Introducing Cloudflare Domain Protection — Making Domain Compromise a Thing of the Past

ทุกอย่างบนเว็บเริ่มต้นด้วยชื่อโดเมน นี่เป็นพื้นฐานในการเริ่มต้นการดำเนินการทางออนไลน์ของบริษัท หากพื้นฐานดังกล่าวมีช่องโหว่ อาจทำให้มีความเสียหายขนาดใหญ่

ระหว่างช่วง CIO Week เราได้ตรวจสอบความเสี่ยงที่ร้ายแรงที่สุดทั้งหมดที่บริษัทยังประสบทางออนไลน์ และวิธีที่เราสามารถรับมือได้ ช่องโหว่ของชื่อโดเมนยังเป็นหนึ่งในสิ่งที่สำคัญที่สุด มีหลายวิธีที่โดเมนอาจถูกลอกเลียนหรือมีช่องโหว่ ไปจนถึงการสูญเสียที่ร้ายแรงที่สุดต่อการจัดการชื่อโดเมนของคุณ

คุณไม่ต้องการให้เรื่องนี้เกิดขึ้นกับคุณ ลองจินตนาการว่าคุณไม่ได้สูญเสียเพียงเว็บไซต์ แต่รวมถึงอีเมล ระบบต่างๆ ที่ผูกกับโดเมนบริษัทของคุณทั้งหมด และสิ่งอื่นๆ ที่คุณอาจไม่ได้ตระหนักถึง ดังนั้นการที่มีผู้โจมตีสร้างช่องโหว่ให้กับโดเมนบริษัทของคุณจึงเป็นเรื่องที่เลวร้ายสำหรับทุกๆ CIO และหากคุณเป็น CIO แต่นี่ไม่ใช่สิ่งที่คุณกังวลอยู่ โปรดทราบว่าจริงๆ แล้วเราได้ทำการสำรวจตัวแทนผู้จดทะเบียนโดเมนอื่นๆ ทั้งหมดแล้วและรู้สึกไม่พึงพอใจกับการดำเนินการด้านความปลอดภัย เราจึงต้องการที่จะเปิดตัวบริการของเราเอง

ปัจจุบันเมื่อเรามีบริการดังกล่าวแล้ว เราต้องการทำให้ช่องโหว่ของโดเมนเป็นสิ่งที่ไม่ควรเกิดขึ้นอีกต่อไป ด้วยเหตุผลนั้น เรารู้สึกตื่นเต้นที่จะประกาศว่าเรากำลังปรับเพิ่มระดับการป้องกันบันทึกโดเมนใหม่แก่ลูกค้าองค์กรทั้งหมดของเรา สิ่งนั้นคือ การป้องกันโดเมนของ Cloudflare และเราได้รวมไว้ให้แล้วสำหรับลูกค้าองค์กรของ Cloudflare ทั้งหมดโดยไม่เสียค่าใช้จ่าย สำหรับลูกค้าที่มีโดเมนที่รักษาความปลอดภัยโดยการป้องกันโดเมนของ Cloudflare เราจะยกเลิกการเรียกเก็บค่าธรรมเนียมการลงทะเบียนและการต่ออายุสำหรับโดเมนเหล่านั้นทั้งหมด การป้องกันโดเมนของ Cloudflare จะพร้อมให้บริการในไตรมาสที่ 1 — คุณสามารถพูดคุยกับผู้จัดการบัญชีของคุณได้เลยตอนนี้เพื่อรับสิทธิประโยชน์จากข้อเสนอ

เป็นไปไม่ได้เลยที่จะสร้างโซลูชันตัวแทนผู้จดทะเบียนโดเมนที่ปลอดภัยได้อย่างสมบูรณ์โดยไม่เข้าใจว่าโดเมนมีช่องโหว่ได้อย่างไร ก่อนที่เราจะลงรายละเอียดเกี่ยวกับข้อเสนอของเรา เราต้องการพาคุณไปดูว่าโดเมนเกิดช่องโหว่ได้อย่างไร

