识,有同学就来问能否讲讲和我们的日常操作相关的知识点,今天我们就来说说和我们日常 DNS 操作相关的安全风险和防范措施。

账号安全

在平台上管理域名解析,就需要登陆,进行权限的认证。但域名在企业中可能会有多人需要操作,比如购买和续费、解析的操作管理,更有可能会将某些业务外包而要合作伙伴来操作域名。而我们知道,多个共用一个账号和密码是一种有很大安全风险的管理方式。在现在的复杂场景下,就需要有一个灵活的权限管理系统。

_2_jpeg

阿里云支持主账号外,可以通过访问控制(Resource Access Management,RAM)来统一管理用户身份与资源访问权限,以及 阿里云临时安全令牌(Security Token Service,STS)来时行临时授权。

使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。RAM是一种永久授权(当然也可以删除相应的权限),而如果要一定时间内给某个用户授权,如授权合作伙伴公司管理域名,就可以使用 STS 的方式来授权。通过STS服务,您所授权的身份主体(RAM用户、RAM用户组或RAM角色)可以获取一个自定义时效和访问权限的临时访问令牌。STS令牌持有者可以访问阿里云资源。

同时,对上述的账号,还可以开启多因素认证(Multi-factor authentication,MFA),为您的账号提供更高的安全保护。更多有关账号的访问控制的说明,可查看 访问控制帮助文档

业务安全

对于域名的业务安全,首先要找使用有技术实力、有责任心、沟通便捷的服务商来提供域名解析的服务。历史上发生过多起被黑客通过技术破解、社会学攻击等篡改域名的DNS或其它信息,导致域名被劫持的问题。同时,如果国内用户的域名使用的国外的服务商的解析服务,出现问题时沟通不畅再加上时差的问题,会使问题更加难以处理。从用户自身来讲,还是要选择一下靠谱的域名解析服务商。

_1_jpeg

在自己的域名管理上,也要提前做好操作的规划、步骤和风险评估。尤其是迁移域名服务商、修改主域名的 NS时(如将解析从其它注册商转移到阿里云),需要先在要迁移的解析服务提供商把解析添加完全、正确,并进行相应的测试,再去注册商处修改域名的NS,且修改后要在原解析服务提供商处的解析服务保留至少48小时。因主域名 NS 记录的缓存时间较长,在完全生效前,会有部分请求到旧的提供商处进行查询,如果在旧的解析提供商处的解析不完整,或不正确,就会使域名的访问受到影响,网站打不开、邮箱收不到信等。

在普通解析记录做变更时,自己的新旧地址也要做好平滑的迁移。在变更解析前将解析的 TTL (解析记录的缓存时间) 适当减少,在变更解析记录时,等旧的地址上没有应用流量时再关闭应用。

数据安全

数据安全一般是指数据的保密性、完整性和可用性。保密性需要由平台和用户共担,用户不对外泄露数据,平台做好权限控制和审核,只开放给必要的系统使用,并做到可审核可追踪。对提供给域名解析服务商的数据,由平台来进行数据的完整性和保密性。阿里云依托强大的基础设施,以保证数据在多台存有备案,并进行相关的加密和审记管理,保证数据的安全。

_jpeg

以上简单介绍了域名在业务管理时的常见风险和防范措施,域名安全需要用户在管理上多加注意,同时也是域名解析服务提供商不可推荐的责任。除了业务安全外,域名在使用中还会遇到其它的问题,比如被缓存投毒、被劫持等。下一期我们重点介绍一下DNS缓存投毒的原理和怎么处理。

相关文章
|
14天前
|
SQL 存储 数据库
数据库开发表操作案例的详细解析
数据库开发表操作案例的详细解析
11 0
|
14天前
|
SQL 存储 关系型数据库
数据库开发之图形化工具以及表操作的详细解析
数据库开发之图形化工具以及表操作的详细解析
37 0
|
14天前
|
Go 索引
掌握Go语言:Go语言范围,优雅遍历数据结构,简化代码操作实战解析(24)
掌握Go语言:Go语言范围,优雅遍历数据结构,简化代码操作实战解析(24)
|
14天前
|
机器学习/深度学习 存储 PyTorch
Pytorch中in-place操作相关错误解析及detach()方法说明
Pytorch中in-place操作相关错误解析及detach()方法说明
127 0
|
14天前
|
开发工具 git 开发者
|
5天前
|
域名解析 网络协议 安全
【域名解析DNS专栏】进阶DNS管理:利用DNSSEC加强域名安全
【5月更文挑战第23天】DNSSEC使用公钥加密为DNS记录添加数字签名,防止DNS欺骗和中间人攻击。它涉及密钥对生成、记录签名、公钥发布和验证过程。部署DNSSEC需要选择支持的DNS提供商,管理密钥并配置签名区域。尽管面临复杂性、性能影响等挑战,DNSSEC的普及和与TLS、HTTPS结合将提升DNS安全性,构建更可信的互联网环境。通过实践DNSSEC,我们可以强化域名安全防线。
|
2天前
|
域名解析 网络协议 安全
【域名解析DNS专栏】DNS-over-TLS与DNS-over-HTTPS:安全升级新标准
【5月更文挑战第26天】随着网络技术的发展,DNS协议面临安全挑战,DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 作为解决方案出现,旨在通过加密增强隐私和安全。DoT使用TLS封装DNS查询,防止流量被窥探或篡改;DoH则利用HTTPS隐藏DNS查询。实施DoT需在客户端和服务器间建立TLS连接,DoH需DNS服务器支持HTTPS接口。这两种技术为网络安全提供支持,未来有望更广泛部署,提升网络环境的安全性。
|
3天前
|
域名解析 监控 网络协议
【域名解析DNS专栏】DNS域名劫持与防范策略:保护你的域名安全
【5月更文挑战第26天】DNS域名劫持是网络攻击手法,攻击者篡改DNS记录,将用户导向恶意网站,威胁隐私泄露、数据窃取及品牌信誉。防范策略包括使用DNSSEC加密验证响应,选择安全的DNS服务提供商,定期检查DNS记录,以及教育员工和用户识别网络威胁。通过这些措施,可以增强域名安全,抵御DNS劫持攻击。
|
7天前
|
缓存 网络协议 安全
什么是DNS缓存投毒攻击,有什么防护措施
DNS缓存投毒攻击,也称为域名系统投毒或缓存投毒,是一种网络安全威胁,其中攻击者通过向DNS服务器发送伪造的DNS响应,使DNS服务器错误地缓存这些响应。当受害者尝试解析某个域名时,DNS服务器会返回这些伪造的响应,从而将受害者重定向到攻击者控制的恶意网站或服务器。
|
14天前
|
安全 数据安全/隐私保护
企业邮箱解析:定义、特点全揭秘,通信安全护航
商务邮箱是专为企业的邮件服务系统,强调专业形象、高效沟通和信息安全。它提供邮件管理、会议安排等功能,增强品牌形象和内部效率。重要的是选择稳定且安全的服务商。商务邮箱使用企业域名,展示专业性并提升品牌识别度,包含群发管理、邮件追踪等高级功能。市场有多种服务商,如Zoho Mail和G Suite,选择时需考虑稳定性、安全性等因素。商务邮箱对提升企业形象、加强内部管理、保障信息安全、支持移动办公及客户服务起关键作用。
21 1

相关产品

  • 云解析DNS
  • 推荐镜像

    更多