メインコンテンツまでスキップ
画像
紫色の六角形のパターン

ソフトウェアにDNSSECを実装することは可能な一方で、攻撃者は署名キーにアクセスしてDNSクエリプロセスを危険にさらす可能性がある

ドメインネームシステム(DNS)は、事実上インターネットの名簿です。これにより、ウェブサイト名を対応する登録済みIPアドレスと照合できます。しかし、ウェブクエリの不正な変更は、エンドユーザーまたはサービスに不正なIPアドレスを指示し、データ盗難の目的でそれらを不正なサーバーにルーティングする可能性があります。ドメインネームシステムセキュリティ拡張機能(DNSSEC)は、この脅威に対応して作成されました。DNSSECは、デジタル署名を使用して、サーバーがクエリに対するDNS応答の整合性を認証および検証できるようにするメカニズムです。

DNSSECの図

課題

DNSSECに関連するリスク

  • DNSプロセスにアクセスする攻撃者は、あなたのふりをしているサイトに顧客を誘い込み、個人情報を提供するように仕向けることができます。
  • ソフトウェアにDNSSECを実装することは可能ですが、攻撃者は署名キーにアクセスしてDNSクエリプロセスを危険にさらす可能性があります。

ソリューション

DNSSEC: Entrust nShield HSMソリューション

Entrustの製品とサービスは、ビジネスと顧客の情報を保護すると同時に、ビジネスに必要なパフォーマンスを提供する、高保証のDNSSECプロセスを展開するのに役立ちます。nShieldハードウェアセキュリティモジュール(HSM)を使用すると、トップレベルドメイン(TLD)、レジストラ、レジストリ、および企業は、インターネット全体のDNSSEC応答の整合性を検証するために使用される非常に重要な署名プロセスを保護し、一般に「キャッシュポイズニング」および「中間者」攻撃と呼ばれるものからDNSを保護できます。 Entrustソリューションは、実績のある監査可能なセキュリティ上の利点を提供し、署名キーの適切な生成と保存を可能にして、DNSSEC検証プロセスの整合性を保証します。

メリット

Entrust nShield HSMによって提供されるメリット

  • 独立して認定されたHSM(FIPS 140-2レベル3およびコモンクライテリアEAL4+)を使用して、DNSSEC検証プロセスの整合性を確保します。
  • 堅牢な改ざん防止ハードウェア境界と、アーカイブされている場合でも貴重な署名キーを保護するための実証済みの監査可能なメカニズムを維持します。
  • 堅牢なアクセス制御を通じて職務の分離を実施し、単一の「スーパーユーザー」の脅威を軽減し、規制コンプライアンスを促進します。
  • 無制限のキーストレージ、安全なバックアップとリカバリ、強力な暗号化アクセラレーションにより、高可用性とDNSサーバーのパフォーマンスの向上を実現します。

関連資料

ソリューション概要: DNSSEC実装のための署名鍵の保護

Entrust nShield HSMを使用すると、トップレベルドメイン、レジストラ、レジストリ、および企業は、インターネット全体のDNSSEC応答の整合性を検証するために使用される非常に重要な署名キーを保護し、DNSをキャッシュポイズニングや中間者攻撃から保護できます。詳細については、ソリューション概要をダウンロードしてください。

DNSSEC展開の署名キーの保護