Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

DNS en la nube: Construcción de una arquitectura DNS segura

Clientes de la nube necesitan que proveedores de la nube tomen medidas para proteger su infraestructura DNS, incluyendo zonas DNSSEC firmadas.

Al igual que con la mayoría de los problemas de seguridad, las soluciones para sistemas DNS en la nube son incompletas y se basan en una combinación de personas, procesos y tecnología. La nube plantea retos en todos los frentes ya que la mayoría de las organizaciones están, esencialmente, subcontratando diversos aspectos de los tres elementos mencionados al mover sus aplicaciones a la nube. 

Las tecnologías residen en el proveedor de la nube, y el cliente de la nube depende de los procesos del proveedor para garantizar y asegurar tanto su información como su infraestructura. Por lo tanto, el cliente debe tener en cuenta esta pérdida de control físico y proporcionar orientación muy específica al proveedor sobre la gestión y tratamiento de los datos DNS.

En este artículo veremos las medidas de mitigación y ofreceremos una guía para los clientes en la nube sobre lo que deberían estar demandando de sus proveedores de nube para asegurar una arquitectura DNS.

Insistir en zonas DNSSEC (DNS Security Extensions) firmadas  es un primer paso importante, ya que DNSSEC ofrece integridad de datos para sus archivos de zona, y clientes con soporte DNSSEC ofrecen garantías de que las zonas de DNSSEC están firmadas. Confiar en el firmante de la zona es una cuestión diferente, pero sigue siendo un buen comienzo.

Sin embargo, DNSSEC es sólo un componente en la creación de una arquitectura DNS segura en la nube. Igual de importante que ejecutar DNSSEC son los procedimientos para asegurar que las llaves DNSSEC estén bien administradas y que sus servidores tengan la seguridad adecuada. 

DNSSEC sólo funciona para garantizar la integridad de los datos, no es garantía de una configuración adecuada ni impide que los operadores de la zona introduzcan registros falsos (siempre y cuando ellos tengan las claves para acceder a los registros). Tampoco previenen ataques comunes como la saturación del búfer, las condiciones de anticipación y los ataques de denegación de servicio (DoS). Además, la gestión de las zonas DNNSEC requiere un esfuerzo significativo por parte de los operadores de zona.

Un problema importante de la adopción de DNSSEC en la nube radica en el hecho de que muchos expertos en seguridad no están familiarizados con DNSSEC y carecen de los conocimientos necesarios para garantizar la aplicación eficaz de la función del servicio. El año pasado, Uncompiled.com publicó un estudio que encontró que la mitad del personal de IT a cargo de la seguridad de Internet en las organizaciones más grandes del mundo no han oído hablar de DNSSEC o les resulta poco familiar. Este no es un buen augurio para la adopción generalizada de DNSSEC por parte de los proveedores de servicios en la nube (CSP). Aún así, los clientes de la nube deberían exigir la firma DNSSEC de zonas.

Además de la firma DNSSEC de zonas, los proveedores de la nube también deben activar la detección DNSSEC a los programas de recursión que los clientes usan para la resolución de nombres. Esperar que las aplicaciones individuales realicen la comprobación de DNSSEC es casi imposible. La comprobación de DNSSEC deberá ocurrir en la nube, especialmente con aquellos proveedores que ofrecen soluciones IaaS. 

Los ataques DoS pueden, en muchos casos, ser mitigados mediante el uso de anycast (difusión por proximidad), y la mayoría de los proveedores que ofrecen administración del DNS ya deberían estar utilizándolo. Sin embargo, el cliente debe verificarlo. El equilibrio del tráfico mediante el uso de Anycast, al igual que DNSSEC, es un componente adicional a la estrategia general para un DNS seguro.

Una posible solución para el problema del DNS en la nube puede consistir en sombrear y vigilar las zonas DNS en la nube IaaS. Esta solución implicaría el mantenimiento de un conjunto doble de servidores para cada instancia y la colocación de software de monitoreo, en modo sigiloso, en la línea. Cuando una zona publica una actualización, el monitor podría comprobar la información de la zona con el fin de determinar si los cambios son legítimos o no. 

Por ejemplo, una actualización de un registro de zona que muestra la dirección IP cambiando  de red podría activar una alarma que alertaría al operador. Con la utilización adecuada de la solución de monitoreo, estas zonas podrían posiblemente convertirse en servidores altamente fiables dentro de la nube IaaS.

Navegar con éxito la infraestructura de la nube tomará tiempo y un esfuerzo considerable, tanto para grupos de IT y grupos legales dentro de una organización, como para el proveedor de servicios en la nube. Una manera de pensar en una migración a la nube es considerarla como la compra de una relación continua. 

Asuntos de confianza en los proveedores requerirán que tanto el cliente como el proveedor mantengan una relación abierta. En la actualidad, no hay garantías de que las mejores prácticas que rigen la industria de la seguridad también estén implementadas en la nube. Esto significa que en muchos casos, el cliente y el proveedor trabajarán juntos en nuevos temas, ideas y preocupaciones, en un esfuerzo de colaboración. 

Por esta razón, la relación debe estar basada en la confianza y el entendimiento mutuo con el fin de garantizar la adquisición y el intercambio de conocimientos en esta nueva frontera.

Sobre el autor:

Char Sample tiene cerca de 20 años de experiencia en seguridad de Internet, y ha estado involucrada en la integración de varias tecnologías de seguridad en los sectores público y privado. Es candidata a un doctorado del Capitol College, donde su tesis trata sobre el uso de marcadores culturales en atribución de ataques.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close