Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

ขอแนะนำการป้องกันโดเมนของ Cloudflare — ที่ทำให้ช่องโหว่ของโดเมนเป็นเพียงอดีต

Loading...

Introducing Cloudflare Domain Protection — Making Domain Compromise a Thing of the Past

ทุกอย่างบนเว็บเริ่มต้นด้วยชื่อโดเมน นี่เป็นพื้นฐานในการเริ่มต้นการดำเนินการทางออนไลน์ของบริษัท หากพื้นฐานดังกล่าวมีช่องโหว่ อาจทำให้มีความเสียหายขนาดใหญ่

ระหว่างช่วง CIO Week เราได้ตรวจสอบความเสี่ยงที่ร้ายแรงที่สุดทั้งหมดที่บริษัทยังประสบทางออนไลน์ และวิธีที่เราสามารถรับมือได้ ช่องโหว่ของชื่อโดเมนยังเป็นหนึ่งในสิ่งที่สำคัญที่สุด มีหลายวิธีที่โดเมนอาจถูกลอกเลียนหรือมีช่องโหว่ ไปจนถึงการสูญเสียที่ร้ายแรงที่สุดต่อการจัดการชื่อโดเมนของคุณ

คุณไม่ต้องการให้เรื่องนี้เกิดขึ้นกับคุณ ลองจินตนาการว่าคุณไม่ได้สูญเสียเพียงเว็บไซต์ แต่รวมถึงอีเมล ระบบต่างๆ ที่ผูกกับโดเมนบริษัทของคุณทั้งหมด และสิ่งอื่นๆ ที่คุณอาจไม่ได้ตระหนักถึง ดังนั้นการที่มีผู้โจมตีสร้างช่องโหว่ให้กับโดเมนบริษัทของคุณจึงเป็นเรื่องที่เลวร้ายสำหรับทุกๆ CIO และหากคุณเป็น CIO แต่นี่ไม่ใช่สิ่งที่คุณกังวลอยู่ โปรดทราบว่าจริงๆ แล้วเราได้ทำการสำรวจตัวแทนผู้จดทะเบียนโดเมนอื่นๆ ทั้งหมดแล้วและรู้สึกไม่พึงพอใจกับการดำเนินการด้านความปลอดภัย เราจึงต้องการที่จะเปิดตัวบริการของเราเอง

ปัจจุบันเมื่อเรามีบริการดังกล่าวแล้ว เราต้องการทำให้ช่องโหว่ของโดเมนเป็นสิ่งที่ไม่ควรเกิดขึ้นอีกต่อไป ด้วยเหตุผลนั้น เรารู้สึกตื่นเต้นที่จะประกาศว่าเรากำลังปรับเพิ่มระดับการป้องกันบันทึกโดเมนใหม่แก่ลูกค้าองค์กรทั้งหมดของเรา สิ่งนั้นคือ การป้องกันโดเมนของ Cloudflare และเราได้รวมไว้ให้แล้วสำหรับลูกค้าองค์กรของ Cloudflare ทั้งหมดโดยไม่เสียค่าใช้จ่าย สำหรับลูกค้าที่มีโดเมนที่รักษาความปลอดภัยโดยการป้องกันโดเมนของ Cloudflare เราจะยกเลิกการเรียกเก็บค่าธรรมเนียมการลงทะเบียนและการต่ออายุสำหรับโดเมนเหล่านั้นทั้งหมด การป้องกันโดเมนของ Cloudflare จะพร้อมให้บริการในไตรมาสที่ 1 — คุณสามารถพูดคุยกับผู้จัดการบัญชีของคุณได้เลยตอนนี้เพื่อรับสิทธิประโยชน์จากข้อเสนอ

เป็นไปไม่ได้เลยที่จะสร้างโซลูชันตัวแทนผู้จดทะเบียนโดเมนที่ปลอดภัยได้อย่างสมบูรณ์โดยไม่เข้าใจว่าโดเมนมีช่องโหว่ได้อย่างไร ก่อนที่เราจะลงรายละเอียดเกี่ยวกับข้อเสนอของเรา เราต้องการพาคุณไปดูว่าโดเมนเกิดช่องโหว่ได้อย่างไร

