互联网域名系统的保安措施将于今日加强,并在域名系统内加入数码签名及公开密码匙加密技术根区.但DNS安全扩展(DNSSEC)的部署是否会促使更多企业将DNS业务外包?
这就是服务提供商所面临的机遇VeriSign和Afilias正在关注新的托管DNS和相关安全服务,他们计划在未来几周宣布。
DNSSEC是一种新兴的互联网标准,它允许网站使用数字签名和公开密钥加密来验证其域名和相应的IP地址,从而防止欺骗攻击。
一旦完全部署,DNSSEC将防止缓存中毒攻击,即流量在网站操作员或用户不知情的情况下从合法网站重定向到虚假网站。缓存投毒攻击是由安全研究员Dan Kaminsky在2008年披露的DNS的一个严重缺陷造成的。
DNSSEC正在互联网基础设施中部署,从位于DNS层次结构顶端的根服务器,到运行。com、。net和其他顶级域名的服务器,再到为各个网站缓存内容的服务器。
DNS根服务器将开始支持7月15日.这将为已经支持该标准的顶级域名启用安全DNS查找,包括非营利组织的。org,瑞典的。se,英国的。uk,巴西的。br和捷克共和国的。cz。在接下来的6个月里,还计划增加一些顶级域名,包括大学的。edu,企业的。net和。com,以增加DNSSEC的支持。
专家们说,有了额外的一层加密,DNSSEC让DNS变得非常复杂。这就是为什么服务提供商相信更多的企业将开始外包他们的DNS。
“DNSSEC重视复杂性,并真的把它放大了。它改变了游戏规则。现在的难度不是10%;管理DNS的难度是原来的两倍,机器大小和带宽的难度也是原来的两倍,”VeriSign网络智能和可用性高级副总裁Ben Petro说。“我们可以为你做所有这些工作,让DNSSEC变得简单。”
“DNSSEC是如此复杂。域名注册商Name.com的首席技术官肖恩·利奇(Sean Leach)说,该公司有几十个客户正在测试DNSSEC。“我真的认为,你将开始看到外包DNS成为常态。”
VeriSign和Afilias将提供基于云计算的DNS
VeriSign官员说,他们正在开发一种基于云计算的DNS服务,将直接出售给企业客户。VeriSign拥有互联网13个根域名服务器集群中的两个,并注册了。com和。net域名,运营着一个庞大的全球DNS基础设施,该公司希望能吸引企业客户。
VeriSign正在扩展DNS管理服务该公司通过渠道合作伙伴已经提供了好几年。VeriSign正在将其基于云的DNS服务与分布式拒绝服务(DoS)和网络情报保护服务捆绑在一起。
Petro说:“托管DNS市场非常、非常成熟,因为DNS是一项很难管理的服务,涉及开源软件,而且这个领域需要大量的专业知识。”运行DNS涉及到组网和负载均衡。我们能够从服务中节省大量成本。”
同时,DNS设备供应商长鳍叉尾网络与谁合作Afilias提供基于云的DNS服务,可以通过其Proteus设备的接口进行管理。Afilias为。info和。org域名提供后端注册服务,并将在其全球网络上支持托管DNS服务。
BlueCat官员表示,他们正在将他们的设备与Afilias API集成,为企业提供一个管理内部和外部DNS服务的单一接口。BlueCat将新服务称为Proteus云服务,该服务将由Afilias提供支持。它将于8月推出。
“我们正在努力解决的问题是改善客户的DNS,”Afilias公司的企业服务副总裁约翰·凯恩(John Kane)说。“我们有一个非常全球化的、多样化的Anycast网络,我们通过我们的(服务水平协议)向客户提供100%的正常运行时间。我们提供各种保护措施……避免单点故障。”
凯恩表示,Afilias网络为企业提供了运行多种类型DNS软件和多种品牌路由器的优势。
凯恩补充道:“我们有一个灵活的DNS网络,BlueCat可以利用我们的API,将这一功能直接构建到他们的控制面板中,然后客户就可以对他们的管理平台有一个无缝、集成的外观和感觉。”“我们将做DNS的全部工作。对他们来说,这将是一项全面管理的服务。”
Dyn增加了IPv6支持
直流发电机最近与NTT America合作,增加了对IPv6的支持,IPv6是对互联网主要通信协议的升级。
自2009年以来,Dyn一直为DNSSEC提供全面支持,允许其Dynect平台的客户在他们的区域进行签名,并自动切换密钥和管理。Dyn的官员说,DNSSEC和IPv6都增加了DNS的复杂性,使外包更具吸引力。
Dyn的首席技术官Tom Daly说:“在网络负载方面,DNSSEC将加密技术添加到DNS中,加密技术使用更多的带宽,因为它在网络上发送更多的比特。”“IPv6使得DNS交易规模更大。它将IP有效载荷头从32位增加到128位。”
通过DNSSEC和现在的IPv6等服务,Dyn已经发展到支持500家客户,包括Twitter、Netflix和Zappos。
Daly说:“随着网站的关键性提高,我们看到人们开始转向托管DNS。”“他们把网络托管业务外包出去了。他们带来了一个(内容交付网络)合作伙伴。现在他们需要有人帮他们运行DNS。”
UltraDNS引领DNS外包市场
所有这些基于云计算的DNS新贵都瞄准了一个供应商:UltraDNS,是NeuStar的一个部门,是外包DNS市场的领导者。UltraDNS每年管理的DNS业务收入超过1亿美元,较去年增长约16%。UltraDNS的客户包括Petco和J.Jill等零售商以及Forbes.com等出版商。
UltraDNS官员表示,他们预计将有更多公司将DNS外包出去,这不仅是因为与DNSSEC相关的额外工作量,还因为更广泛的安全担忧。
UltraDNS创始人兼董事长罗德尼•约菲(Rodney Joffe)表示:“我们这些天的大部分努力都是针对安全问题。”“这不仅仅是拥有DNS基础设施的问题,还包括从整体安全角度帮助我们保护客户的能力。DNS是脆弱的;这一点毫无疑问。”
Joffe指出,今年4月发生的一次劫持路由攻击,涉及中国黑客,是企业网络管理人员面临的威胁之一。
“一家中国ISP劫持了大约10%的互联网路由器。他们所能做的是有效地将原本打算运往其他地方的交通路线经过中国。”“有两件事可以解决这个问题。一个是DNSSEC,第二个是安全的BGP或等价的BGP路由签名。但在DNSSEC在全球部署之前,我们仍然容易受到攻击。”
这就是UltraDNS专注于替代安全服务的原因,比如缓存的后卫以及DNSSEC。
Joffe说:“我们正在使用传感器来识别攻击来自哪里、如何发生,以及坏人使用了什么样的漏洞。”“一般关注DNS基础设施的企业甚至不会考虑他们的路由在互联网上是如何处理的,但这是他们的DNS最有可能被攻破的方式。”
他补充道:“我认为外包DNS将会激增,但这是因为DNS安全,而不仅仅是DNSSEC。”