Kendiliğinden bir güvenlik olmaksızın, bir dizi kuruluştaki Etki Alanı Adı Sistemi (DNS) sunucuları, önbellek zehirlenmesi, telefon çağrılarının yeniden yönlendirilmesi, parolaları çalmak için ortadaki adam saldırıları, yeniden yönlendirme dahil olmak üzere bir dizi kötü niyetli çabayı mümkün kılmak için defalarca tehlikeye atılmaktadır. e-posta, hizmet reddi saldırıları ve daha fazlası a bulunmaktadır.

Etki Alanı Adı Sistemleri Güvenlik Uzantıları (DNSSEC), alınan mesajların gönderilenlerle aynı olmasını sağlamak için DNS kayıtlarını dijital olarak imzalayarak DNS sunucusu hiyerarşisini korumaktadır.
 

DNS Sunucusu Güvenliği Güçlü Anahtar Güvenliği Gerektirir.

DNSSEC, DNS sunucuları arasında güvenli bir iletişim yöntemi sağlamak için temelde genel anahtar altyapılarını (PKI) uygulamaktadır. Bir PKI olarak DNSSEC, anahtar oluşturma, imzalama ve anahtar yönetimi gibi bazı yeni prosedürler gerektirmektedir.

Ancak, DNSSEC'in tüm potansiyel faydaları için, amaçlanan kazançlar garanti edilmez çünkü DNSSEC tarafından sunulan kaynak kayıtları şifrelenmemiş bir dosyada tutulur.

Kuruluşlar yalnızca DNSSEC altyapısının tamamı tam ve kapsamlı bir şekilde güvence altına alındığında, DNSSEC'in avantajlarından tam olarak yararlanmaya başlayabilir.

Bunu yapmak için, aşağıdakileri yapabilecek yeteneklere ihtiyaçları vardır:

Güvenli dijital imzalar. DNS hizmetlerinin geçerliliğini sağlamak için DNS mesajlarının dijital olarak imzalanması gerekir.
Erişimi kontrol edin. Kuruluşların, yalnızca yetkili müşterilerin ve dahili personelin hassas uygulamalara ve verilere erişebilmesini sağlamaları gerekir.
Uygulama bütünlüğünü koruyun. Bütünlüğün sağlanması ve izinsiz uygulama yürütülmesinin engellenmesi için tüm ilişkili uygulama kodlarının ve süreçlerinin güvenliğinin sağlanması gerekir.
Yüksek hacimli işleme uyum sağlamak için ölçekleyin. DNS güncellemeleri çok sık olduğu için, DNSSEC altyapılarının her zaman zamanında işlemeyi sağlamak için gereken performansı ve ölçeklenebilirliği sağlaması gerekir.
 

Donanım Güvenlik Modülleri ile DNS Sunucu Güvenliği

DNS hizmetlerinin geçerliliğini sağlamak için DNSSEC, DNS mesajlarını dijital olarak imzalamak için genel anahtar şifrelemesini kullanır. Gereken güvenliği sağlamak için özel imzalama anahtarlarının sağlam bir şekilde korunması hayati önem taşır. Anahtarlar ve bunlara karşılık gelen dijital sertifikalar tehlikeye atılırsa, DNS hiyerarşisindeki güven zinciri bozulur ve tüm sistemi geçersiz kılar. Donanım güvenlik modüllerinin (HSM'ler) devreye girdiği yer burasıdır.

Daha fazla: https://cpl.thalesgroup.com/data-protection/secure-digital-signatures/dns-security-dnssec