การขโมยคีย์เพื่อเข้าสู่พื้นที่ส่วนตัวของคุณ

ช่องโหว่ของโดเมนที่เรามักได้ยินมี 3 ประเภท มาดูแต่ละประเภทกัน

การโอนย้ายโดเมน

ช่องโหว่หนึ่งที่ร้ายแรงที่สุดคือการโอนย้ายโดเมนที่ไม่ได้รับอนุญาตไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง ขณะที่ในหลายปีมานี้การดำเนินงานร่วมกับตัวแทนผู้จดทะเบียนได้พัฒนาอย่างก้าวกระโดด การกู้คืนโดเมนที่ถูกขโมยก็ยังคงอาจเป็นเรื่องที่แก้ไขได้ยากอยู่ โดยอาจใช้เวลาหลายสัปดาห์ หรือจนกระทั่งหลายเดือน หรืออาจต้องมีการดำเนินการทางกฎหมาย ในกรณีที่โชคดี โดเมนอาจได้รับการกู้คืนในไม่กี่วัน ในกรณีที่เลวร้ายที่สุด คุณอาจไม่ได้รับโดเมนคืนอีกเลย

ความสามารถในการโอนย้ายโดเมนระหว่างตัวแทนผู้จดทะเบียนอย่างง่ายดายจึงเป็นเรื่องที่สำคัญมาก และเป็นส่วนหนึ่งที่ทำให้ตลาดการจดทะเบียนโดเมนยังสามารถแข่งขันกันได้ อย่างไรก็ตาม สิ่งนี้ยังอาจนำไปสู่ความเสี่ยง ขั้นตอนการโอนย้ายที่ใช้โดยตัวแทนผู้จดทะเบียนส่วนใหญ่นั้นเกี่ยวข้องกับการใช้โทเค็นเพื่ออนุญาตให้มีการโอนย้าย ก่อนการดำเนินการที่แพร่หลายในการแก้ไขข้อมูล WHOIS ที่เข้าถึงได้อย่างเป็นสาธารณะ ขั้นตอนการอนุมัติอีเมลก็ถูกใช้อยู่ก่อนด้วยเช่นกัน ในการขโมยโดเมน ผู้ประสงค์ร้ายเพียงต้องมีสิทธิ์การเข้าถึงรหัสอนุญาตและสามารถที่จะนำการล็อกโดเมนออกได้

การโอนย้ายที่ไม่ได้รับอนุญาตมักเริ่มต้นจากบัญชีที่มีช่องโหว่ ในหลายๆ กรณี ลูกค้าอาจมีข้อมูลบัญชีที่มีช่องโหว่ ในกรณีอื่นๆ ผู้โจมตีใช้แผนวิศวกรรมสังคมที่ซับซ้อนในการเข้าควบคุมโดเมน โดยมักจะเคลื่อนย้ายโดเมนระหว่างบัญชีตัวแทนผู้จดทะเบียนก่อนโอนย้ายโดเมนไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง

การอัปเดตเนมเซิร์ฟเวอร์

การอัปเดตเนมเซิร์ฟเวอร์เป็นอีกหนึ่งวิธีที่อาจทำให้โดเมนมีช่องโหว่ ขณะที่โดยปกติแล้วการโอนย้ายโดเมนจะเป็นการดำเนินการเพื่อเข้าควบคุมโดเมนอย่างถาวร แต่การอัปเดตเนมเซิร์ฟเวอร์เป็นการดำเนินการอย่างชั่วคราวมากกว่า อย่างไรก็ตาม แม้ว่าโดยปกติแล้วการอัปเดตสามารถเรียกคืนได้อย่างรวดเร็ว การลอกเลียนโดเมนประเภทเหล่านี้อาจเป็นเรื่องที่สร้างความเสียหายได้เป็นอย่างมาก ซึ่งเป็นการเปิดโอกาสให้มีการขโมยข้อมูลลูกค้าและขัดขวางการรับส่งข้อมูลอีเมล แต่เหนือสิ่งอื่นใด สิ่งเหล่านี้อาจทำให้องค์กรเผชิญกับความเสียหายด้านชื่อเสียงได้อย่างร้ายแรง