การขโมยคีย์เพื่อเข้าสู่พื้นที่ส่วนตัวของคุณ

ช่องโหว่ของโดเมนที่เรามักได้ยินมี 3 ประเภท มาดูแต่ละประเภทกัน

การโอนย้ายโดเมน

ช่องโหว่หนึ่งที่ร้ายแรงที่สุดคือการโอนย้ายโดเมนที่ไม่ได้รับอนุญาตไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง ขณะที่ในหลายปีมานี้การดำเนินงานร่วมกับตัวแทนผู้จดทะเบียนได้พัฒนาอย่างก้าวกระโดด การกู้คืนโดเมนที่ถูกขโมยก็ยังคงอาจเป็นเรื่องที่แก้ไขได้ยากอยู่ โดยอาจใช้เวลาหลายสัปดาห์ หรือจนกระทั่งหลายเดือน หรืออาจต้องมีการดำเนินการทางกฎหมาย ในกรณีที่โชคดี โดเมนอาจได้รับการกู้คืนในไม่กี่วัน ในกรณีที่เลวร้ายที่สุด คุณอาจไม่ได้รับโดเมนคืนอีกเลย

ความสามารถในการโอนย้ายโดเมนระหว่างตัวแทนผู้จดทะเบียนอย่างง่ายดายจึงเป็นเรื่องที่สำคัญมาก และเป็นส่วนหนึ่งที่ทำให้ตลาดการจดทะเบียนโดเมนยังสามารถแข่งขันกันได้ อย่างไรก็ตาม สิ่งนี้ยังอาจนำไปสู่ความเสี่ยง ขั้นตอนการโอนย้ายที่ใช้โดยตัวแทนผู้จดทะเบียนส่วนใหญ่นั้นเกี่ยวข้องกับการใช้โทเค็นเพื่ออนุญาตให้มีการโอนย้าย ก่อนการดำเนินการที่แพร่หลายในการแก้ไขข้อมูล WHOIS ที่เข้าถึงได้อย่างเป็นสาธารณะ ขั้นตอนการอนุมัติอีเมลก็ถูกใช้อยู่ก่อนด้วยเช่นกัน ในการขโมยโดเมน ผู้ประสงค์ร้ายเพียงต้องมีสิทธิ์การเข้าถึงรหัสอนุญาตและสามารถที่จะนำการล็อกโดเมนออกได้

การโอนย้ายที่ไม่ได้รับอนุญาตมักเริ่มต้นจากบัญชีที่มีช่องโหว่ ในหลายๆ กรณี ลูกค้าอาจมีข้อมูลบัญชีที่มีช่องโหว่ ในกรณีอื่นๆ ผู้โจมตีใช้แผนวิศวกรรมสังคมที่ซับซ้อนในการเข้าควบคุมโดเมน โดยมักจะเคลื่อนย้ายโดเมนระหว่างบัญชีตัวแทนผู้จดทะเบียนก่อนโอนย้ายโดเมนไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง

การอัปเดตเนมเซิร์ฟเวอร์

การอัปเดตเนมเซิร์ฟเวอร์เป็นอีกหนึ่งวิธีที่อาจทำให้โดเมนมีช่องโหว่ ขณะที่โดยปกติแล้วการโอนย้ายโดเมนจะเป็นการดำเนินการเพื่อเข้าควบคุมโดเมนอย่างถาวร แต่การอัปเดตเนมเซิร์ฟเวอร์เป็นการดำเนินการอย่างชั่วคราวมากกว่า อย่างไรก็ตาม แม้ว่าโดยปกติแล้วการอัปเดตสามารถเรียกคืนได้อย่างรวดเร็ว การลอกเลียนโดเมนประเภทเหล่านี้อาจเป็นเรื่องที่สร้างความเสียหายได้เป็นอย่างมาก ซึ่งเป็นการเปิดโอกาสให้มีการขโมยข้อมูลลูกค้าและขัดขวางการรับส่งข้อมูลอีเมล แต่เหนือสิ่งอื่นใด สิ่งเหล่านี้อาจทำให้องค์กรเผชิญกับความเสียหายด้านชื่อเสียงได้อย่างร้ายแรง

การระงับโดเมนและการลบโดเมน

การระงับโดเมนและการลบโดเมนส่วนมากไม่ได้เป็นผลมาจากกิจกรรมที่เป็นอันตราย แต่มักเกิดขึ้นผ่านความผิดพลาดของมนุษย์หรือความล้มเหลวของระบบ ในหลายๆ กรณี ลูกค้าอาจลืมต่ออายุโดเมนหรือไม่ได้อัปเดตวิธีการชำระเงินของพวกเขา ในบางกรณี ตัวแทนผู้จดทะเบียนเป็นผู้ระงับหรือลบโดเมนโดยไม่ได้ตั้งใจ

