Segurança do DNS

Os clusters do servidor transportam os dados da zona da raiz DNS ao nível mais alto da hierarquia do DNS. Aplicativos da Web, como comércio eletrônico, Software como Serviço (Saas), redes sociais ou mesmo e-mails dependem do DNS. Infelizmente, os servidores de nomes DNS contêm vulnerabilidades que são um alvo fácil para os hackers, que podem assumir o controle do tráfego da Internet contendo dados confidenciais.

A solução recomendada pela comunidade de desenvolvedores de DNS são as extensões de segurança do sistema de nomes de domínio (DNSSEC), que utilizam assinaturas digitais e criptografia de chave pública para permitir que os servidores da Web verifiquem os nomes de domínio e endereços IP correspondentes. As zonas de raiz do DNS devem ser assinadas digitalmente com urgência, pois a demora é prejudicial para a integridade e continuidade da Internet, comércio eletrônico e aplicativos da Web. A assinatura das zonas permite configurar os servidores de cache de nome para que detectem problemas de segurança.

Os módulos de segurança de hardware (HSMs) da SafeNet atendem aos requisitos de segurança robusta e disponibilidade necessários para garantir a integridade do espaço de nomes de domínio. Os HSMs são sistemas dedicados que protegem, de maneira física e lógica, as chaves criptográficas e o processamento de criptografia, que são o núcleo das assinaturas digitais. Os HSMs protegem o servidor DNS de maneira que a geração de chaves, o armazenamento de chaves privadas e a assinatura de zonas sejam realizados em um servidor DNS fisicamente seguro, cujo acesso seja restrito apenas a pessoal autorizado.

Arquitetura DNSSEC

Gerenciamento de chaves da SafeNet para segurança de DNS

  • Suporte para sistemas Anchor Trust DNSSEC
  • Segurança de chave para raiz e toda a hierarquia DNS -ZSK e KSK
  • O mecanismo criptográfico poderoso consome menos recursos do servidor DNS
  • Diversos conjuntos de HSMs são compatíveis com os requisitos de DNSSEC
  • APIs padrão, incluindo PKCS#11, Java, MS CAPI
  • Modelos com certificação FIPS e Common Criteria disponíveis
  • Podem ser integrados às principais plataformas DNS como OpenDNSSEC, BIND 9.7, FreeBSD
DNSSEC
DNS Hierarchy