域名保护与管理:Gandi 如何协助企业採用 ANSSI 的建议

02.19.2021  - 作者  在 Corporate

作为极有价值的无形资产,域名组合的保护与管理已成为全球线上业务策略的基础。

为了协助企业选择其供应商并确定检查要点,法国国家网路安全局(ANSSI),發佈了一份指南,其中汇集了 “获取和使用域名的 20 种最佳作法“。

透过四篇一系列的文章,Gandi 企业客户服务团队提出了一系列的建议,让您在此议题中能够符合每项建议。

法国国家网路安全局

法国国家网路安全局 为一法国政府组织,创立于 2009 年,旨在应对潜在的网路资讯攻击威胁。作为操作系统安全的国家机构,ANSSI 定义了数位领域的安全范本并将其發佈,以为企业及广大的公民提供讯息,并提高他们相关资讯的认识。

自 2017 年以来,该机构在这些出版物中分享了一系列有关域名取得和使用的建议。全方位指南中还重点介绍了选择域名註册商的标准

Gandi 企业客服团队提供域名取得和安全保护的最佳作法,以协助企业响应 ANSSI 提出的建议

ANSSI 的建议是基于组织,法律和技术。其中共有 20 项建议,我们从 4 篇文章中分出了 5 点建议以提供您们准确的答案。

前 5 项建议与 DNS 参与者在选择供应商时的可靠性标准有关:

  1. 使用域名安全锁
  2. 选择有提供具有强化身份认证机制的域名註册商
  3. 使用域名註册商锁定功能
  4. 选择有支持 DNSSEC 的域名註册商
  5. 评估与经销商签约的安全风险

1. 在允许的情况下,使用註册局锁定服务

“选择提供域名安全锁服务的註册局,并就此功能所保证的服务水准获得合约的承诺或保证。”

Gandi 企业客服团队提供的安全解决方案:

註册局锁定, 为一以 2 到 3 名参与者干预的人工域名锁定系统。 旨在提供域名额外的安全层级保护,使他人无法在註册商没有验证的情形下进行修改。

此过程可以防止对域名进行任何敏感操作,如:

  • 将域名移转至另一个所有权人或域名註册商,
  • 域名联络资讯变更,
  • DNS 伺服器变更,
  • 自愿删除域名。

上述任一操作都需要至少两个人参与才能被执行:域名所有权人和域名註册商或域名註册局。每个请求都将通过域名註册商,域名註册商会在将请求發给註册局前先验证请求發出者的身份。

註册局锁定服务对防止数据窃取特别有用。举例来说,当第三方登入您的帐户,并试图变更 DNS 伺服器以将其指向在第三方控制之下的伺服器时,儘管他在当时拥有该域名的所有相关权利,但是由于您使用了 “註册局锁定” 服务,他的操作将会被註册局拒绝。

除了 .COM,.FR 和 .NET 域名,Gandi 企业客服团队也提供以下域名註册局锁定服务:.AT、.BANK、.BE、.CC、.CL、.CO.CR、.CO.UK、.COM.AU、.HK、.MX、.SG、.CZ、.FI、.GR、.IE、.INSURANCE、.IT、.LT、.NAME、.NL、.PT、.RE、.RS、.SE、.SI、.TV,.コム (日文的 .com) / .닷컴 (韩文的 .com) / .닷넷 (韩文的 .net)。

欲了解更多註册局锁定服务的相关资讯,请不吝与我们的企业客服团队联繫 corporate@gandi.net

2. 选择有提供具有强化身份认证机制的域名註册商

“选择有提供登入和强化身份认证机制的域名註册商,例如双因素身份认证以及管理界面的访问过滤功能。”

Gandi 企业客服团队提供的安全解决方案:

Gandi 管理门户的环境受到传统身份验证系统的保护(即用户名和密码),您可以在其中添加几个安全选项:

  • 双因素身份认证(TOTP 或 U2F),
  • IP 位址访问限制。

双因素身份认证 为您的帐户添加多一层的保护。当您启用此功能时,除了您平常使用的密码外,您还需要提供另外一组独一无二的动态生成密码:

  • 安装于您的智慧型手机,平板或电脑中的应用程式(TOTP),
  • 或是实体金钥(U2F)。

也就是说,如果某位同事在多个线上装置上使用一组共用密码登入其 Gandi 帐户,骇客也无法进入其域名介面,即时他们取得了那组密码(被其他危害网站的网路犯罪分子洩露)。因为除了原本的密码外还需要进行双因素身份验证,才能登入帐户。

IP 位址访问限制 使您能够透过定义 IP 位址对 Gandi 管理介面的访问设定限制,以进一步提高帐户安全性。

除了这两种选择,Gandi 的平台也允许您客製化使用者访问权限,让您针对不同团队成员提供不同的权限。这样一来,您可以灵活且安全地保证透明度和追踪所採取的措施。

3. 在允许的情况下,使用域名註册商锁定功能

“选择有提供域名安全锁机制的域名註册商,以防止域名管理的诈欺性移转。”

Gandi 企业客服团队提供的安全解决方案:

註册局锁定系统为域名提供额外的保护。 这种保护的形式是对域名进行锁定,以防止域名在未经您同意的情况下被第三方转移。只有具有必要权限的使用者才能停用此锁定功能。

此服务可用于 Gandi 企业客服团队提供的大多数域名中。

启用域名移转锁定功能

4. 选择有支持 DNSSEC 的域名註册商

“选择可以發佈 DNSSEC 所需讯息的域名註册商。”

Gandi 企业客服团队提供的安全解决方案:

DNSSEC 为 DNS 的安全延伸协定,让您可以使用公用密钥加密,以为在伺服器之间交换的讯息进行签章。它从根 DNS 建立 ‘信任链’,以保护 DNS 伺服器發送出来的数据。

数据从头到尾都会经过验证,进而保证回应的真实性。因此,第三方将难以在不被發现的情形下破解信任链。

启用 DNSSEC 可以保护您 DNS 数据的所有重新指向,也就是我们知道的 DNS 劫持,它也可以保证您的网站流量不会被指向想要窃取数据和讯息的诈骗网站。

Gandi 企业客服团队为所有域名提供免费的 DNSSEC 服务,并为您简化启用流程:只需要点击一下按键,就可以启用整个 DNSSEC 链,而且您也无须自己管理必要的加密密钥。

Illustration du service DNSSEC

为您的域名启用 DNSSEC

5. 评估与经销商签约的安全风险

“当域名持有人使用经销商等供应商服务时,[他们] 必须採取风险评估和控制方法。”

Gandi 企业客服团队提供的安全解决方案:

身为域名註册商,Gandi 直接与註册局合作,并与客户建立紧密的合作关係。

Gandi 能够掌控那些将其资产组合管理委託给第三方供应商的人的风险,例如智慧财产权的律师事务所:Gandi 的管理介面主要是为域名提供经过微调的权限管理,因此域名所有权人能够保留其权利,并能够针对第三方第三方可能採取的措施设定限制。

透过这 5 项建议使我们能够向您重点介绍 Gandi 企业客服团队採取的各种安全措施以帮助您进行域名管理。欲了解更多讯息,请随时与您的客户经理联繫,或您也可以写信至 corporate@gandi.net

别忘了定期查看 Gandi 新闻中的 “Corporate” (企业)分类,以掌握最新市场资讯,并了解如何保护您的线上品牌。当然,还有下一篇的 ANSSI 的 15 项建议。