DNS (система доменных имен) может быть привлекательной целью для атакующих. Предприятиям следует обеспечить доступность и целостность своих DNS, пишет на портале eWeek вице-президент компании NS1 Джонатан Льюис.
DNS обычно не уделяется много внимания, но эта система играет важнейшую роль для онлайнового бизнеса — веб-сайтов, онлайновых сервисов, подключения к облакам и приложений. При отказе DNS конечные пользователи не смогут найти вас в Интернете. Такой отказ равносилен выходу из строя всего ЦОДа. Это, как легко себе представить, делает DNS привлекательной целью для атакующих.
Вашему вниманию предлагаются шесть советов, как сделать корпоративную DNS безопасной, доступной и высокопроизводительной.
1. Диверсифицируйте для обеспечения дополнительной устойчивости
Организации все шире применяют новое поколение вычислительных сред, в которых главную роль играют облака. При этом они пользуются услугами нескольких облачных провайдеров, ЦОДов и сетей доставки контента (CDN). У тех же провайдеров они могут получать сервисы DNS. Однако рискованно полагаться на важнейшую инфраструктуру и сервисы одних и тех же провайдеров. Следует применят не зависящее от них решение DNS. В случае сбоя у провайдеров компания сохранит работающую DNS, которая перенаправит пользователей на функционирующие площадки. Это придает устойчивость всему стеку доставки приложений.
2. Проектируйте с расчетом на безопасность и доступность
Организация, имеющая собственную DNS для поддержки онлайновых сервисов, должна размещать серверы DNS на нескольких площадках. На каждой должно быть минимум два сервера, сконфигурированных для обеспечения высокой доступности. Обычно это делается с помощью распределителя нагрузки. Кроме того, серверы DNS должны находиться в собственной изолированной «демилитаризованной» зоне. Важно ограничить интернет-трафик только теми протоколами, которые требуются для DNS. Компании следует также устанавливать новейшие исправления ПО DNS, если она использует открытый код (например, BIND), или выпускаемые производителем исправления, если она применяет аппаратную DNS.
3. Защитите серверы DNS от DDoS-атак
DNS является одной из главных целей DDoS-атак. Имеющие собственные DNS организации должны позаботиться о защите от этого весьма распространенного вида атак. Они могут подписаться на сервисы защиты от DDoS-атак, предоставляемые их провайдерами интернет-доступа, установить специальные защитные устройства или использовать оба варианта. Разумно также иметь резервные мощности, которые гарантированно позволят справиться с внезапными всплесками запросов в результате DDoS-атак. Опыт свидетельствует, что следует быть готовым к повышению пиковой нагрузки минимум в десять раз.
4. Тщательно организуйте управление DNS
Поскольку DNS имеет важнейшее значение для бизнеса, организациям надлежит строго регулировать, кто и что имеет право делать с DNS. Независимо от того, пользуется организация услугами провайдера или имеет собственную DNS. Если в компании несколько администраторов DNS, каждого из них можно наделить строго определенными функциями и предоставить им доступ только к тем зонам и записям, которые необходимы для выполнения их работы. Важно усилить контроль доступа за счет двухфакторной аутентификации и однократной регистрации. Если для обновления DNS используются сценарии или API, необходимо применять мощные ключи аутентификации и ограничить круг их владельцев. Например, составить «белый» список IP-адресов.
Наконец, компаниям следует использовать безопасные методы взаимодействия со своими регистраторами доменных имен и поддерживать актуальность списка уполномоченных контактировать с ними лиц. Это позволит сохранить контроль над доменными именами и не пропустить уведомление регистратора об истечении срока регистрации.
5. Используйте DNSSEC
Взлом DNS и отравление кэша DNS особенно опасны, поскольку не обнаруживаются, не отслеживаются и приводят к прямым финансовым потерям. В результате таких атак конечный пользователь, запрашивающий DNS, направляется на фиктивный сайт, который замаскирован под легитимный. За последние несколько месяцев подобные атаки успешно осуществлялись против сайтов криптовалют. Пользователи, доверившие им свои деньги, лишились их. Если пользователи доверяют компании финансовые или персональные данные либо сведения о своем здоровье, ее долг организовать защиту от такого рода атак. Лучший способ — использовать DNSSEC (Domain Name Security Extensions). DNSSEC защищает целостность информации DNS с помощью электронной подписи и проверки через домен высшего уровня. Многие (но не все) провайдеры управляемых сервисов DNS поддерживают DNSSEC и упрощают компаниям настройку DNSSEC на стандартных платформах DNS с открытым кодом.
6. Создайте вторую сеть DNS для обеспечения избыточности и отказоустойчивости
Независимо от того, пользуется ли компания услугами провайдера управляемых сервисов DNS или собственной DNS, для безотказной работы системы лучше всего создать вторую сеть DNS. Это можно сделать несколькими способами: подписаться на управляемый сервис DNS, который будет дополнять собственную DNS, или наоборот, либо пользоваться услугами двух провайдеров управляемых сервисов DNS. Обратите внимание, что наличие вторичной, или избыточной, DNS не означает, что одна сеть работает, а другая находится в состоянии готовности к работе. Нет, обе сети должны быть активными, иначе в случае выхода из строя одной из них возникнет простой.
При наличии двух активных сетей DNS администраторам необходимо позаботиться, чтобы записи обеих систем своевременно синхронизировались после обновлений.