ไม่ว่าจะด้วยเหตุผลใดก็ตาม ผลลัพธ์ก็คือเราไม่สามารถแก้ไขโดเมนได้อีกแล้ว

ในขณะที่วิธีเหล่านี้ไม่ได้เป็นเพียงวิธีเดียวที่โดเมนอาจมีช่องโหว่ แต่เป็นวิธีหนึ่งที่สร้างความเสียหายได้มากที่สุด เราได้ทุ่มเทเวลาไปกับการมุ่งเน้นที่ช่องโหว่ประเภทเหล่านี้และวิธีป้องกันไม่ให้เกิดช่องโหว่ดังกล่าว

วิธีอื่นในการจัดการโดเมน

เหมือนกับหลายๆ คน เราเองก็รู้สึกไม่พอใจสถานการณ์ของธุรกิจโดเมนที่มีมาอย่างยาวนาน และดังนั้น สิ่งนี้จึงไม่ได้บริการแรกของเราที่นี่

เรามีบริการเกี่ยวกับตัวแทนผู้จดทะเบียนอยู่แล้ว ซึ่งเรียกว่า — Cloudflare Registrar — ซึ่งเปิดให้บริการกับลูกค้า Cloudflare ทุกราย เราทำให้การเริ่มต้นใช้บริการนี้และการผสานรวมกับ Cloudflare เป็นเรื่องที่แสนง่ายดาย และไม่มีการบวกราคาเพิ่ม — เรา สัญญา ว่าจะไม่เรียกเก็บค่าบริการคุณมากกว่าราคาขายส่งที่แต่ละ TLD เรียกเก็บ วัตถุประสงค์: ไม่มี "การใช้ราคาเพื่อล่อลวง" และ “การเพิ่มยอดขายที่ไม่มีที่สิ้นสุด” (จากคำบอกเล่าของลูกค้า สองคำนี้เป็นคำที่เกี่ยวข้องกับอุตสาหกรรมโดเมนที่ได้ยินมากที่สุด) คุณจะได้พบกับตัวแทนผู้จดทะเบียนที่คุณประทับใจ และแน่นอนว่าก็คือ Cloudflare เรามีคำแนะนำการดำเนินการเกี่ยวกับแนวทางปฏิบัติแนะนำด้านความปลอดภัยที่ดีที่สุด จนถึงวิธีการปฏิบัติงานด้วยเช่นกัน

สำหรับลูกค้าองค์กรที่มีความต้องการสูงเป็นพิเศษ เรายังมี การป้องกันโดเมนแบบกำหนดเอง โดยที่ไคลเอนต์ทั้งหมดจะใช้การป้องกันโดเมนแบบกำหนดเองเพื่อกำหนดขั้นตอนของตนเองในการอัปเดตบันทึก ตามที่เรากล่าวไว้เมื่อตอนเปิดตัว: “หากไคลเอนต์การป้องกันโดเมนแบบกำหนดเองไม่ต้องการให้เราเปลี่ยนแปลงบันทึกโดเมน เว้นเสียแต่ว่ามีบุคคลจำนวนหกรายโทรติดต่อเรา โดยเรียงลำดับจากชุดหมายเลขโทรศัพท์ที่กำหนดไว้ล่วงหน้า รหัสผ่านการอ่านจำนวนมากที่ไม่ซ้ำกันแต่ละรหัส และแจ้งรสชาติไอศกรีมโปรดในวันอังคารซึ่งเป็นวันพระจันทร์เต็มดวงให้เราทราบ เราจึงจะดำเนินการดังกล่าวให้ เชื่อเราได้เลย

ใช่ เป็นบริการที่ปลอดภัย แต่ก็ไม่ได้เป็นโซลูชันที่ปรับขนาดได้มากที่สุด ดังนั้น เราจะมีการเก็บค่าบริการเสริม อย่างไรก็ตาม ตามที่เราได้พูดคุยกับลูกค้าองค์กร เรายังพบว่ามีความต้องการบางอย่างอยู่ — นั่นก็คือโซลูชันของ Goldilocks ที่นำเสนอการป้องกันระดับสูงโดยไม่มีการปรับแต่งมากเกินไป

เข้าสู่การป้องกันโดเมนของ Cloudflare

วิธีการแบบ Triple-Locked

วิธีการรักษาความปลอดภัยโดเมนด้วยการป้องกันโดเมนของ Cloudflare ค่อนข้างตรงไปตรงมา โดยเป็นการระบุพาหะการโจมตีที่หลากหลาย และออกแบบโหมดความปลอดภัยที่มีเลเยอร์เพื่อจัดการแต่ละภัยคุกคามที่อาจเกิดขึ้น

