Zoom sur les solutions de sécurité chez Gandi

13 Mar, 2019  - écrit par  dans Noms de domaine

Haro sur la sécurité depuis peu ! L’alerte de l’ICANN, le 15 Février 2019, sur les potentielles activités malveillantes ayant pour cible le système des noms de domaine (DNS) y est certainement pour beaucoup.

Chez Gandi, la sécurité a toujours été un sujet important. Nous nous efforçons, depuis notre création, de toujours adopter les meilleures pratiques en matière de sécurité, afin de vous fournir tous les outils pour vous permettre de sécuriser le niveau d’accès à vos domaines.

Cela s’est notamment traduit par la mise en place de fortes précautions de sécurité, interne et externe, ainsi que par le déploiement de produits et fonctionnalités permettant de mettre en place une bonne stratégie de sécurisation.

 

Protéger l’accès à vos comptes grâce à la mise en place d’un deuxième facteur d’authentification

L’authentification à deux facteurs offre une protection supplémentaire pour vos accès V5. Elle permet ainsi de garantir que vous êtes la seule personne pouvant accéder à votre compte, même si votre mot de passe est connu par quelqu’un d’autre.

Vous pouvez utiliser deux types de double authentification :

  • Le TOTP (Time-based One Time Password)

En installant un générateur de token sur votre mobile ou ordinateur (l’application FreeOTP par exemple), vous pouvez générer un mot de passe unique qui changera à chaque utilisation. Ce code à usage unique vous permet de valider votre identification et donc de vous connecter en toute sécurité sur votre compte.

Pour savoir comment utiliser le mode d’authentification TOTP, vous pouvez accéder à plus d’information sur notre documentation dédiée.

  • Les clés U2F (Universal Second Facteur)

Les clés U2F de sécurité ont été créées afin d’apporter une sécurité accrue dans la connexion sur vos comptes utilisateurs. Ces clés vous permettent d’assurer la protection totale de vos comptes informatiques qu’il s’agisse de réseaux sociaux, de stockage de fichiers en ligne ou tout simplement votre connexion sur la plateforme V5.

Quel que soit la clé (Yubico, Ledger wallets, FIDO ou autre), elle est composée d’une puce sécurisée unique qui permet facilement de vous authentifier pour accéder à votre compte utilisateur.
Vous pouvez accéder à plus d’information sur les clés U2F dans notre documentation dédiée.

 

Sécuriser l’accès à votre compte en utilisant la restriction d’IP

Si vous vous connectez sur votre compte depuis une adresse fixe (chez vous, un bureau, ou un autre réseau connu), vous pouvez interdire la connexion à votre compte depuis d’autres adresses IP.

 

Sécuriser votre DNS avec Anycast, DNSSEC ou AXFR

  • Anycast : 

La technologie Anycast nous permet de répliquer vos DNS tout autour du globe, et de répondre aux clients depuis le datacenter le plus proche. Ceci garantit une latence optimale pour votre trafic DNS mais également une redondance du service en cas de perte de datacenter.

Nous mettons aussi à votre disposition des services premium vous permettant d’héberger un DNS supplémentaire, distribué en Anycast dans un réseau isolé pour redonder votre service en cas de dDOS (« attaque par déni de service »).

Pour trouver encore plus d’information sur Anycast, vous pouvez lire l’article écrit par Arthur, l’un de nos ingénieurs système.

  • DNSSEC :

DNSSEC permet d’établir une « chaine de confiance » jusqu’à la racine DNS, cela en sécurisant les données envoyées par le DNS. Afin de vous permettre de bénéficier de la sécurité ajoutée par ce protocole sans vous en imposer toute la complexité, nous en avons automatisé une grande partie du processus.

Vous pouvez :

  1. Signer vos zones sur LiveDNS
  2. Publier au registre les clés automatiquement si vous utilisez nos services
  3. Automatiser les changements de clés (rollover) si vous avez un DNS externe – au travers du « Third Party DNS operator to Registrars/Registries Protocol »

Pour en savoir plus, rendez-vous sur notre documentation dédiée.

  • AXFR :

Nos DNS supportent AXFR (transfert de zone DNS), qui permettent de répliquer automatiquement les changements sur une zone d’un serveur maitre vers des serveurs esclaves. Vous pouvez donc ajouter un DNS externe dans le réseau de votre choix pour renforcer la sécurité en cas de DDOS.

 

Sécuriser votre compte avec grâce au système de droits disponible sur notre V5

Notre nouvelle plateforme possède un système de droits, offrant un niveau de granularité très poussé, vous permettant de créer des équipes avec des droits différents (accès à la gestion des domaines ou à l’hébergement uniquement, accès à la facturation mais pas aux domaines, etc…) pour mieux sécuriser les actions effectuées sur votre compte.