近年来,随着众多知名的大型IT企业或域名注册商遭遇域名攻击或劫持事件,使得域名安全问题凸显出来并开始受到业界的关注。据了解,微软、宏碁、沃达丰、UPS、腾讯、百度、华夏名网这些知名企业均遭遇过域名攻击或劫持,这一方面导致用户无法访问网站,另一方面为企业的在线交易造成巨大的损失。面对域名攻击技术不断发展,域名安全事件频繁发生的严峻现状,在线运营企业该如何选择最佳的域名安全解决方案?如何保障企业网站安全稳定的运行?
(一)企业互联网域名管理急需解决的问题
在互联网高度普及且深入发展的今天,互联网不仅成为企业自我展示的平台和电子商务的窗口,而且成为企业命运发展的关键所在。而位于互联网基础资源层的域名系统(DNS)则对企业网站的正常运行起到至关重要的作用,一旦域名解析出现问题,企业网站就自行消失了,这比任何黑客攻击都来得直接和彻底!
据CINNIC最新发布的互联网报告显示,当前我国网站数量达到183万个,域名总数为786万个。细心的网民会发现,某些网站往往会出现暂时性消失,也就是当访问指定网站时,要么无法访问,要么会被自动跳转到无关的页面。普通网民对此可能不会太在意,也不会深究其背后的原因,而一些具备网络技术背景的网民很容易猜到这可能是域名出现故障所致。
上述的事件在近期就发生一例。9月5日上午,包括微软、宏碁、沃达丰和UPS在内的众多知名网站都遭遇了域名劫持。当用户访问上述网站时,要么无法访问,要么会被跳转到黑客自己设立的页面。尽管很多网站迅速恢复了服务,但有的域名系统却需要长达72小时才能启用新的设置,导致部分网站仍然无法访问。
企业的域名解析出现问题,中断了服务,就相当于企业在互联网世界中消失了,轻则给用户体验带来负面的影响,重则给企业带来巨大的经济损失,尤其对于电子商务、搜索引擎、在线游戏、门户类网站,以及网上银行、证券交易等在线运营企业来说,一旦网站消失,企业的“生命线”也就随之中断。
位于互联网基础资源层的域名系统被喻为互联网的中枢神经,是企业网站稳定运行的基础保障,因此域名管理对于企业来说至关重要。为了探究当前企业域名管理中所遇到的问题,致力于域名服务发展行业的中网公司(knet.cn)对数十位企业技术高管进行了域名安全的问卷调查,此次调查结果显示,CTO/CIO们认为DNS管理急需解决或改善的问题主要集中在以下几大方面:一是如何简化运维的复杂度;二是如何减少运行成本;三是如何提高运营水平;四是如何面对未来互联网。
首先,如何简化域名运维复杂度?我国企业互联网域名管理大多都是委托给域名注册商来管,但由于域名注册商等主流域名解析托管服务在功能、性能、安全性、稳定性、可维护性等方面无法满足需求,众多互联网企业纷纷转向自建域名解析平台,但用户自建的域名系统规模小、运维不专业,存在很大的安全隐患,这就加大了域名运维的复杂度,当企业域名遭受攻击时,企业需要花很大的精力来修复和解决,因此也分散了企业对核心业务的专注度,无法聚焦于核心业务。
二是如何减少域名运行成本?上文已经提到,在注册商域名服务水平有限的情况下,大多数企业选择DNS自建的方式,但这需要企业在全国范围内大规模部署节点,既造成了资源利用效率的低下,而且对于大型企业来说也是沉重的投资负担,更不用说IT设施投入有限的中小企业了。而且自建DNS之后的运维投入对企业来说也是不小的负担,因为企业平均每周需要花近8个小时来管理DNS系统,还要不断提升硬件的能力。
三是如何提高域名运营水平?企业域名委托给注册商管理,其运营水平自然维持在较低的水平,并且承担着域名解析随时中断的风险。那么企业自建DNS就能够提升域名运营水平了吗?据调查问卷的统计结果显示,一些DNS自建的企业依然面临大规模DDOS攻击防范、系统监测、统计分析、节点少、性能、安全等问题,这意味着企业域名系统无论是托管还是自建,都无法实现较高的运营水平。
四是如何面对未来互联网的发展?互联网技术日新月异,DNSSEC、IPv6、IDN等新技术的应用已是大势所趋,这对于企业域名系统来说意味着新的挑战。假设企业原有域名系统无法支持下一代互联网技术,将意味着企业网站在新的网络平台上无法使用。因此如何让当前的域名系统适应下一代互联网平台,是企业需要站在长远角度思考的问题。
以上四大问题是企业CTO/CIO们在域名管理中所遇到的难题,从中可以看到,企业不仅希望域名系统能够保障企业网站的稳定安全运行,还希望域名系统能够帮助企业减少投资成本,增强企业灵活性,以及适应新一代网络平台的需求。
(二)企业域名选择自建还是托管?
