隆重推出Cloudflare域保護—使域破壞成為歷史

網(wǎng)絡(luò)上的一切都始于域名。這是一家公司建立網(wǎng)絡(luò)形象的基礎(chǔ)。如果此基礎(chǔ)受到破壞，公司將遭受巨大損害。

作為CIO Week的一部分，我們研究了公司在網(wǎng)絡(luò)上始終面臨的所有最大風(fēng)險，以及我們該如何應(yīng)對這些風(fēng)險。對域名的破壞仍然是最大的風(fēng)險之一。域名被劫持的方式有很多種，或可能被其他方式破壞，最嚴(yán)重的是：完全失去對域名的控制。

您不希望這種破壞發(fā)生在您身上。想象一下，如果域名遭到破壞，您失去的不僅僅是您的網(wǎng)站，還有您公司所有的電子郵件，無數(shù)個與您公司域名相關(guān)的系統(tǒng)，誰知道還有什么。攻擊者破壞您的公司域名對每個首席信息官來說都是噩夢。而且，如果您是一名首席信息官，那么您無需再擔(dān)心此事，因為，我們確實調(diào)查了每一個其他域名注冊商，并對他們的安全措施非常不滿意，我們需要推出我們自己的域名注冊。

但是，現(xiàn)在我們已經(jīng)做到了，我們想讓域名破壞的事情永遠不會再發(fā)生。有鑒于此，我們很高興地宣布，我們將幫助所有企業(yè)用戶擴展到新的域名記錄保護級別。我們稱其為Cloudflare域名保護，并為每一位Cloudflare企業(yè)客戶免費提供這項服務(wù)。對于那些擁有受域名保護服務(wù)保護的客戶，我們也將免除這些域名的所有注冊和續(xù)訂費用。Cloudflare域名保護將在第一季度推出，您現(xiàn)在可以與您的客戶經(jīng)理溝通，獲取該服務(wù)。

如果不了解域名是如何被破壞的，就不可能構(gòu)建一個真正安全的域名注冊商解決方案。在詳細介紹我們的產(chǎn)品之前，我們想帶您了解一下域名是如何遭到破壞的。

盜走您王國的鑰匙

我們經(jīng)常能聽到三種類型的域名破壞。讓我們逐一介紹。

域名轉(zhuǎn)移

最嚴(yán)重的破壞之一是未經(jīng)授權(quán)將域名轉(zhuǎn)讓給另一家注冊商。雖然注冊商之間的合作在過去幾年里有了很大的改善，但要恢復(fù)被盜的域名仍然困難重重。這通常需要幾周甚至幾個月的時間。也可能需要采取法律行動。在最好的情況下，域名可能在幾天內(nèi)恢復(fù)；最壞的情況是，您可能永遠無法恢復(fù)。

在注冊商之間簡單轉(zhuǎn)讓域名的能力至關(guān)重要，這也是保持域名注冊市場競爭力的一部分。然而，這也帶來了潛在的風(fēng)險。大多數(shù)注冊機構(gòu)使用的轉(zhuǎn)讓過程涉及到使用令牌來授權(quán)轉(zhuǎn)讓。在廣泛使用對公眾可訪問的whois數(shù)據(jù)進行編輯之前，也曾使用電子郵件審批流程。要竊取域名，不法分子只需要獲得對授權(quán)代碼的訪問，即可移除任何域名鎖。

未經(jīng)授權(quán)的轉(zhuǎn)讓通常從破壞賬戶開始。在許多情況下，客戶的帳戶證書可能會被破壞。在其他情況下，攻擊者會使用復(fù)雜的社會工程方案來控制域名，他們通常在將域名轉(zhuǎn)移到另一個注冊商之前，會在注冊商帳戶之間移動域名。

域名服務(wù)器更新

域名服務(wù)器更新是另一種可能破壞域名的方式。域名轉(zhuǎn)讓通常是試圖永久接管域名，而域名服務(wù)器的更新在本質(zhì)上則是暫時的。然而，即使更新通?？梢院芸毂荒孓D(zhuǎn)，但這些類型的域名劫持可能非常極具破壞性。他們有可能竊取客戶數(shù)據(jù)和攔截電子郵件流量。但最重要的是：他們會讓一個機構(gòu)的聲譽受到嚴(yán)重?fù)p害。

域名掛起和刪除

大多數(shù)域名掛起和刪除均非惡意活動的結(jié)果，而是由于人為錯誤或系統(tǒng)故障而發(fā)生。在很多情況下，客戶會忘記更新域名或忘記更新他們的付款方式。在其他情況下，注冊商可能會錯誤地掛起或刪除域名。

無論是何種原因：其結(jié)果是一個域名無法再被解析。

雖然這些不是域名可能被破壞的唯一方式，但它們是部分最具破壞性的方式。我們花費了大量時間關(guān)注這些類型的破壞，以及如何防止它們發(fā)生。

不同的域名處理方法

與很多熟人一樣，我們一直對域名業(yè)務(wù)的現(xiàn)狀感到沮喪。而且，這也并不是我們第一次在這里演示了。

我們已經(jīng)提供一項注冊商服務(wù)——Cloudflare Registrar——這項服務(wù)對Cloudflare的所有客戶開放。我們讓它超級易于上手，并與Cloudflare相集成，我們在定價上沒有任何服務(wù)費——我們承諾，我們永遠不會向您收取任何高于每TLD批發(fā)價的費用。我們的目標(biāo)是：消除“誘餌推銷”和“無止境增銷”（據(jù)我們的客戶所言，這是域名行業(yè)最常見的兩個術(shù)語）。相反，這是一個您會喜歡的注冊商。顯然，這就是Cloudflare，因此，我們也將一些最佳安全性實踐納入其運行方式中。

