今日,互联网域名系统的保安将会加强,并加入数码签名和公开密钥加密根区。但是,将DNS安全扩展(DNSSEC)促使更多企业部署外包他们的DNS操作?
这是服务提供商提供的机会威瑞信和Afilias正在关注新的托管DNS和相关安全服务,他们计划在未来几周内宣布。
DNSSEC是一种新兴的互联网标准,它允许网站使用数字签名和公钥加密来验证自己的域名和相应的IP地址,从而防止欺骗攻击。
一旦全面部署,DNSSEC将阻止缓存中毒攻击,即流量从合法网站重定向到一个假的没有网站经营者或用户不知道。缓存中毒攻击是在2008年公开了安全研究人员卡明斯基在DNS中的一个严重缺陷的结果。
DNSSEC是在DNS层次结构的顶部被部署在互联网基础设施,从根服务器运行的服务器的.com和.net等顶级域名,然后下到服务器的缓存内容个别网站。
DNS根服务器将开始提供支持DNSSEC 7月15日。这将使已经支持此标准的顶级域名的DNS查找安全,包括非营利组织的。org,瑞典的。se,英国的。uk,巴西的。br和捷克共和国的。cz。在接下来的六个月里,我们计划增加更多的顶级域名,包括针对大学的。edu,针对企业的。net和。com,以增加对DNSSEC的支持。
专家说,由于多了一层加密,DNS系统安全委员会使DNS系统更加复杂。这就是为什么服务提供商相信越来越多的企业将开始外包他们的DNS。
“DNSSEC提高了复杂性,并真正地放大了它。它改变了游戏规则。现在的情况并没有比现在难10%;管理DNS的难度是原来的两倍,而且在机器大小和带宽上的难度也是原来的两倍,”VeriSign网络情报和可用性高级副总裁Ben Petro说。“我们可以为你做所有这些工作,让DNSSEC变得简单。”
“DNSSEC是如此的复杂,该协议已经伟大的工作,但我们看到了很多错误配置的,”肖恩·利奇,CTO与Name.com,有几十谁正在测试DNSSEC客户的域名注册商说。“我真的认为你将开始看到外包DNS为准则。”
VeriSign, Afilias提供基于云的DNS
VeriSign公司官员表示,他们正在开发将直接销售给企业用户提供了基于云计算的DNS服务。威瑞信主机上的两个互联网的13个根域名服务器集群,是.com和.net域名注册表,经营庞大的全球DNS基础设施,该公司希望通过此举吸引企业客户。
VeriSign正在扩展DNS管理服务这是该公司多年来通过渠道合作伙伴提供的。VeriSign正在将其基于云的DNS服务与已经提供的分布式拒绝服务(DoS)和网络情报保护服务捆绑在一起。
“托管DNS的市场是非常非常成熟,因为DNS是很艰难的管理服务,包括开源软件和主题需要大量的专业知识,”石油说。“运行DNS涉及网络和负载平衡。我们能够从服务中删除一吨的成本。”
同时,DNS设备供应商BlueCat网络正在联手与Afilias提供可通过其变形设备的接口来管理基于云的DNS服务。Afilias公司的.info和.org域名提供后端注册服务,并支持其全球网络上的DNS托管服务。
的BlueCat官员表示,他们正在整合它们与API Afilias公司家电企业提供了一个单一的界面来管理内部和外部DNS服务。的BlueCat呼唤新的服务变形的云服务,这将是Afilias公司供电。这将在八月推出。
Afilias公司服务副总裁约翰•凯恩(John Kane)表示:“我们试图解决的问题是改善客户的DNS服务。”他说:“我们有一个非常多元化的全球Anycast网络,我们通过我们的(服务水平协议)向客户提供100%的正常运行时间。我们提供各种保护…避免单点故障。”
凯恩说,Afilias公司的网络为企业提供运行多种类型DNS软件和多品牌路由器的多样性的优势。
“我们有一个灵活的DNS网络允许的BlueCat利用我们的API,直接构建这个功能集成到他们的控制面板,然后客户有一个无缝的,集成的外观和感觉他们的管理平台,”凯恩补充道。“我们要做的汤到坚果DNS的。这将是对他们完全托管的服务。”
Dyn增加了IPv6支持
直流发电机,有管理的DNS服务提供商,最近与NTT美国联手增加了对IPv6,升级到互联网的主要通讯协议的支持。
达因提供了对DNSSEC的全力支持2009年以来,允许其Dynect平台的客户在他们的区域,可以签署,与自动密钥滚动和管理。达因官员说,DNSSEC和IPv6,加上复杂的DNS,使外包更具有吸引力。
Dyn的CTO Tom Daly说:“就网络负载而言,DNSSEC在DNS中增加了加密,加密会使用更多的带宽,因为它会在线路上发送更多的比特。”IPv6使得DNS交易更大。它将IP有效负载头从32位增加到128位。”
有了像DNSSEC和IPv6这样的服务,Dyn已经发展到支持500个客户,包括Twitter, Netflix和Zappos。
Daly说:“我们看到,随着他们网站的重要性上升,人们开始转向管理DNS的方向。”“他们已经将自己的网络托管外包了。他们带来了一个(内容发布网络)合作伙伴。现在他们需要有人替他们运行DNS "
UltraDNS引领DNS外包市场
所有这些基于云的DNS新贵都瞄准了一家供应商:的UltraDNS,NeuStar公司的一个部门,是在外包DNS市场的领导者。耙的UltraDNS在100多万一年$在其管理的DNS业务,这是上涨约16%,较去年同期。的UltraDNS的客户包括零售商,如公司Petco和J.Jill以及出版商如Forbes.com。
UltraDNS的管理人员表示,他们预计会有更多公司将DNS外包出去,这不仅是因为DNS安全委员会带来的额外工作量,还因为存在更广泛的安全担忧。
“我们努力的大宗这几天对安全问题的面向,”罗德尼·约菲,的UltraDNS的创始人兼董事长说。“这不只是一个具有DNS基础设施的问题,但它也对建设能力来帮助我们保卫我们的客户从一个角度整体安全点DNS是脆弱的;有没有关于这个问题”
约菲指向一个路径劫持攻击,4月发生涉及中国黑客所面临的企业网络管理人员的威胁的一个例子。
一家中国ISP劫持了大约10%的互联网路由器。他们所能做的就是有效地将原本打算去其他地方的交通通过中国。”约菲解释道。有两件事可以解决这个问题。第一个是DNSSEC,第二个是安全的BGP,或者为BGP签署等价的路由。但在DNSSEC被全球部署之前,我们仍然很脆弱。”
这就是为什么的UltraDNS的重点是替代性的安全服务,如缓存的后卫以及DNSSEC。
Joffe说:“我们使用传感器来识别攻击来自哪里,如何发生,以及坏人使用了什么样的漏洞。”“关注DNS基础设施的一般企业甚至不会考虑他们的路由在互联网上是如何处理的,但这是他们的DNS最有可能受到威胁的方式。”
他补充说:“我认为将是在外包DNS激增,但由于DNS安全的不仅仅是DNSSEC。”