作为互联网基础的域名解析,在20多年的发展历程中经历了“自建-托管-自建”的轮回方式,其间也出现了“半自建半托管”。但无论哪种方式,企业都不能盲目选择,也不应面对当前域名系统一成不变,而应该寻求适合自身企业信息系统特点的域名搭建方式。
对于企业来说DNS自建和托管不能一概而论,这需要企业根据自身信息系统建设的特点来选择,下文就是针对不同类型的企业所提出的不同的域名解决方案。
一是如果企业规模比较大,已经建立了完善的信息系统,拥有自己有域名服务器,具备域名解析的能力,这类企业无需放弃原有的域名服务设备,只需在专业的第三方域名服务商那里增加一项远程备份服务。专业域名服务商的服务节点相比企业来说较多,企业原来可能只有一、两个节点,在服务商那里备份之后,企业就相当于在原来的节点基础上增加了几个节点,当企业的域名解析在某一节点出现问题的时候,其域名解析不但不会受到影响,而且应对访问请求的解析能力会提高,服务能力得到增强。备份除了让企业域名的安全性得到提高以外,还能够实现让用户就近访问,提高访问的速度。
二是对域名安全有较高要求的企业来说,可以把域名解析完全托管到第三方域名服务商那里,如果企业并没有在域名解析这方面的投资,比较经济的方式也是托管。域名很重要,但是企业自己建一个好的域名解析平台所消耗的人力和财力比较大,采用托管方式不仅投资小,维护起来也更加方便,省去了多点运维、定期维护的麻烦。目前国内提供域名解析服务的厂商有中网(knet.cn)、万网、新网、DNSPod、有孚网络、中国电信等,其中中网(knet.cn)是专业的商用域名解决方案提供商,主要面向大中型高端企业客户;万网、新网属于域名注册商,以卖域名为主,提供的是免费的域名解析服务;DNSPod提供免费的智能DNS解析服务,主要面向低端客户;有孚网络和中国电信属于增值电信运营商,主要提供服务器租赁服务。
三是对于网站域名安全没有特别要求的中小型企业,这些企业可能大部分没有设置域名解析服务器,有些企业的网站空间还租用的是虚拟主机,那么域名解析可以仍然采用域名注册商提供的免费域名解析服务。不过,随着企业不断发展壮大,当域名安全、网站访问速度等对于企业的业务拓展、品牌塑造越来越重要时,企业就应该考虑把域名解析服务托管在专业的第三方域名服务商那里。
总之,企业无论是采用自建、托管,还是备份,都需要根据企业规模、信息建设等方面的现状进行部署,但总的来说,域名托管是比较明智的选择。据了解,在美国市场上,企业越来越接受把DNS外包,请专业的运维服务商来帮助运维管理,这主要是因为自建的DNS服务器的可靠率不高,发生宕机的机率是第三方提供DNS服务器的2倍。
(三)企业域名采用开源软件和商用软件的性能对比
企业域名选择自建或是托管,这是域名建设策略层面的问题,而从技术层面来说,企业域名系统该如何选择DNS基础软件呢?
通常企业域名采用的软件包括三种,一是开源软件,如BIND;二是基于开源软件二次开发的系统;三是商用软件。根据域名安全调查报告的统计结果显示,企业自建DNS所采用的软件大部分是开源软件系统BIND,其次是二次开发系统,采用商用软件的占有很少的比例。
中国国家信息安全漏洞库(CNNVD)统计的近几年BIND的重大安全漏洞,平均15个/年。
实际上,域名系统所用的基础软件极其重要,如果因配置不当或升级延迟,软件存在的漏洞很容易被黑客利用,这也是域名系统面临的重要安全问题。
近几年来,开源并且免费的软件BIND被广泛使用,在国内的应用率达到了80%以上。众所周知,开源软件的很多漏洞在业内是公开的,很容易遭受攻击,据了解,目前BIND存在的历史漏洞已有40个之多,近年影响较大的漏洞包括ISC BIND 9远程动态更新消息拒绝服务漏洞、DNS缓存中毒和拒绝服务漏洞等。因此采用开源软件的域名系统很容易面临崩溃的危险。除此之外,采用开源软件的域名系统不支持图形化界面,全部基于命令行实现,维护起来非常复杂,给运维人员带来了很大的烦恼。
而基于开源软件二次开发的系统,虽然相较于开源软件安全性更强一些,但由于底层技术的安全隐患,在域名系统遭到强大攻击时也难逃崩溃的危险。
因此,企业重要的域名解析应该采用商软件。首先,商用软件是经过安全加固的,具有很强的攻击防护能力,从本质上改变了开源BIND存在的安全风险,这也意味着域名系统的基础层面是安全牢固,攻不可破的。其次,采用商用软件的域名系统能够实现图形化界面,让运维人员一目了然,操作起来非常方便。第三,虽然商用软件是收费的,但企业买单之后往往还能享受到软件商所提供的后续服务,需要注意的是,企业在采用商用软件之后,一定要定期关注软件商发布的最新安全漏洞,定期升级软件系统。
|
开源软件 |
商用软件 |
功能 |
功能单一,扩展性查 |
高级业务特性丰富 |
性能 |
1-2万QPS |
5-10万QPS |
图形化界面 |
不支持 |
支持 |
安全性 |
差 漏洞多 |
强 DDOS攻击防护、DNSSEC支持 |
技术前瞻性 |
一般 |
强(IPV6、IDN) |
服务 |
无 |
专业服务团队 |
(四)企业采用第三方域名需要考虑哪些因素
前文已经提到,随着企业发展规模的壮大,企业域名的增多,选择第三方域名服务商进行域名管理将是明智的选择。那么企业选择第三方域名管理需要考虑哪些因素呢?
