《DNS攻擊防範科普系列3》 -如何保障 DNS 操做安全

引言

前兩講咱們介紹了 DNS 相關的攻擊類型，以及針對 DDoS 攻擊的防範措施。這些都是更底層的知識，有同窗就來問可否講講和咱們的平常操做相關的知識點，今天咱們就來講說和咱們平常 DNS 操做相關的安全風險和防範措施。

帳號安全

在平臺上管理域名解析，就須要登錄，進行權限的認證。但域名在企業中可能會有多人須要操做，好比購買和續費、解析的操做管理，更有可能會將某些業務外包而要合做夥伴來操做域名。而咱們知道，多個共用一個帳號和密碼是一種有很大安全風險的管理方式。在如今的複雜場景下，就須要有一個靈活的權限管理系統。

阿里雲支持主帳號外，能夠經過訪問控制（Resource Access Management，RAM）來統一管理用戶身份與資源訪問權限，以及 阿里雲臨時安全令牌（Security Token Service，STS）來時行臨時受權。

使用RAM，您能夠建立、管理RAM用戶（例如員工、系統或應用程序），並能夠控制這些RAM用戶對資源的操做權限。當您的企業存在多用戶協同操做資源時，使用RAM可讓您避免與其餘用戶共享雲帳號密鑰，按需爲用戶分配最小權限，從而下降企業信息安全風險。RAM是一種永久受權（固然也能夠刪除相應的權限），而若是要必定時間內給某個用戶受權，如受權合做夥伴公司管理域名，就可使用 STS 的方式來受權。經過STS服務，您所受權的身份主體（RAM用戶、RAM用戶組或RAM角色）能夠獲取一個自定義時效和訪問權限的臨時訪問令牌。STS令牌持有者能夠訪問阿里雲資源。

同時，對上述的帳號，還能夠開啓多因素認證（Multi-factor authentication，MFA），爲您的帳號提供更高的安全保護。更多有關帳號的訪問控制的說明，可查看 訪問控制幫助文檔。

業務安全

對於域名的業務安全，首先要找使用有技術實力、有責任心、溝通便捷的服務商來提供域名解析的服務。歷史上發生過多起被黑客經過技術破解、社會學攻擊等篡改域名的DNS或其它信息，致使域名被劫持的問題。同時，若是國內用戶的域名使用的國外的服務商的解析服務，出現問題時溝通不順暢再加上時差的問題，會使問題更加難以處理。從用戶自身來說，仍是要選擇一下靠譜的域名解析服務商。

在本身的域名管理上，也要提早作好操做的規劃、步驟和風險評估。尤爲是遷移域名服務商、修改主域名的 NS時（如將解析從其它註冊商轉移到阿里雲），須要先在要遷移的解析服務提供商把解析添加徹底、正確，並進行相應的測試，再去註冊商處修改域名的NS，且修改後要在原解析服務提供商處的解析服務保留至少48小時。因主域名 NS 記錄的緩存時間較長，在徹底生效前，會有部分請求到舊的提供商處進行查詢，若是在舊的解析提供商處的解析不完整，或不正確，就會使域名的訪問受到影響，網站打不開、郵箱收不到信等。

在普通解析記錄作變動時，本身的新舊地址也要作好平滑的遷移。在變動解析前將解析的 TTL (解析記錄的緩存時間) 適當減小，在變動解析記錄時，等舊的地址上沒有應用流量時再關閉應用。

數據安全

數據安全通常是指數據的保密性、完整性和可用性。保密性須要由平臺和用戶共擔，用戶不對外泄露數據，平臺作好權限控制和審覈，只開放給必要的系統使用，並作到可審覈可追蹤。對提供給域名解析服務商的數據，由平臺來進行數據的完整性和保密性。阿里雲依託強大的基礎設施，以保證數據在多臺存有備案，並進行相關的加密和審記管理，保證數據的安全。

以上簡單介紹了域名在業務管理時的常見風險和防範措施，域名安全須要用戶在管理上多加註意，同時也是域名解析服務提供商不可推薦的責任。除了業務安全外，域名在使用中還會遇到其它的問題，好比被緩存投毒、被劫持等。下一期咱們重點介紹一下DNS緩存投毒的原理和怎麼處理。

---

本文做者：kimi_nyn

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。