DNS 伺服器安全:Gandi 如何協助企業採用 ANSSI 的建議
法國國家網路安全局 ANSSI(原文全名為 Agence nationale de la sécurité des systèmes d’informations)(英文連結)的職責是透過公開出版刊物為企業提供建議和分享最佳作法。自 2017 年開始,法國國家網路安全局便在這些出版刊物中分享了一系列關於域名取得和使用的建議,並在一份完整指南中列出選擇域名註冊商時的關鍵要點(英文連結)。
Gandi 企業客戶服務團隊以四篇一系列的文章,向您介紹如何透過不同機制符合安全局提出的各項建議。
特別著重在 DNS 上,我們在前兩篇文章中,已經與您分享了關於 DNS 安全的五個關鍵要點以及 DNS 伺服器恢復性。以下列出基於 DNS 安全,選擇伺服器時需要考量的 5 點建議:
ANSSI 提供了 5 項關於伺服器管理與恢復性建議
建議 11. 可於一般操作時提高 TTL 數值
「可在一般操作模式下調整 TTL 至相對較高的數值。」
「DNS 紀錄的緩存生命週期指的是在查詢 DNS 伺服器的設備上,紀錄保存的最長時間。如果超過這個時間,設備應認定緩存資料已過期,重新向權威伺服器查詢 DNS 紀錄。其建議週期為 1 小時至 2 天內。」引用自國家網路安全局
Gandi 企業客服團隊提供的安全解決方案:
存留時間(TTL,time to live)代表的是 DNS 紀錄的緩存生命週期。Gandi 企業服務可以針對不同需求,讓您精準設定 TTL 。
ANSSI 建議的 TTL 週期約為 1 小時至 2 天內。這也是 Gandi 企業客服團隊將 TTL 自動預設為 10,800 秒 (即 3 小時) 的原因。
我們建議您保留這項設定,不過 Gandi 企業客服團隊也提供可在以下範圍內修改的 TTL 數值:
- 可設定最短為 300 秒。
- 可設定最長為 30 天。
這些變更應僅在特定情況使用,例如當您變更服務時。
建議 12. 備份區域檔內容
「可供定期備份 DNS 區域檔內容。」
Gandi 企業客服團隊提供的安全解決方案:
DNS 區域檔內容是您資訊服務的基礎,因此定期備份是相當重要的。Gandi 企業客服團隊提供您以下 3 種備份方式:
- 直接使用管理介面上 LiveDNS 名稱伺服器的區域檔備份功能。一鍵就能隨時備份區域檔內容,或是從備份清單中復原區域檔。
您至多可以保存 20 個區域檔備份,且無時間限制。同時,基於安全考量,系統預設在每一次修改區域檔紀錄前都會進行備份。
- 透過 LiveDNS API 自動備份
- 透過管理介面的區域檔紀錄匯出功能,即能建立自己的備份資料。
建議 13.監控權威伺服器健康度
「設置自動化系統監控權威伺服器以及上層伺服器所提供之數據。」
Gandi 企業客服團隊提供的安全解決方案:
ANSSI 建議企業監控特定區域檔的權威伺服器。假設一間公司的域名為 “example.net”,則應監控管理該域名區域檔的權威伺服器健康度。
為滿足這項基本監控需求,Gandi 企業客服團隊使用多種內部及外部服務監控管理客戶區域檔的權威伺服器。且這些服務也能安裝於您的監控設備上。
建議 14.使用多種不同軟體
「在一域名的所有權威伺服器上,至少使用兩種不同的 DNS 伺服器軟體。」
Gandi 企業客服團隊提供的安全解決方案:
Gandi 企業客服團隊僅使用單一軟體組件。負責 DNS 伺服器的團隊致力於監控軟體,且為保證伺服器安全更採用更新政策與非回歸測試。
建議 15. 使用不同伺服器來回應域名查詢與儲存區域檔資訊
「名稱伺服器的查詢服務應由單一伺服器回應,或將其與域名的權威伺服器程序區分開來。」
Gandi 企業客服團隊提供的安全解決方案:
目前有兩種類型 DNS 伺服器:
- 權威伺服器:即 Gandi 企業客服團隊所使用 liveDNS 伺服器。這些名稱伺服器儲存域名 DNS 紀錄,同時回應針對這些域名的查詢。
- 遞迴/緩存伺服器:這類型伺服器不管理 DNS 區域檔。它們透過向其他 DNS 伺服器發出新的查詢,或者緩存資料來回應收到的域名查詢。
兩種類型的伺服器皆會回覆 DNS 查詢,但是運作方式不同。伺服器通常是遞迴或是權威其中一個,鮮少兩者兼具。因此 ANSSI 建議安裝在伺服器上的軟體應該以遞迴或權威其中一種方式運作,避免發生像是緩存數據損壞的問題。
而這就是為什麼 Gandi 企業客服團隊的 LiveDNS 僅作為權威伺服器的原因。
透過回應這 5 項建議,使我們能夠向您重點介紹 Gandi 企業客服團隊在管理域名時採取的各項 DNS 安全措施。欲了解更多訊息,請隨時與您的專屬客戶經理聯繫,或寫信至 corporatecontact@gandi.net。
ANSSI 的最後 5 點建議將於近期發佈。我們邀請您定期查看我們的企業戶新聞,閱讀接下來的系列文章、隨時掌握域名最新資訊。
Tagged in corporate