首先需要考量第三方DNS服务的企业在域名方面的资质、技术能力、企业综合实力等等。据了解,国际上拥有域名技术实力的域名服务商大概有三四家,包括Verisign、Neustar、Afilias等,国内具有实力的域名服务商有CNNIC(中国互联网信息中心)、中网(knet.cn),这两家排在第一梯队,第二梯队则以DNSPod为首。
CNNIC是互联网地址资源注册管理机构,国家政府背景。今年6月30日,CNNIC宣布推出国家域名云解析服务,为.cn和.中国域名的用户提供技术服务,这一服务将永久免费。国家域名云解析服务具有高性能的服务节点、完备的协议兼容性、快速的数据更新技术和先进的安全检测方案,可实现域名批量管理、DNS流量监测分析以及向下一代互联网无缝升级。但比较遗憾的是,如果网站域名是.com或者.net,那就用不上CNNIC域名云解析服务。
中网(knet.cn)脱胎于CNNIC,是国内唯一域名整体解决方案提供者,拥有专用设备、商用软件和域名云服务。中网依托中科院研发能力,继承国家域名系统14年建设与运维经验,参与制定了9项域名国家行业标准,承担国家发改委信息安全专项,其自主研发的ZDNS系列专用域名设备已经通过全球IPv6金牌验证和中国DNSSEC验证。今年7月,中网还推出了面向中高端企业用户的域名云服务,该服务具备智能解析、多维度监控、DDOS云防御、支持下一代互联网等特点,在海内外和国内各大运营商布置了十多个节点。
DNSPod主要为个人站长提供电信、网通、教育网双线或者三线的免费DNS解析,并提供IPv6的支持和动态域名解析的功能,另外还支持DNS轮询、URL转发、API接口、批量修改管理等先进功能,并且所有功能都是免费提供。动态域名解析和URL转发大大方便个人站长,因而备受青睐,但却是在打政策擦边球,因为政策是不允许域名随意跳转的。
以上三家域名服务商面向不同层面的企业,免费服务和商用服务所体现的价值自然存在很大差异,企业可根据需求进行选择。
其次,需要考量第三方DNS服务的运行能力和客户服务能力。域名托管不仅考验域名服务商的技术硬能力,更要考验域名服务商的软能力,这就需要企业具体考量域名服务商的以下几个方面:首先,是否具备为国家重大项目提供重点域名保障的经验;其次,是否具备7*24*365的全方位服务监控能力;第三,是否具备专业的团队负责安全事务及应急事件的处理;第四,是否推行国际标准的服务品质协议(SLA)。
第三,需要考量DNS智能解析、多维度监控、DDOS防御等主体功能。在智能解析方面,要看服务商的平台是否具备BGP & IP Anycast技术和精准的地址数据库,BGP & IP Anycast能够做到最大程度上的就近访问,而精准的地址数据库则能助力企业实现业务分流、过载流量调度,以实现带宽的保证;在多维度监控方面,要看服务商是否具备实施7*24*365的服务监控的能力,是否对平台服务可用性、节点服务可用性到域名服务可用性等不同维度进行监控;在DDOS防御方面,也是要考量服务商是否具备BGP & IP Anycast技术,通过该技术,可将DDOS攻击流量有效分散到全球的各个节点,充分利用个节点的流量清洗资源,做到化整为零,各个击破。
四是,需要考量第三方DNS是否具备统计分析、支持下一代互联网等附加功能。企业要想对域名服务状态了然于胸,就需要域名服务商提供详细的统计分析,包括网站性能监测报告、网站运行故障及报警报告、网站可用性、访问速度的体验报告等。而第三方平台能否支持下一代互联网也是非常重要的指标,如果其提供的平台仅能够满足当前的运营环境,而无法支持IPv6,IDN,DNSSEC等新技术,将会制约未来发展。
以上是企业选择第三方域名服务商需要重点考虑的因素。在企业已成规模或高速发展的阶段,企业CTO/CIO们需要以建设性和前瞻性的思维,根据企业信息系统现状,从安全、稳定、兼容、服务等各个角度选择最佳的域名安全解决方案,只有互联网底层架构牢固了,才能保障企业网站的安全稳定运行,也才能保障企业在互联网时代健康长远的发展!