虽然可以在软件中实施 DNSSEC,但攻击者可以获得签名密钥的访问权限,并危及 DNS 查询过程

域名系统 (DNS) 实际上是互联网的通讯簿;它使网站名称能够与其对应的注册 IP 地址进行匹配。 但是,非法更改 Web 查询可能会将最终用户或服务指向恶意 IP 地址,并将其路由到非法服务器以进行数据窃取。 域名系统安全扩展 (DNSSEC) 是为了应对此威胁而创建的。 DNSSEC 是一种涉及使用数字签名的机制,使服务器能够验证并核实 DNS 对查询的响应的完整性。

DNSSEC 图解

    挑战

    与 DNSSEC 相关的风险

    • 获得 DNS 流程访问权限的攻击者可以引诱客户访问冒充成您的网站的网站,从而欺骗他们提供私人信息。
    • 虽然可以在软件中实施 DNSSEC,但攻击者可以获得签名密钥的访问权限,并危及 DNS 查询过程。

    解决方案

    DNSSEC: Entrust nShield HSM 解决方案

    Entrust 的产品和服务可以帮助您部署高度安全的 DNSSEC 流程,该流程可保护您的业务和客户的信息,同时提供您的业务所需的性能。nShield 硬件安全模块 (HSM) 使顶级域 (TLD)、注册商、注册机构和企业能够保护极其重要的签名流程,这些签名流程用于验证整个互联网上 DNSSEC 响应的完整性,并保护 DNS 免受通常所说的“缓存中毒”和“中间人”攻击。 Entrust 解决方案提供可靠的且可审计的安全优势,可以正确生成并存储签名密钥,从而确保 DNSSEC 验证过程的完整性。

    优势

    Entrust nShield HSM 提供的优势

    • 使用独立认证的 HSM(FIPS 140-2 3 级和通用标准 EAL4+)确保 DNSSEC 验证流程的完整性。
    • 维护强大的防篡改硬件边界和可靠、可审计的机制,即使在存档时也能保护重要的签名密钥。
    • 通过强大的访问控制实施职责分离,以减轻单个“超级用户”的威胁并促进监管合规性。
    • 通过无限制的密钥存储、安全备份和恢复以及强大的加密加速,实现高可用性和改进的 DNS 服务器性能。

    资源中心

    解决方案简介: 确保 DNSSEC 部署的签名密钥的安全

    Entrust nShield HSM 使顶级域、注册商、注册机构和企业能够保护极其重要的签名密钥,这些签名密钥用于验证整个互联网上 DNSSEC 响应的完整性,并保护 DNS 免受缓存中毒和中间人攻击。 下载解决方案简介,了解更多详细信息。

    即刻联系我们