首页 > 解决方案 > DNS安全防护方案

DNS安全防护方案

DNS:安全链上不可忽视的潜在弱点

4G、云端运算、物联网等占据科技新闻版面的热门词汇,反映出当代企业与政府组织运作,已经脱离不了网路,世界经济论坛(WEF)并将这个无所不联网的世界,称之为超连线世界(Hyperconnected World),并名列为全球经济发展的重要项目之一。然而在超连线世界里,骇客也得以利用网路,更轻易地发动大规模或是具备针对性的攻击,过去几年来从知名信息安全业者、政府机构、跨国银行与大型零售业都纷纷传出机密资料外泄的新闻,不难看出,超连线世界的发展面临很大的安全防护挑战。

「DNS安全常遭忽略」:DNS如同网路上的门牌地址系统,一旦客户找不到正确的地址,或这套地址遭骇客滥用,都将对企业造成严重损害,但显然多数台湾企业并未意识到DNS安全的重要性。由于DNS解析是让网路正确连线的基础服务,因此企业防火墙对DNS使用的53埠会预设开启,这也让DNS先天上,比其他管道更容易遭受攻击。
「DNS攻击数量成长逾2倍」:近年来有77%的受访企业组织曾遭受DNS攻击,仅次于HTTP的82%,且衍生而出的各式DNS攻击型态都已经造成极大的伤害。DNS安全对企业而言,第一步便是保护自己的网站能正常提供客户服务,不会因连线中断导致业务受阻;其次则是避免DNS弱点成为骇客进行APT攻击时最容易突破的防线,导致更大的损失。

新一代的DNS安全防护方案

Infoblox在全球知名资通讯产业研究机构IDC(国际数据信息)的DNS相关管理市场研究中,以50%的全球市占率居冠,并具备全方位DNS管理与安全技术与解决方案,透过DNS防火墙、进阶DNS防护技术,搭配整合的装置与中央管理软体,提供简易的DNS管理与安全防护,协助企业补强安全部署中的最弱环节,抵御DNS攻击之馀,更可搭配整体信息安全部署,对抗日新月异的网路攻击,保护企业智慧资产与敏感资料。

  • 比一般伺服器具备更安全的硬体平台与作业系统

Infoblox是一部已设计内建高安全性的设备,搭载安全强化的系统核心为主要执行功能服务的作业系统,并且不具备Root存取权限以及作业系统层的使用者帐号权限;设备仅提供系统的操作管理者帐号,并且封锁不必要的实体上及逻辑上的连接埠。

  • 通过国际安全认证Common Criteria EAL-2

Infoblox Trinzic DDI (DNS, DHCP, IP Address Management)是市场上唯一经过NIAP组织所认证通过Common Criteria EAL-2的DDI方案 (http://www.niap-ccevs.org/st/vid10465/)。这足以代表Infoblox的硬体、软体、原始码管理及周边安全都已经过具公信力的第三方单位所验证与认可的安全性。

  • 多层次的DDoS防护

Infoblox 提供多层级防护来对抗大规模僵尸网路所引发的分散式阻断服务攻击(DDoS)。Infoblox具备全世界最高的DNS处理能力的方案,对于DNS防护提供智能聪明的DDoS侦测技术、流量速率的限制、并且支援Anycast路由能力以攻击负荷量。

  • 单键快速建立DNSSEC

DNSSEC是为了修正DNS通讯最大的弱点(Kaminski Vulnerability)所做的设计。然而,DNSSEC布建作业非常的复杂,涉及密码学、PKI公开金钥基础架构及DNS签署(zone signing),而且在最佳的布建环境下必须有频繁的更新流程来更换加密金钥与签署。Infoblox协助将DNSSEC建置这项困难的工作变得更容易,简约到只要一个滑鼠按键点选就可以完成,并且能顾及汇出的金钥与DNS签署资料。

  • Infoblox DNS Firewall

藉由Infoblox在DNS的优势位置,可以在既有的Infoblox DNS基础上建构独特的DNS Firewall技术来抵御恶意程式。DNS Firewall针对已知的恶意网域提供一个汇整且即时资料更新的服务,能够对阻挡企图访问存取这些恶意网域的恶意程式或使用者,并且取得已遭受感染装置的情报,有效帮助管理者找出及修正单位里潜藏的恶意程式攻击来源。

  • 防护中间人攻击(Man-in-the-Middle Attacks)

经由Infoblox Grid的安全技术采用VPN、加密通讯、HTTPS, 独立的管理埠等方式,可以防御中间攻击手法。

  • 双重认证机制 (Two-Factor Authentication)

Infoblox设备具备CAC/PKI认证机制整合,支援Microsoft Active Directory、TACACS、RADIUS等帐号系统,确保管理者可以更安全的连线存取Infoblox装置。举例来说,当CAC smart card被移开的时候,Infoblox管理介面将会自动封锁并禁止任何人变动系统设定。

  • 极佳的高可用性设计

Infoblox专利技术的网格(Grid Technology)提供架构规划上可用性极佳的设计,确保Infoblox系统不会受到升级、更新、资料库修正等任务程序而影响服务运作,管理者甚至可以在上班时间或安排期程进行系统的修正作业。

  • 自动化的稽核作业

Infoblox针对所有的操作变动都会加以记录,并能提供效能状态的报告,协助管理者能够清楚掌握系统安全。

  • 更丰富的情报信息

Infoblox Reporting报表专门系统能够收集并产生更丰富的趋势分析报告,有助于管理者掌握DNS服务使用状态,包括使用率排行、效能、攻击、负荷等。

 

解决方案: Infoblox / Advanced DNS Protection