Salesforce en NS1 werken samen aan betere DNS-security

Salesforce en NS1 zijn een samenwerking aangegaan. De samenwerking moet DNS-security voor alle organisaties en gebruikers verbeteren, en naar meerdere platforms brengen. Zowel NS1 als Salesforce leidt het initiatief om een veiliger internet voor alle organisaties en gebruikers te bieden via zogeheten ‘multi-signer DNSSEC’. De Internet Engineering Task Force (IETF) beoordeelt de nieuwe techniek momenteel.

DNSSEC bestaat uit een aantal verbeteringen aan standaard DNS. Het voorkomt bijvoorbeeld DNS-spoofing en cache-poisoning door DNS-records cryptografisch te ondertekenen. Traditionele manieren om dit te doen verhinderen vaak functies voor traffic management, zoals geo-routing en server load balancing. Deze technische barrières maakten het tot nu toe lastig om DNS-beveiligingsuitbreidingen bij het gebruik van meerdere DNS-providers in te zetten. Hierdoor zijn bedrijven dus beperkt in het uitbreiden van hun DNS-beveiliging.

Veilige DNS zonder obstakels

“Multi-signer DNSSEC neemt belangrijke stappen in het wegnemen van barrières voor DNSSEC-acceptatie door zowel redundantie als beveiliging mogelijk te maken zonder de belangrijkste bedrijfseigen functies op te offeren die optimale prestaties garanderen”, legt Jan Včelák, Lead Software Engineer bij NS1, uit. “De strategie stelt elke DNS-provider in staat om afzonderlijke zonesleutels te gebruiken voor het ondertekenen van records, maar alle providers moeten het eens worden over de totale set DNSSEC-sleutels die wordt gebruikt. Dit maakt de succesvolle validatie van de authenticiteit van records tussen meerdere DNS-providers mogelijk.”

Včelák en Shumon Huque, Principal Software Engineer bij Salesforce, waren samen met verschillende andere industrieleiders de co-auteurs van het IETF-ontwerp. De NS1- en Salesforce-teams hebben samengewerkt om de daadwerkelijke implementatie tot stand te brengen. Dit gebeurde op zijn beurt weer door NS1 Managed DNS en het open source DNS-platform BIND te gebruiken.

Open source component

“Onze REST API stelt NS1 DNS in staat om openbare keys op te halen, die worden gebruikt voor het ondertekenen. Ook is het mogelijk om de uiteindelijke DNSKEY-record set en de ondertekeningen te publiceren”, legt Včelák uit. “Tegelijkertijd bouwen we een open source component die het mogelijk maakt om NS1 en elke gemeenschappelijke open source DNS-server (bijvoorbeeld BIND) in de multi-signer DNSSEC-configuratie te draaien.”

Volgens Stockhouse richten cybercriminelen zich steeds meer op DNS vanwege de cruciale rol die het speelt bij moderne applicaties. De alarmerende toename van DNS-gerichte aanvallen leidde recentelijk tot nieuwe richtlijnen van internetautoriteiten als ICANN en DHS. Hierin wordt opgeroepen tot meer aandacht voor ‘best practices’ op het gebied van beveiliging.