ก่อนที่เราจะพูดถึงเลเยอร์ความปลอดภัยแต่ละเลเยอร์ เป็นเรื่องสำคัญที่จะทำความเข้าใจความสัมพันธ์ระหว่างตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียน และผลกระทบต่อความปลอดภัยของโดเมน คุณสามารถมองว่าผู้เก็บข้อมูลทะเบียนเป็นผู้ค้าส่งชื่อโดเมน พวกเขาจะจัดการฐานข้อมูลกลางของโดเมนที่ลงทะเบียนทั้งหมดภายในโดเมนระดับสูง (TLD) และยังรับผิดชอบต่อการกำหนดราคาค้าส่งและสร้างนโยบายเฉพาะสำหรับ TLD

ในทางกลับกัน ตัวแทนผู้จดทะเบียนเป็นผู้ค้าปลีกของโดเมนและรับผิดชอบต่อการขายโดเมนไปยังผู้ใช้งานปลายทาง สำหรับแต่ละการจดทะเบียน การโอนย้าย หรือการต่ออายุ ตัวแทนผู้จดทะเบียนจะชำระค่าธรรมเนียมธุรกรรมให้แก่ผู้เก็บข้อมูลทะเบียน

ตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียนจะร่วมกันจัดการการลงทะเบียนโดเมนโดยเรียกว่า ระบบการลงทะเบียนร่วม (SRS) ตัวแทนผู้จดทะเบียนจะติดต่อกับผู้เก็บข้อมูลทะเบียนโดยใช้มาตรฐาน IETF ที่เรียกว่า โปรโตคอลการลงทะเบียนหน่วยข้อมูล (EPP) การผสานรวมกับมาตรฐาน EPP เป็นชุดสถานะโดเมนที่สามารถใช้ได้โดยตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียนในการล็อกโดเมนและป้องกันการอัปเดต การลบ และการโอนย้าย (ไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง)

ตัวแทนผู้จดทะเบียนสามารถใช้การล็อก "ไคลเอนต์" หรือที่หมายถึงการล็อกตัวแทนผู้จดทะเบียน ผู้เก็บข้อมูลทะเบียนสามารถใช้การล็อก "เซิร์ฟเวอร์" หรือที่รู้จักว่าเป็นการล็อกผู้เก็บข้อมูลทะเบียน ข้อสำคัญที่ควรทราบคือการล็อกผู้เก็บข้อมูลทะเบียนมักจะมีผลแทนที่การล็อกตัวแทนผู้จดทะเบียน สิ่งนี้หมายความว่าจะไม่สามารถลบการล็อกตัวแทนผู้จดทะเบียนได้จนกว่าการล็อกผู้เก็บข้อมูลทะเบียนจะถูกลบ

ตอนนี้เรามาลงรายละเอียดเกี่ยวกับวิธีการที่เราวางแผนไว้กันเถอะ

เราเริ่มจากการใช้ การล็อกตัวแทนผู้จดทะเบียน แบบ EPP กับชื่อโดเมน ซึ่งเป็นการล็อกไคลเอนต์ EPP ที่ป้องกันการอัปเดต การโอนย้าย และการลบโดเมน

จากนั้นเราใช้การล็อกภายในที่ป้องกันไม่ให้ API เรียกใช้การประมวลผลไปยังโดเมนนั้น การล็อกนี้ทำงานอยู่นอก EPP และออกแบบมาเพื่อป้องกันโดเมนโดยควรมีการลบการล็อก EPP ออก เช่นเดียวกับสถานการณ์นี้ที่ต้องมีการดำเนินการนอก EPP เช่น ในบาง TLD ข้อมูลติดต่อโดเมนจะถูกจัดเก็บที่ตัวแทนผู้จดทะเบียนเท่านั้น และจะไม่ถูกส่งต่อไปยังผู้เก็บข้อมูลทะเบียน ในกรณีเหล่านี้ เป็นเรื่องสำคัญที่จะมีกลไกการล็อกที่ไม่ใช่ EPP

หลังจากใช้การล็อกตัวแทนผู้จดทะเบียนแล้ว เราจะร้องขอให้ผู้เก็บข้อมูลทะเบียนใช้การล็อกผู้เก็บข้อมูลทะเบียน โดยใช้กระบวนการพิเศษที่ไม่ใช่ EPP ข้อสำคัญที่ควรทราบคือไม่ใช่ผู้เก็บข้อมูลทะเบียนทั้งหมดที่จะเสนอบริการการล็อกผู้เก็บข้อมูลทะเบียน ในบางกรณี เราอาจไม่สามารถใช้คุณลักษณะการล็อกสุดท้ายนี้ได้

