云中的DNS:构建安全的DNS架构须知

就安全性挑战而言,云计算中DNS的解决方案是不完整的,它主要依赖于人员、流程和技术的组合。由于大部分的企业通过把应用程序迁移至云计算而实现了对上述三个方面的全方位的外包,云计算遭受到了全方位的挑战。所有的关键技术都在云计算供应商那里,而云计算的用户们完全依赖于云计算供应商以确保他们的信息和基础设施的安全性。所以,云计算客户还必须考虑物理控制方面的缺失,并向供应商提供DNS管理与处理相关、非常具体的指导。

本文是研究云计算中DNS以及DNS攻击系列报导的下篇,我们将讨论一下相关的应对措施,并为云计算客户提供相关指导,以便于他们在要求云计算供应商确保安全DNS架构时能够做到心中有底。

坚持DNS安全扩展(DNSSEC)签署区域是重要的第一步,这是因为DNSSEC为你的区域文件提供了数据完整性,而经过DNSSEC验证的客户可确保已签署DNSSEC区域。虽然信任区域签署者是另外一个话题,但这仍然是一个良好的开端。

但是,DNSSEC仅仅是在云计算中创建一个安全DNS架构的一个组成部分。较之具有相同重要性的一个步骤是运行DNSSEC,此举可确保DNSSEC密钥被妥善管理,同时服务器也被安全措施所正确保护。运行DNSSEC只能确保数据的完整性;它并不能保证正确的配置以及防止区域运行人员插入虚假记录(因为只要他们拥有密钥,他们就能够签署记录)。它也无法防止诸如缓冲区溢出、竞态条件以及DoS攻击这样常见的攻击。此外,管理DNSSEC区域需要区域运行人员为之做出重大的努力。

在云计算中应用NDSSEC所需面临的一个重要隐患在于,事实上众多安全专家并不熟悉DNSSEC,同时对于确保成功实施服务功能缺乏必要的认识。去年,Uncompiled.com发表了一个研究报告,它指出在世界上最大型企业中负责互联网安全的IT人员中有半数以上要么没有听说过DNSSEC,要么对其熟悉程度极为有限。对于云计算服务供应商(CSP)广泛采用DNSSEC的需求来说,这一现状并不是一个好消息。不过,云计算的客户们还是应当要求实现DNSSEC区域签名。

除了DNSSEC区域签名以外,云计算服务供应商们还必须在客户用于名称解决方案的递归解析程序中打开DNSSEC验证。期待单个应用程序执行DNSSEC检查几乎是不可能的。需要在云计算环境中执行DNSSEC 和 DNSSEC检查,尤其是那些提供IaaS解决方案的供应商。在很多情况下,通过使用anycast可在一定程度上缓解DoS攻击带来的影响,而大多数的云计算服务供应商们所提供的DNS管理中已经使用了anycast。但是,客户应当自行验证确认这一点。Anycast流量均衡与DNSSEC很类似,它是DNS整体安全策略中的一个附加的组件。

云计算中DNS问题的一个可能的解决方案是在IaaS云计算中跟踪和监控DNS区域。这个解决方案需要为每个实例设置一对服务器,并在线以隐匿模式配置监控软件。当对区域进行更新升级时,监控软件应检查区域信息以便于确定变更是否合法。例如,一个区域记录显示有IP地址变动,就需要向运行人员提出警告。通过制定合适的监控解决方案,这些区域就有可能成为IaaS云计算中具有较高可靠性的服务器。

成功的云计算基础设施是需要企业和云计算服务供应商的IT团队与法务团队付出大量时间与精力的努力的。考虑云计算迁移的一个方法就是将其认为是购买一个长期的合作关系。与供应商的信任问题也需要客户和CSP之间维持一种开放的关系。目前,管理安全行业的最佳做法并不是确保也在云计算中执行相同的措施。这意味着,在大多数情况下客户和云计算服务供应商必须一起为解决新问题、领悟新思想和接受新概念而共同努力。由于这个原因,双方的关系必须建立在相互信任、相互理解的基础之上,以确保在这个崭新的前沿领域中共同获取知识、分享知识。