万慧星:DNS是十分重要的IT基础网络设施,对互联网服务至关重要。对于运营商而言,如何保障DNS系统的安全,是一个非常重要的问题。目前,DNS系统面临的安全问题主要有DoS/DDoS、域名劫持、IP欺骗、缓存投毒、服务器权限入侵等等。
针对DNS安全防护,以保障其业务的可用性为最重要目标,按时间顺序,进行事前评估加固、事中实时防御、事后分析取证的三个阶段的全面的安全建设。在安全评估加固阶段,主要包括对系统安全漏洞、系统安全功能、系统配置安全、系统代码安全、系统日志审计等方面进行全方位的检查评估、攻击验证与渗透测试,然后进行DNS系统加固,同时要进行合理的DNS容量设计和规划。在实时防御阶段,主要是通过部署DDoS防护产品、防火墙、IPS、UTM等安全设备,进行DNS系统的实时防护。在分析取证阶段,一是要保障DNS系统的业务连续性,二是应具备还原分析能力,可以利用相应的日志或其他分析系统数据,确定攻击的原因、系统的漏洞,为后续进一步加固提供依据。
IT基础设施虚拟化提出新要求
通信世界:在IT基础设施走向虚拟化之后,其安全的保障却有些落后,很少有公司注意到虚拟化技术对安全需求。到目前为止,大多数与虚拟化有关的安全产品要么基于虚拟化的设备,要么在虚拟机上部署代理。这些方法具有一定的灵活性,但是在一定程度上限制了对虚拟机内部进行的访问,就此,结合您公司的虚拟化安全策略,您是怎么看待的?
RichardTing:虚拟化基础设施对安全运营的影响很大。
首先,虚拟基础设施常常是动态的。实时转移技术允许虚拟机实时地从一个主机转移到另一个主机。虚拟机在这样一个环境里自动移动从而重新实现负载平衡,以减少电源消耗和硬件故障。虚拟基础设施的运行往往创建一个几乎不断变化的环境。
其次,虚拟化技术正在被运营到应用程序、服务器、存储以及网络等多个应用当中。虚拟化都把物理基础设施隐藏在一个抽象层,并且提供逻辑实例的封装。当你查找一个故障或者一个安全报警根本原因的时候,你需要揭开这个面纱和查看虚拟化层后面的东西。这种事情说起来容易做起来难。
最后,因为虚拟化可以让管理员在很短的时间内,虚拟地对以太服务器进行控制,这样缩短了服务器的生命周期,从而使服务去向无形的设备转变。