域名保護與管理:Gandi 如何協助企業採用 ANSSI 的建議

02.19.2021  - 作者  在 Corporate

作為極有價值的無形資產,域名組合的保護與管理已成為全球線上業務策略的基礎。

為了協助企業選擇其供應商並確定檢查要點,法國國家網路安全局(ANSSI),發佈了一份指南,其中匯集了 “獲取和使用域名的 20 種最佳作法“。

透過四篇一系列的文章,Gandi 企業客戶服務團隊提出了一系列的建議,讓您在此議題中能夠符合每項建議。

法國國家網路安全局

法國國家網路安全局 為一法國政府組織,創立於 2009 年,旨在應對潛在的網路資訊攻擊威脅。作為操作系統安全的國家機構,ANSSI 定義了數位領域的安全範本並將其發佈,以為企業及廣大的公民提供訊息,並提高他們相關資訊的認識。

自 2017 年以來,該機構在這些出版物中分享了一系列有關域名取得和使用的建議。全方位指南中還重點介紹了選擇域名註冊商的標準

Gandi 企業客服團隊提供域名取得和安全保護的最佳作法,以協助企業響應 ANSSI 提出的建議

ANSSI 的建議是基於組織,法律和技術。其中共有 20 項建議,我們從 4 篇文章中分出了 5 點建議以提供您們準確的答案。

前 5 項建議與 DNS 參與者在選擇供應商時的可靠性標準有關:

  1. 使用域名安全鎖
  2. 選擇有提供具有強化身份認證機制的域名註冊商
  3. 使用域名註冊商鎖定功能
  4. 選擇有支持 DNSSEC 的域名註冊商
  5. 評估與經銷商簽約的安全風險

1. 在允許的情況下,使用註冊局鎖定服務

“選擇提供域名安全鎖服務的註冊局,並就此功能所保證的服務水準獲得合約的承諾或保證。”

Gandi 企業客服團隊提供的安全解決方案:

註冊局鎖定, 為一以 2 到 3 名參與者干預的人工域名鎖定系統。 旨在提供域名額外的安全層級保護,使他人無法在註冊商沒有驗證的情形下進行修改。

此過程可以防止對域名進行任何敏感操作,如:

  • 將域名移轉至另一個所有權人或域名註冊商, 
  • 域名聯絡資訊變更,
  • DNS 伺服器變更,
  • 自願刪除域名。

上述任一操作都需要至少兩個人參與才能被執行:域名所有權人和域名註冊商或域名註冊局。每個請求都將通過域名註冊商,域名註冊商會在將請求發給註冊局前先驗證請求發出者的身份。

註冊局鎖定服務對防止數據竊取特別有用。舉例來說,當第三方登入您的帳戶,並試圖變更 DNS 伺服器以將其指向在第三方控制之下的伺服器時,儘管他在當時擁有該域名的所有相關權利,但是由於您使用了 “註冊局鎖定” 服務,他的操作將會被註冊局拒絕。

除了 .COM,.FR 和 .NET 域名,Gandi 企業客服團隊也提供以下域名註冊局鎖定服務:.AT、.BANK、.BE、.CC、.CL、.CO.CR、.CO.UK、.COM.AU、.HK、.MX、.SG、.CZ、.FI、.GR、.IE、.INSURANCE、.IT、.LT、.NAME、.NL、.PT、.RE、.RS、.SE、.SI、.TV,.コム (日文的 .com) / .닷컴 (韓文的 .com) / .닷넷 (韓文的 .net)。

欲了解更多註冊局鎖定服務的相關資訊,請不吝與我們的企業客服團隊聯繫 corporate@gandi.net

2. 選擇有提供具有強化身份認證機制的域名註冊商

“選擇有提供登入和強化身份認證機制的域名註冊商,例如雙因素身份認證以及管理界面的訪問過濾功能。”

Gandi 企業客服團隊提供的安全解決方案:

Gandi 管理門戶的環境受到傳統身份驗證系統的保護(即用戶名和密碼),您可以在其中添加幾個安全選項:

