《DNS攻击防范科普系列3》 -如何保障 DNS 操做安全

引言

前两讲咱们介绍了 DNS 相关的攻击类型，以及针对 DDoS 攻击的防范措施。这些都是更底层的知识，有同窗就来问可否讲讲和咱们的平常操做相关的知识点，今天咱们就来讲说和咱们平常 DNS 操做相关的安全风险和防范措施。

帐号安全

在平台上管理域名解析，就须要登录，进行权限的认证。但域名在企业中可能会有多人须要操做，好比购买和续费、解析的操做管理，更有可能会将某些业务外包而要合做伙伴来操做域名。而咱们知道，多个共用一个帐号和密码是一种有很大安全风险的管理方式。在如今的复杂场景下，就须要有一个灵活的权限管理系统。

阿里云支持主帐号外，能够经过访问控制（Resource Access Management，RAM）来统一管理用户身份与资源访问权限，以及 阿里云临时安全令牌（Security Token Service，STS）来时行临时受权。

使用RAM，您能够建立、管理RAM用户（例如员工、系统或应用程序），并能够控制这些RAM用户对资源的操做权限。当您的企业存在多用户协同操做资源时，使用RAM可让您避免与其余用户共享云帐号密钥，按需为用户分配最小权限，从而下降企业信息安全风险。RAM是一种永久受权（固然也能够删除相应的权限），而若是要必定时间内给某个用户受权，如受权合做伙伴公司管理域名，就可使用 STS 的方式来受权。经过STS服务，您所受权的身份主体（RAM用户、RAM用户组或RAM角色）能够获取一个自定义时效和访问权限的临时访问令牌。STS令牌持有者能够访问阿里云资源。

同时，对上述的帐号，还能够开启多因素认证（Multi-factor authentication，MFA），为您的帐号提供更高的安全保护。更多有关帐号的访问控制的说明，可查看 访问控制帮助文档。

业务安全

对于域名的业务安全，首先要找使用有技术实力、有责任心、沟通便捷的服务商来提供域名解析的服务。历史上发生过多起被黑客经过技术破解、社会学攻击等篡改域名的DNS或其它信息，致使域名被劫持的问题。同时，若是国内用户的域名使用的国外的服务商的解析服务，出现问题时沟通不顺畅再加上时差的问题，会使问题更加难以处理。从用户自身来说，仍是要选择一下靠谱的域名解析服务商。

在本身的域名管理上，也要提早作好操做的规划、步骤和风险评估。尤为是迁移域名服务商、修改主域名的 NS时（如将解析从其它注册商转移到阿里云），须要先在要迁移的解析服务提供商把解析添加彻底、正确，并进行相应的测试，再去注册商处修改域名的NS，且修改后要在原解析服务提供商处的解析服务保留至少48小时。因主域名 NS 记录的缓存时间较长，在彻底生效前，会有部分请求到旧的提供商处进行查询，若是在旧的解析提供商处的解析不完整，或不正确，就会使域名的访问受到影响，网站打不开、邮箱收不到信等。

在普通解析记录作变动时，本身的新旧地址也要作好平滑的迁移。在变动解析前将解析的 TTL (解析记录的缓存时间) 适当减小，在变动解析记录时，等旧的地址上没有应用流量时再关闭应用。

数据安全

数据安全通常是指数据的保密性、完整性和可用性。保密性须要由平台和用户共担，用户不对外泄露数据，平台作好权限控制和审核，只开放给必要的系统使用，并作到可审核可追踪。对提供给域名解析服务商的数据，由平台来进行数据的完整性和保密性。阿里云依托强大的基础设施，以保证数据在多台存有备案，并进行相关的加密和审记管理，保证数据的安全。

以上简单介绍了域名在业务管理时的常见风险和防范措施，域名安全须要用户在管理上多加注意，同时也是域名解析服务提供商不可推荐的责任。除了业务安全外，域名在使用中还会遇到其它的问题，好比被缓存投毒、被劫持等。下一期咱们重点介绍一下DNS缓存投毒的原理和怎么处理。

本文做者：kimi_nyn

原文连接

本文为云栖社区原创内容，未经容许不得转载。