對于我們要求最為苛刻的企業(yè)客戶，我們也提供了自定義域名保護。每個使用自定義域名保護的客戶端都定義了其的更新記錄的流程。正如我們介紹它時所說：“如果使用自定義域名保護的客戶不希望我們改變其域名記錄，那么除非有六個不同的個人在同一個周二（滿月之日），通過一組預(yù)定義的電話號碼向我們致電，各自讀出多位獨有的密碼，并告訴我們他們最喜歡的冰淇淋口味，我們才會執(zhí)行這一要求。說到做到?！?/p>

沒錯，它很安全的，但并非擴展性最強的解決方案。因此，我們將對這項服務(wù)收取額外費用。然而，當(dāng)我們與我們的企業(yè)客戶交談時，我們需要一種介于兩者之間的東西——一個黃金解決方案，可以這么說，這種解決方案能夠提供種高水平的保護，但并非傳統(tǒng)保護。

進入Cloudflare域名保護。

“三道鎖”法

我們提供的域名保護服務(wù)對域名進行保護的方法非常簡單：識別各種攻擊向量，并設(shè)計出分層的安全模式來應(yīng)對每種潛在的威脅。

在我們研究每個安全層之前，理解注冊商和注冊機構(gòu)之間的關(guān)系以及它們?nèi)绾斡绊懹蛎踩浅Ｖ匾?。您可以把注冊機構(gòu)看作是域名的批發(fā)商。他們會管理頂級域名(TLD)內(nèi)所有注冊域名的中央數(shù)據(jù)庫。他們也負(fù)責(zé)決定批發(fā)價格和制定TLD的具體政策。

另一方面，注冊商是域名的零售商，負(fù)責(zé)將域名銷售給終端用戶。每次注冊、轉(zhuǎn)讓或續(xù)簽時，注冊商將向注冊機構(gòu)支付一筆交易費。

注冊商和注冊機構(gòu)在所謂的“共享注冊系統(tǒng)(SRS)”中共同管理域名注冊。注冊商使用一種稱為可擴展配置協(xié)議(EPP)的IETF標(biāo)準(zhǔn)與注冊機構(gòu)進行通信。EPP標(biāo)準(zhǔn)中包含了一組域名狀態(tài)，注冊商和注冊機構(gòu)可以應(yīng)用這些狀態(tài)來鎖定域名，防止更新、刪除和轉(zhuǎn)讓（給另一個注冊商）。

注冊商能夠使用“客戶端”鎖，通常稱為“注冊商鎖”。注冊機構(gòu)能夠使用“服務(wù)器”鎖，也稱為“注冊機構(gòu)鎖”。要重點注意的是，注冊機構(gòu)鎖將始終取代注冊商鎖。這意味著，在注冊商鎖被移除之前，無法移除注冊機構(gòu)鎖。

現(xiàn)在，讓我們仔細看看我們的計劃方法。

我們首先將EPP注冊商鎖應(yīng)用到域名中。這些是EPP客戶端鎖，用于防止域名更新、轉(zhuǎn)讓和刪除。

然后，我們會應(yīng)用一個內(nèi)部鎖，以防止任何針對該域名API調(diào)用的處理。該鎖能夠在EPP之外發(fā)揮作用，其旨在當(dāng)EPP鎖被移除的情況下以及在EPP之外執(zhí)行操作的情況下，對域名進行保護。例如，在一些頂級域名(TLDs)中，域名聯(lián)系人數(shù)據(jù)只存儲在注冊商處，永遠不會傳輸?shù)阶詸C構(gòu)。在這些情況下，擁有一個非EPP鎖定機制非常重要。

應(yīng)用注冊鎖后，我們將使用一個特殊的非基于EPP的過程請求應(yīng)用注冊機構(gòu)鎖。需要注意的是，并非所有注冊機構(gòu)都提供注冊機構(gòu)鎖服務(wù)。在某些情況下，我們可能無法采用最后這項鎖定功能。

最后，創(chuàng)建一個安全的驗證過程，以處理未來解鎖或修改域名的任何請求。

包括開箱即用

我們的目標(biāo)是使Cloudflare域名保護成現(xiàn)有擴展性最強的安全域名解決方案。我們希望確保對客戶最重要的域名—關(guān)鍵任務(wù)、高價值域名—能夠獲得安全保護。

明確包含在Cloudflare Enterprise合同下的符合條件的域名，并可以包含在我們的域名保護注冊服務(wù)中，而無需額外費用。而且，正如我們前面所提到的，這也將涵蓋注冊和更新費用—因此，保護您的域名將會減少您的擔(dān)憂，也無需再擔(dān)心費用問題。

您愿意為您的域名采用Cloudflare域名保護嗎？請聯(lián)系您的客戶經(jīng)理，告知您的興趣。更多細節(jié)將在2022年第一季度初公布。