  • 雙因素身份認證(TOTP 或 U2F),
  • IP 位址訪問限制。

雙因素身份認證 為您的帳戶添加多一層的保護。當您啟用此功能時,除了您平常使用的密碼外,您還需要提供另外一組獨一無二的動態生成密碼:

  • 安裝於您的智慧型手機,平板或電腦中的應用程式(TOTP),
  • 或是實體金鑰(U2F)。

也就是說,如果某位同事在多個線上裝置上使用一組共用密碼登入其 Gandi 帳戶,駭客也無法進入其域名介面,即時他們取得了那組密碼(被其他危害網站的網路犯罪分子洩露)。因為除了原本的密碼外還需要進行雙因素身份驗證,才能登入帳戶。

IP 位址訪問限制 使您能夠透過定義 IP 位址對 Gandi 管理介面的訪問設定限制,以進一步提高帳戶安全性。

除了這兩種選擇,Gandi 的平台也允許您客製化使用者訪問權限,讓您針對不同團隊成員提供不同的權限。這樣一來,您可以靈活且安全地保證透明度和追蹤所採取的措施。

3. 在允許的情況下,使用域名註冊商鎖定功能

“選擇有提供域名安全鎖機制的域名註冊商,以防止域名管理的詐欺性移轉。”

Gandi 企業客服團隊提供的安全解決方案:

註冊局鎖定系統為域名提供額外的保護。 這種保護的形式是對域名進行鎖定,以防止域名在未經您同意的情況下被第三方轉移。只有具有必要權限的使用者才能停用此鎖定功能。

此服務可用於 Gandi 企業客服團隊提供的大多數域名中。

啟用域名移轉鎖定功能

4. 選擇有支持 DNSSEC 的域名註冊商

“選擇可以發佈 DNSSEC 所需訊息的域名註冊商。”

Gandi 企業客服團隊提供的安全解決方案:

DNSSEC 為 DNS 的安全延伸協定,讓您可以使用公用密鑰加密,以為在伺服器之間交換的訊息進行簽章。它從根 DNS 建立 ‘信任鏈’,以保護 DNS 伺服器發送出來的數據。

數據從頭到尾都會經過驗證,進而保證回應的真實性。因此,第三方將難以在不被發現的情形下破解信任鏈。

啟用 DNSSEC 可以保護您 DNS 數據的所有重新指向,也就是我們知道的 DNS 劫持,它也可以保證您的網站流量不會被指向想要竊取數據和訊息的詐騙網站。

Gandi 企業客服團隊為所有域名提供免費的 DNSSEC 服務,並為您簡化啟用流程:只需要點擊一下按鍵,就可以啟用整個 DNSSEC 鏈,而且您也無須自己管理必要的加密密鑰。

Illustration du service DNSSEC

為您的域名啟用 DNSSEC

5. 評估與經銷商簽約的安全風險

“當域名持有人使用經銷商等供應商服務時,[他們] 必須採取風險評估和控制方法。”

Gandi 企業客服團隊提供的安全解決方案:

身為域名註冊商,Gandi 直接與註冊局合作,並與客戶建立緊密的合作關係。

Gandi 能夠掌控那些將其資產組合管理委託給第三方供應商的人的風險,例如智慧財產權的律師事務所:Gandi 的管理介面主要是為域名提供經過微調的權限管理,因此域名所有權人能夠保留其權利,並能夠針對第三方第三方可能採取的措施設定限制。

透過這 5 項建議使我們能夠向您重點介紹 Gandi 企業客服團隊採取的各種安全措施以幫助您進行域名管理。欲了解更多訊息,請隨時與您的客戶經理聯繫,或您也可以寫信至 corporate@gandi.net

別忘了定期查看 Gandi 新聞中的 “Corporate” (企業)分類,以掌握最新市場資訊,並了解如何保護您的線上品牌。當然,還有下一篇的 ANSSI 的 15 項建議。