สุดท้าย เราได้สร้างกระบวนการยืนยันที่ปลอดภัยเพื่อรับมือกับคำขอใดๆ ในอนาคตที่ต้องการปลดล็อกหรือแก้ไขโดเมน

พร้อมใช้งานทันที

วัตถุประสงค์ของเราคือเพื่อทำให้การป้องกันโดเมนของ Cloudflare เป็นโซลูชันที่ปลอดภัยและสามารถปรับขนาดได้สำหรับโดเมนที่พร้อมใช้งาน เราต้องการตรวจสอบให้แน่ใจว่าโดเมนที่สำคัญที่สุดกับลูกค้า — โดเมนที่มีมูลค่าสูงและสำคัญกับองค์กร— ได้รับการป้องกันไว้อย่างปลอดภัย

โดเมนที่มีสิทธิ์ใช้งานที่รวมไว้ภายใต้สัญญาองค์กรของ Cloudflare อาจถูกรวมไว้ในบริการลงทะเบียนการป้องกันโดเมนของเราโดยไม่เสียค่าใช้จ่ายเพิ่มเติม และตามที่เราได้กล่าวไว้ก่อนหน้านี้ สิ่งนี้ยังครอบคลุมค่าธรรมเนียมการลงทะเบียนและการต่ออายุ — ดังนั้นนอกจากคุณจะไม่ต้องกังวลกับการรักษาความปลอดภัยโดเมนของคุณแล้ว คุณยังไม่ต้องกังวลกับการจ่ายชำระเพื่อใช้บริการด้วยเช่นกัน

หากสนใจใช้การป้องกันโดเมนของ Cloudflare กับชื่อโดเมนของคุณ โปรดติดต่อผู้จัดการบัญชีของคุณและแจ้งให้พวกเขาทราบว่าคุณสนใจ จะมีการเผยแพร่รายละเอียดเพิ่มเติมในต้นไตรมาสที่ 1 ปี 2022

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.

ไทย ข่าวผลิตภัณฑ์ ความปลอดภัย CIO Week (TH)

Follow on Twitter

Cloudflare |Cloudflare

Related Posts

December 09, 2021 1:59PM

วิธีปรับแต่งการตั้งค่าการป้องกัน DDoS 3/4 ของเลเยอร์ของคุณ

หลังจากให้บริการลูกค้าในเบื้องต้นให้สามารถควบคุมการตั้งค่าการป้องกัน DDoS ของ HTTP-layer ไปเมื่อต้นปีนี้ เรารู้สึกตื่นเต้นที่จะขยายการควบคุมที่ลูกค้าของเรามีไปยังเลเยอร์ของแพ็กเก็ต เมื่อใช้การควบคุมใหม่เหล่านี้ ลูกค้า...

December 06, 2021 1:59PM

วิธีที่เราใช้ eBPF เพื่อสร้างการกรองแพ็กเก็ตที่ตั้งโปรแกรมได้ใน Magic Firewall

Cloudflare ปกป้องบริการจากการโจมตีที่ซับซ้อนทุกวัน สำหรับผู้ใช้ Magic Transit นั้น การป้องกัน DDoS จะตรวจจับและลดการโจมตี ในขณะที่ Magic Firewall อนุญาตให้มี...

March 30, 2021 2:01PM

สร้างกฎ Zero Trust ด้วยอุปกรณ์ที่ได้รับการจัดการ

ตั้งแต่วันนี้เป็นต้นไป ทีมของคุณจะสามารถใช้ Cloudflare Access เพื่อสร้างกฎที่อนุญาตให้ผู้ใช้เชื่อมต่อแอปพลิเคชันจากอุปกรณ์ที่องค์กรของคุณจัดการได้เท่านั้น คุณสามารถรวมข้อกำหนดนี้กับกฎอื่นๆ ในแพลตฟอร์ม Zero Trust ของ Cloudflare...

December 09, 2021 1:59PM

Shadow IT: ทำให้ผู้ใช้ปฏิบัติตามกฎได้ง่าย

การใช้งานแอปพลิเคชัน SaaS เพิ่มขึ้นอย่างมากในช่วงทศวรรษที่ผ่านมา จากข้อมูลของ Gartner พบว่า การใช้จ่ายทั่วโลกที่เกี่ยวกับ SaaS ในปี 2021 อยู่ที่ 145 พันล้านดอลลาร์และคาดว่าจะสูงถึง 171 พันล้านดอลลาร์ในปี 2022...