Безопасность DNS

Вершину иерархии доменных имен (Domain Name System, DNS) представляют серверные кластеры, которые содержат данные корневых зон DNS. Работа веб-приложений, например, в области электронной коммерции, ПО как услуги, социальных сетей и даже электронной почты, зависит от DNS. Однако DNS содержит незащищенные кэширующие серверы имен, уязвимые перед хакерами, которые похищают веб-трафик с конфиденциальными данными.

В связи с этим сообщество разработчиков DNS рекомендует применять расширения безопасности DNS (Domain Name System Security Extensions, DNSSEC), использующие электронные цифровые подписи и шифрование открытыми ключами, что позволяет веб-серверам проверять доменные имена и соответствующие IP-адреса. В настоящее время чрезвычайно важно реализовать возможность подписывать корневые зоны DNS электронными подписями. В противном случае Интернет, электронная коммерция и веб-приложения будут подвержены угрозе. Подписание зон позволит сконфигурировать кэширующие серверы имен, что обеспечит их защиту.

Аппаратные модули безопасности (HSM) SafeNet отвечают высоким требованиям к стабильной защите и доступности, что необходимо для обеспечения целостности пространства доменных имен. HSM — это специализированные системы, которые обеспечивают физическую и логическую защиту криптографических ключей и процедур криптографической обработки, составляющих основу цифровых подписей. Благодаря аппаратным модулям безопасности создание ключей, хранение закрытых ключей и подписание зон выполняется на физически защищенных DNS-серверах, доступ к которым разрешен только определенным сотрудникам.

Решения SafeNet для управления ключами, обеспечивающие защиту DNS

• Поддержка DNSSEC Anchor Trust systems.
• Защита ключей подписывания зоны (ZSK) и ключей подписывания ключей (KSK) в корневых зонах и всей иерархии DNS.
• Снижение нагрузки на DNS-сервер за счет применения высокоэффективного криптографического модуля.
• Широкий спектр HSM-решений для соответствия требованиям DNSSEC.
• Применение стандартных API, включая PKCS#11, Java и MS CAPI.
• Наличие моделей, соответствующих стандартам FIPS и Common Criteria.
• Возможность интеграции с ведущими DNS-платформами, например OpenDNSSEC, BIND 9.7 и FreeBSD.

• HSM общего назначения (встраиваемые)
• HSM общего назначения (сетевые)