การระงับโดเมนและการลบโดเมน

การระงับโดเมนและการลบโดเมนส่วนมากไม่ได้เป็นผลมาจากกิจกรรมที่เป็นอันตราย แต่มักเกิดขึ้นผ่านความผิดพลาดของมนุษย์หรือความล้มเหลวของระบบ ในหลายๆ กรณี ลูกค้าอาจลืมต่ออายุโดเมนหรือไม่ได้อัปเดตวิธีการชำระเงินของพวกเขา ในบางกรณี ตัวแทนผู้จดทะเบียนเป็นผู้ระงับหรือลบโดเมนโดยไม่ได้ตั้งใจ

ไม่ว่าจะด้วยเหตุผลใดก็ตาม ผลลัพธ์ก็คือเราไม่สามารถแก้ไขโดเมนได้อีกแล้ว

ในขณะที่วิธีเหล่านี้ไม่ได้เป็นเพียงวิธีเดียวที่โดเมนอาจมีช่องโหว่ แต่เป็นวิธีหนึ่งที่สร้างความเสียหายได้มากที่สุด เราได้ทุ่มเทเวลาไปกับการมุ่งเน้นที่ช่องโหว่ประเภทเหล่านี้และวิธีป้องกันไม่ให้เกิดช่องโหว่ดังกล่าว

วิธีอื่นในการจัดการโดเมน

เหมือนกับหลายๆ คน เราเองก็รู้สึกไม่พอใจสถานการณ์ของธุรกิจโดเมนที่มีมาอย่างยาวนาน และดังนั้น สิ่งนี้จึงไม่ได้บริการแรกของเราที่นี่

เรามีบริการเกี่ยวกับตัวแทนผู้จดทะเบียนอยู่แล้ว ซึ่งเรียกว่า — Cloudflare Registrar — ซึ่งเปิดให้บริการกับลูกค้า Cloudflare ทุกราย เราทำให้การเริ่มต้นใช้บริการนี้และการผสานรวมกับ Cloudflare เป็นเรื่องที่แสนง่ายดาย และไม่มีการบวกราคาเพิ่ม — เรา สัญญา ว่าจะไม่เรียกเก็บค่าบริการคุณมากกว่าราคาขายส่งที่แต่ละ TLD เรียกเก็บ วัตถุประสงค์: ไม่มี "การใช้ราคาเพื่อล่อลวง" และ “การเพิ่มยอดขายที่ไม่มีที่สิ้นสุด” (จากคำบอกเล่าของลูกค้า สองคำนี้เป็นคำที่เกี่ยวข้องกับอุตสาหกรรมโดเมนที่ได้ยินมากที่สุด) คุณจะได้พบกับตัวแทนผู้จดทะเบียนที่คุณประทับใจ และแน่นอนว่าก็คือ Cloudflare เรามีคำแนะนำการดำเนินการเกี่ยวกับแนวทางปฏิบัติแนะนำด้านความปลอดภัยที่ดีที่สุด จนถึงวิธีการปฏิบัติงานด้วยเช่นกัน

สำหรับลูกค้าองค์กรที่มีความต้องการสูงเป็นพิเศษ เรายังมี การป้องกันโดเมนแบบกำหนดเอง โดยที่ไคลเอนต์ทั้งหมดจะใช้การป้องกันโดเมนแบบกำหนดเองเพื่อกำหนดขั้นตอนของตนเองในการอัปเดตบันทึก ตามที่เรากล่าวไว้เมื่อตอนเปิดตัว: “หากไคลเอนต์การป้องกันโดเมนแบบกำหนดเองไม่ต้องการให้เราเปลี่ยนแปลงบันทึกโดเมน เว้นเสียแต่ว่ามีบุคคลจำนวนหกรายโทรติดต่อเรา โดยเรียงลำดับจากชุดหมายเลขโทรศัพท์ที่กำหนดไว้ล่วงหน้า รหัสผ่านการอ่านจำนวนมากที่ไม่ซ้ำกันแต่ละรหัส และแจ้งรสชาติไอศกรีมโปรดในวันอังคารซึ่งเป็นวันพระจันทร์เต็มดวงให้เราทราบ เราจึงจะดำเนินการดังกล่าวให้ เชื่อเราได้เลย

