雲服務中的DNS：構建安全的DNS架構

就安全性挑戰而言，雲計算中dns的解決方案是不完整的，它主要依賴于人員、流程和技術的組合。 由於大部分的企業通過把應用程式遷移至雲計算而實現了對上述三個方面的全方位的外包，雲計算遭受到了全方位的挑戰。 所有的關鍵技術都在雲計算供應商那裡，而雲計算的使用者們完全依賴于雲計算供應商以確保他們的資訊和基礎設施的安全性。 所以，雲計算客戶還必須考慮物理控制方面的缺失，並向供應商提供dns管理與處理相關、非常具體的指導。

本文是研究雲計算中dns以及dns攻擊系列報導的下篇，我們將討論一下相關的應對措施，並為雲計算客戶提供相關指導，以便於他們在要求雲計算供應商確保安全dns架構時能夠做到心中有底。

堅持dns安全擴展(dnssec)簽署區域是重要的第一步，這是因為dnssec為你的區域檔提供了資料完整性，而經過dnssec驗證的客戶可確保已簽署dnssec區域。 雖然信任區域簽署者是另外一個話題，但這仍然是一個良好的開端。

但是，dnssec僅僅是在雲計算中創建一個安全dns架構的一個組成部分。 較之具有相同重要性的一個步驟是運行dnssec，此舉可確保dnssec金鑰被妥善管理，同時伺服器也被安全措施所正確保護。 運行dnssec只能確保資料的完整性;它並不能保證正確的配置以及防止區域運行人員插入虛假記錄(因為只要他們擁有金鑰，他們就能夠簽署記錄)。 它也無法防止諸如緩衝區溢位、競態條件以及dos攻擊這樣常見的攻擊。 此外，管理dnssec區域需要區域運行人員為之做出重大的努力。

在雲計算中應用ndssec所需面臨的一個重要隱患在於，事實上眾多安全專家並不熟悉dnssec，同時對於確保成功實施服務功能缺乏必要的認識。 去年，uncompiled.com發表了一個研究報告，它指出在世界上最大型企業中負責互聯網安全的it人員中有半數以上要麼沒有聽說過dnssec，要麼對其熟悉程度極為有限。 對於雲計算服務供應商(csp)廣泛採用dnssec的需求來說，這一現狀並不是一個好消息。 不過，雲計算的客戶們還是應當要求實現dnssec區域簽名。

除了dnssec區域簽名以外，雲計算服務供應商們還必須在客戶用於名稱解決方案的遞迴解析程式中打開dnssec驗證。 期待單個應用程式執行dnssec檢查幾乎是不可能的。 需要在雲計算環境中執行dnssec 和 dnssec檢查，尤其是那些提供iaas解決方案的供應商。 在很多情況下，通過使用anycast可在一定程度上緩解dos攻擊帶來的影響，而大多數的雲計算服務供應商們所提供的dns管理中已經使用了anycast。 但是，客戶應當自行驗證確認這一點。 anycast流量均衡與dnssec很類似，它是dns整體安全性原則中的一個附加的元件。

雲計算中dns問題的一個可能的解決方案是在iaas雲計算中跟蹤和監控dns區域。 這個解決方案需要為每個實例設置一對伺服器，並線上以隱匿模式配置監視軟體。 當對區域進行更新升級時，監視軟體應檢查區域資訊以便於確定變更是否合法。 例如，一個區域記錄顯示有ip位址變動，就需要向運行人員提出警告。 通過制定合適的監控解決方案，這些區域就有可能成為iaas雲計算中具有較高可靠性的伺服器。

成功的雲計算基礎設施是需要企業和雲計算服務供應商的it團隊與法務團隊付出大量時間與精力的努力的。 考慮雲計算遷移的一個方法就是將其認為是購買一個長期的合作關係。 與供應商的信任問題也需要客戶和csp之間維持一種開放的關係。 目前，管理安全行業的最佳做法並不是確保也在雲計算中執行相同的措施。 這意味著，在大多數情況下客戶和雲計算服務供應商必須一起為解決新問題、領悟新思想和接受新概念而共同努力。 由於這個原因，雙方的關係必須建立在相互信任、相互理解的基礎之上，以確保在這個嶄新的前沿領域中共同獲取知識、分享知識。