Cygna Labs
ANMELDEN

CYGNA DDI SECURITY

Cygna DNSSEC Appliances

Automatisierter, hochverfügbarer Schutz und Authentifizierung der DNS-Zonenintegrität

Cygna DNSSEC Appliances Header Image

Multi-Master-Unterstützung

Cygna DNSSEC Appliances unterstützen die Redundanz von signierenden Primärservern und bieten damit eine Alternative zu vernetzten Hochsicherheitsmodulen. Die redundanten Primärserver arbeiten in einer Primär-/Backup-Konfiguration mit Echtzeit-Updates von Zonen, Ressourceneinträgen, Signaturen und Schlüsseln zwischen den Servern. Die Statusprüfung der Primärserver wird durch eine dritte Perspektive über Cygna DDI Executive ergänzt, die eine äußerst zuverlässige Überwachung und ein automatisches Failover ermöglicht.

Selektive Zonensignatur

Cygna DNSSEC-Appliances signieren Zonen selektiv basierend auf Parametern, die von der Cygna IPControl-Applikation übergeben werden. Dabei können entweder alle Zonen auf der DNSSEC-Appliance signiert werden oder nur ausgewählte Zonen – ganz nach Wunsch. RFC-konforme Zonensignierungsverfahren werden verwendet, um Signaturen (RRSIG) sowie authentifizierte Existenzverweigerungseinträge (NSEC/NSEC3) zu erzeugen. Dynamische Updates können durch Update-Richtlinien, TSIG oder DoH/DoT gesichert werden, um eine sichere Aufnahme in signierte Zonen zu gewährleisten.

Automatisierung ist entscheidend

Cygna DNSSEC Appliances generieren automatisch Key Signing Keys (KSKs) und Zone Signing Keys (ZSKs) gemäß den DNSSEC-Best Practices und den Richtlinien der Administratoren. Schlüssel-Metadaten verfolgen den Status jedes Schlüssels – von veröffentlicht über aktiv und inaktiv bis gelöscht. Die Intervalle für jeden Status können über die Schnittstelle der Cygna DNSSEC-Appliance verwaltet werden.

Trennung von IPAM und Sicherheit

Cygna DDI-Anwendungen verwalten und verteilen DNS-Konfigurationsinformationen an Cygna DNS-Appliances. Cygna DNSSEC-Appliances bieten eine eigene Benutzeroberfläche und separate Anmeldedaten, um die Verwaltung von DNSSEC-Parametern, Richtlinien und Metadaten zu ermöglichen. Diese Trennung ermöglicht es, Zugriffsrechte nach dem Prinzip der minimalen Berechtigungen zu definieren – basierend auf Rolle und Kenntnissen des Administrators – und so die DNS-Konfiguration von der Verwaltung der DNS-Sicherheitsrichtlinien zu separieren.

Trennung von IPAM und Sicherheitsdarstellung

Vollständiges DNSSEC-Ökosystem

DNSSEC-Multi-Master-Funktionen unterstützen die Redundanz von DNS-Primärservern. Sekundäre DNS-Server können als Standard-Cygna-DNS-Appliances eingesetzt werden, da Zonenübertragungen alle Ressourcendatensätze, einschließlich DNSSEC-Ressourcendatensätze, enthalten. Cygna DNS-Appliances, die als rekursive Server arbeiten, aktivieren standardmäßig die DNSSEC-Validierung, wodurch signierte DNS-Antworten automatisch überprüft werden. Die automatische Verwaltung von Vertrauensankern sorgt für eine nahtlose Aktualisierung der Root-Zonen-Schlüssel-Rollovers. Optional kann die Veröffentlichung von Child Delegation Signer (CDS)-Datensätzen erfolgen, damit übergeordnete Zonen die KSK-Rollover einzelner Zonen automatisch erkennen.

Vollständige Abbildung des DNSSEC-Ökosystems

Wir helfen Ihnen bei der Bewältigung Ihrer IT-Herausforderungen

Vereinbaren Sie eine Demo für weitere Informationen.