ใช่ เป็นบริการที่ปลอดภัย แต่ก็ไม่ได้เป็นโซลูชันที่ปรับขนาดได้มากที่สุด ดังนั้น เราจะมีการเก็บค่าบริการเสริม อย่างไรก็ตาม ตามที่เราได้พูดคุยกับลูกค้าองค์กร เรายังพบว่ามีความต้องการบางอย่างอยู่ — นั่นก็คือโซลูชันของ Goldilocks ที่นำเสนอการป้องกันระดับสูงโดยไม่มีการปรับแต่งมากเกินไป

เข้าสู่การป้องกันโดเมนของ Cloudflare

วิธีการแบบ Triple-Locked

วิธีการรักษาความปลอดภัยโดเมนด้วยการป้องกันโดเมนของ Cloudflare ค่อนข้างตรงไปตรงมา โดยเป็นการระบุพาหะการโจมตีที่หลากหลาย และออกแบบโหมดความปลอดภัยที่มีเลเยอร์เพื่อจัดการแต่ละภัยคุกคามที่อาจเกิดขึ้น

ก่อนที่เราจะพูดถึงเลเยอร์ความปลอดภัยแต่ละเลเยอร์ เป็นเรื่องสำคัญที่จะทำความเข้าใจความสัมพันธ์ระหว่างตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียน และผลกระทบต่อความปลอดภัยของโดเมน คุณสามารถมองว่าผู้เก็บข้อมูลทะเบียนเป็นผู้ค้าส่งชื่อโดเมน พวกเขาจะจัดการฐานข้อมูลกลางของโดเมนที่ลงทะเบียนทั้งหมดภายในโดเมนระดับสูง (TLD) และยังรับผิดชอบต่อการกำหนดราคาค้าส่งและสร้างนโยบายเฉพาะสำหรับ TLD

ในทางกลับกัน ตัวแทนผู้จดทะเบียนเป็นผู้ค้าปลีกของโดเมนและรับผิดชอบต่อการขายโดเมนไปยังผู้ใช้งานปลายทาง สำหรับแต่ละการจดทะเบียน การโอนย้าย หรือการต่ออายุ ตัวแทนผู้จดทะเบียนจะชำระค่าธรรมเนียมธุรกรรมให้แก่ผู้เก็บข้อมูลทะเบียน

ตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียนจะร่วมกันจัดการการลงทะเบียนโดเมนโดยเรียกว่า ระบบการลงทะเบียนร่วม (SRS) ตัวแทนผู้จดทะเบียนจะติดต่อกับผู้เก็บข้อมูลทะเบียนโดยใช้มาตรฐาน IETF ที่เรียกว่า โปรโตคอลการลงทะเบียนหน่วยข้อมูล (EPP) การผสานรวมกับมาตรฐาน EPP เป็นชุดสถานะโดเมนที่สามารถใช้ได้โดยตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียนในการล็อกโดเมนและป้องกันการอัปเดต การลบ และการโอนย้าย (ไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง)

ตัวแทนผู้จดทะเบียนสามารถใช้การล็อก "ไคลเอนต์" หรือที่หมายถึงการล็อกตัวแทนผู้จดทะเบียน ผู้เก็บข้อมูลทะเบียนสามารถใช้การล็อก "เซิร์ฟเวอร์" หรือที่รู้จักว่าเป็นการล็อกผู้เก็บข้อมูลทะเบียน ข้อสำคัญที่ควรทราบคือการล็อกผู้เก็บข้อมูลทะเบียนมักจะมีผลแทนที่การล็อกตัวแทนผู้จดทะเบียน สิ่งนี้หมายความว่าจะไม่สามารถลบการล็อกตัวแทนผู้จดทะเบียนได้จนกว่าการล็อกผู้เก็บข้อมูลทะเบียนจะถูกลบ

