就安全性挑戰(zhàn)而言���,云計算中DNS的解決方案是不完整的���,它主要依賴于人員���、流程和技術(shù)的組合。由于大部分的企業(yè)通過把應(yīng)用程序遷移至云計算而實現(xiàn)了對上述三個方面的全方位的外包�����,云計算遭受到了全方位的挑戰(zhàn)��。所有的關(guān)鍵技術(shù)都在云計算供應(yīng)商那里�����,而云計算的用戶們完全依賴于云計算供應(yīng)商以確保他們的信息和基礎(chǔ)設(shè)施的安全性����。所以,云計算客戶還必須考慮物理控制方面的缺失�����,并向供應(yīng)商提供DNS管理與處理相關(guān)��、非常具體的指導�����。
本文是研究云計算中DNS以及DNS攻擊系列報導的下篇,我們將討論一下相關(guān)的應(yīng)對措施��,并為云計算客戶提供相關(guān)指導�����,以便于他們在要求云計算供應(yīng)商確保安全DNS架構(gòu)時能夠做到心中有底���。
堅持DNS安全擴展(DNSSEC)簽署區(qū)域是重要的第一步�,這是因為DNSSEC為你的區(qū)域文件提供了數(shù)據(jù)完整性��,而經(jīng)過DNSSEC驗證的客戶可確保已簽署DNSSEC區(qū)域����。雖然信任區(qū)域簽署者是另外一個話題,但這仍然是一個良好的開端�。
但是,DNSSEC僅僅是在云計算中創(chuàng)建一個安全DNS架構(gòu)的一個組成部分���。較之具有相同重要性的一個步驟是運行DNSSEC�����,此舉可確保DNSSEC密鑰被妥善管理���,同時服務(wù)器也被安全措施所正確保護。運行DNSSEC只能確保數(shù)據(jù)的完整性�����;它并不能保證正確的配置以及防止區(qū)域運行人員插入虛假記錄(因為只要他們擁有密鑰��,他們就能夠簽署記錄)����。它也無法防止諸如緩沖區(qū)溢出、競態(tài)條件以及DoS攻擊這樣常見的攻擊�����。此外���,管理DNSSEC區(qū)域需要區(qū)域運行人員為之做出重大的努力��。
在云計算中應(yīng)用NDSSEC所需面臨的一個重要隱患在于����,事實上眾多安全專家并不熟悉DNSSEC,同時對于確保成功實施服務(wù)功能缺乏必要的認識��。去年����,Uncompiled.com發(fā)表了一個研究報告,它指出在世界上最大型企業(yè)中負責互聯(lián)網(wǎng)安全的IT人員中有半數(shù)以上要么沒有聽說過DNSSEC����,要么對其熟悉程度極為有限。對于云計算服務(wù)供應(yīng)商(CSP)廣泛采用DNSSEC的需求來說��,這一現(xiàn)狀并不是一個好消息�。不過,云計算的客戶們還是應(yīng)當要求實現(xiàn)DNSSEC區(qū)域簽名����。
除了DNSSEC區(qū)域簽名以外,云計算服務(wù)供應(yīng)商們還必須在客戶用于名稱解決方案的遞歸解析程序中打開DNSSEC驗證���。期待單個應(yīng)用程序執(zhí)行DNSSEC檢查幾乎是不可能的��。需要在云計算環(huán)境中執(zhí)行DNSSEC 和 DNSSEC檢查����,尤其是那些提供IaaS解決方案的供應(yīng)商。在很多情況下�����,通過使用anycast可在一定程度上緩解DoS攻擊帶來的影響�����,而大多數(shù)的云計算服務(wù)供應(yīng)商們所提供的DNS管理中已經(jīng)使用了anycast.但是���,客戶應(yīng)當自行驗證確認這一點。Anycast流量均衡與DNSSEC很類似���,它是DNS整體安全策略中的一個附加的組件���。
云計算中DNS問題的一個可能的解決方案是在IaaS云計算中跟蹤和監(jiān)控DNS區(qū)域。這個解決方案需要為每個實例設(shè)置一對服務(wù)器��,并在線以隱匿模式配置監(jiān)控軟件����。當對區(qū)域進行更新升級時,監(jiān)控軟件應(yīng)檢查區(qū)域信息以便于確定變更是否合法。例如��,一個區(qū)域記錄顯示有IP地址變動�����,就需要向運行人員提出警告���。通過制定合適的監(jiān)控解決方案����,這些區(qū)域就有可能成為IaaS云計算中具有較高可靠性的服務(wù)器�����。
成功的云計算基礎(chǔ)設(shè)施是需要企業(yè)和云計算服務(wù)供應(yīng)商的IT團隊與法務(wù)團隊付出大量時間與精力的努力的�����?紤]云計算遷移的一個方法就是將其認為是購買一個長期的合作關(guān)系�����。與供應(yīng)商的信任問題也需要客戶和CSP之間維持一種開放的關(guān)系�。目前,管理安全行業(yè)的最佳做法并不是確保也在云計算中執(zhí)行相同的措施�。這意味著,在大多數(shù)情況下客戶和云計算服務(wù)供應(yīng)商必須一起為解決新問題��、領(lǐng)悟新思想和接受新概念而共同努力��。由于這個原因�,雙方的關(guān)系必須建立在相互信任、相互理解的基礎(chǔ)之上���,以確保在這個嶄新的前沿領(lǐng)域中共同獲取知識、分享知識�����。
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
