Contact Us
顶部横幅

域名系统 (DNS) 安全

DNS 安全图标

因为缺乏固有的安全性,很多组织的域名系统 (DNS) 服务器经常被反复地用于各种恶意行为,包括缓存投毒(将错误/虚假数据注入域名服务器缓存,然后为用户服务)、重定向电话、中间人攻击和窃取密码、重编电子邮件路由、拒绝服务攻击等。

域名系统安全扩展 (DNSSEC) 通过数码签名 DNS 记录确保收到的消息和发送的消息相同,从而保证 DNS 服务器层级的安全。

有了 DNSSEC,组织可以:

  • 增强安全性。DNS 安全可抵御缓存投毒、重定向电话、中间人攻击等。

  • 保证合规性。DNSSEC 可帮助解决 ICANN、NSEC 以及其他授权和指南问题。

  • 降低成本。如果能抵御一系列网络威胁,组织便可减少与减轻威胁和攻击后取证及补偿相关的工作时间。


如果没有稳定的安全性,DNS 安全就会受到影响

绿色保护密钥图标

DNSSEC 实质上是通过公钥基础设施 (PKI) 在 DNS 服务器之间提供安全通信。作为 PKI,DNSSEC 需要一些新流程,如密钥生成、签名和密钥管理。但是,由于 DNSSEC 使用的资源记录是以未加密的方式保存的,所以无法保证 DNSSEC 发挥其所有优势。

只有全部 DNSSEC 基础设施得到充分且完全的保护时,这些组织才能完全享受 DNSSEC 的优势。为此,他们需要具备以下能力:

  • 安全数码签署。需要对 DNS 消息进行数码签名以确保 DNS 服务的有效性。

  • 访问控制。组织必须保证仅授权的客户和内部人员可以访问敏感应用程序和数据。

  • 保持应用程序完整性。必须保证所有相关应用程序代码和流程的安全性才能保证其完整性并避免未授权的应用程序执行。

  • 根据高处理量进行调整。因为 DNS 更新非常频繁,所以 DNSSEC 基础设施需要提供能够保证随时、及时处理的性能和扩展能力。

View 使用 HSM 的 DNSSEC 资源库

硬件安全模块实现 DNS 安全性

硬件安全模块图标

为保证 DNS 服务的有效性,DNSSEC 采用公钥加密技术对 DNS 消息进行数码签名。为实现所需的安全性,必须对私人签名密钥提供可靠的保护。如果密钥及其相应的数字码书受到安全影响,DNS 层级中的信任链会断裂,造成整个系统被淘汰。这就是要使用硬件安全模块 (HSM) 的原因。

HSM 是以物理和逻辑方式保护作为数码签署核心的加密密钥和加密处理的专用系统。HSM 支持以下功能:

  • 生命周期管理,包括密钥生成、分发、旋转、储存、中止和存档。

  • 加密处理,具有从应用程序服务器隔离和减轻加密处理负担的双重优势。

将加密密钥保存到集中、可靠的设备中后,HSM 可消除因将这些资产保存到分散、不安全的平台而产生的风险。此外,这种集中化可大幅简化安全管理。

配备 SafeNet HSM 的 DNS 安全图


[图] 了解运行原理:配备 SafeNet HSM 的 DNS 安全

SafeNet HSM 用于 DNSSEC:

  • 支持 DNSSEC 信任实体系统

  • 根和整个 DNS 层级(ZSK 和 KSK)的密钥安全

  • 强大的加密引擎,减轻 DNS 服务器的加密负担

  • 广泛的 HSM 适合多种 DNSSEC 要求

  • 标准 API 包括 PKCS#11、Java、MS CAPI

  • 提供经 FIPS 验证和通用标准认证的模型

  • 与一流 DNS 平台(如 OpenDNSSEC、BIND 9.7 和 FreeBSD
    )集成

查看 HSM 产品详细信息 请求更多信息


View 如何购买 资源库

请联系我们的销售代表。 

美洲
电话:866-251-4269
请填写表格 
欧洲
电话:+44-01276-608000
请填写表格
亚洲
电话:866-251-4269
请填写表格

美国联邦销售 类型1
电话:443-327-1235
请填写表格

办事处分布
查找合作伙伴
需要订购?从这里查看联系信息。
View 概述 资源库
DNS Hierarchy
CTA HSM Critical Risk Mgmt WP