ตอนนี้เรามาลงรายละเอียดเกี่ยวกับวิธีการที่เราวางแผนไว้กันเถอะ

เราเริ่มจากการใช้ การล็อกตัวแทนผู้จดทะเบียน แบบ EPP กับชื่อโดเมน ซึ่งเป็นการล็อกไคลเอนต์ EPP ที่ป้องกันการอัปเดต การโอนย้าย และการลบโดเมน

จากนั้นเราใช้การล็อกภายในที่ป้องกันไม่ให้ API เรียกใช้การประมวลผลไปยังโดเมนนั้น การล็อกนี้ทำงานอยู่นอก EPP และออกแบบมาเพื่อป้องกันโดเมนโดยควรมีการลบการล็อก EPP ออก เช่นเดียวกับสถานการณ์นี้ที่ต้องมีการดำเนินการนอก EPP เช่น ในบาง TLD ข้อมูลติดต่อโดเมนจะถูกจัดเก็บที่ตัวแทนผู้จดทะเบียนเท่านั้น และจะไม่ถูกส่งต่อไปยังผู้เก็บข้อมูลทะเบียน ในกรณีเหล่านี้ เป็นเรื่องสำคัญที่จะมีกลไกการล็อกที่ไม่ใช่ EPP

หลังจากใช้การล็อกตัวแทนผู้จดทะเบียนแล้ว เราจะร้องขอให้ผู้เก็บข้อมูลทะเบียนใช้การล็อกผู้เก็บข้อมูลทะเบียน โดยใช้กระบวนการพิเศษที่ไม่ใช่ EPP ข้อสำคัญที่ควรทราบคือไม่ใช่ผู้เก็บข้อมูลทะเบียนทั้งหมดที่จะเสนอบริการการล็อกผู้เก็บข้อมูลทะเบียน ในบางกรณี เราอาจไม่สามารถใช้คุณลักษณะการล็อกสุดท้ายนี้ได้

สุดท้าย เราได้สร้างกระบวนการยืนยันที่ปลอดภัยเพื่อรับมือกับคำขอใดๆ ในอนาคตที่ต้องการปลดล็อกหรือแก้ไขโดเมน

พร้อมใช้งานทันที

วัตถุประสงค์ของเราคือเพื่อทำให้การป้องกันโดเมนของ Cloudflare เป็นโซลูชันที่ปลอดภัยและสามารถปรับขนาดได้สำหรับโดเมนที่พร้อมใช้งาน เราต้องการตรวจสอบให้แน่ใจว่าโดเมนที่สำคัญที่สุดกับลูกค้า — โดเมนที่มีมูลค่าสูงและสำคัญกับองค์กร— ได้รับการป้องกันไว้อย่างปลอดภัย

โดเมนที่มีสิทธิ์ใช้งานที่รวมไว้ภายใต้สัญญาองค์กรของ Cloudflare อาจถูกรวมไว้ในบริการลงทะเบียนการป้องกันโดเมนของเราโดยไม่เสียค่าใช้จ่ายเพิ่มเติม และตามที่เราได้กล่าวไว้ก่อนหน้านี้ สิ่งนี้ยังครอบคลุมค่าธรรมเนียมการลงทะเบียนและการต่ออายุ — ดังนั้นนอกจากคุณจะไม่ต้องกังวลกับการรักษาความปลอดภัยโดเมนของคุณแล้ว คุณยังไม่ต้องกังวลกับการจ่ายชำระเพื่อใช้บริการด้วยเช่นกัน

หากสนใจใช้การป้องกันโดเมนของ Cloudflare กับชื่อโดเมนของคุณ โปรดติดต่อผู้จัดการบัญชีของคุณและแจ้งให้พวกเขาทราบว่าคุณสนใจ จะมีการเผยแพร่รายละเอียดเพิ่มเติมในต้นไตรมาสที่ 1 ปี 2022