V9网络研究院

研究中心  应用中心
规范标准  国际交流

打造网络空间安全基础设施!欧盟计划建设安全DNS平台

更新时间:2022-01-20 19:03:33点击:236

打造网络空间安全基础设施!欧盟计划建设安全DNS平台(图1)


DNS4EU项目当前处于初步规划阶段,欧盟正在寻找合作伙伴帮助其建设一套庞大的基础设施,以服务欧盟旗下全部27个成员国;


该项目一方面可以解决DNS解析服务被少数企业把控的问题,另一方面内置多项安全能力,可以保障网络安全和数据隐私。


欧盟准备建设自己的递归DNS服务,并将向各欧盟机构及公众免费开放。

这项名为DNS4EU的拟议服务项目当前处于初步规划阶段,欧盟正在寻找合作伙伴帮助其建设一套庞大的基础设施,以服务欧盟旗下全部27个成员国。

欧盟官员表示,在观察到由少数非欧盟运营商掀起的DNS市场合并浪潮后,他们开始研究如何在欧盟内部建立起可以集中管理的DNS服务。

官员们在上周公布DNS4EU基础设施项目时表示,“DNS4EU的目标在于解决DNS解析服务被少数企业把控的问题。这种过度集中可能导致DNS解析过程极易受到影响,甚至出现一家主要运营商宕机、大片区域解析服务停转的现象。”

欧盟官员们还表示,DNS4EU项目的立项也有其他因素的推动,包括网络安全与数据隐私保护。



DNS4EU包含强大的过滤功能


欧盟提到,DNS4EU将配备内置过滤功能,可以阻止对恶意域名的DNS名称解析,例如托管有恶意软件、网络钓鱼站点或其他涉及网络安全威胁的域名。

这项过滤功能将由受信合作伙伴(如各国CERT团伙)提供的威胁情报源进行加持,可用于保护欧洲各地、各类组织免受常见恶意威胁的侵扰。

目前尚不清楚DNS4EU会不会在所有欧盟国家、或者至少是在各国政府机构内实施强制推广,如果确实如此,那么CERT-EU等组织将获得更大的管控力与敏捷性,在发现网络攻击后第一时间加以阻断。

除此之外,欧盟官员还希望使用DNS4EU的过滤系统阻止对其他各类管控内容的访问,具体实施可以结合法院命令执行。虽然官方没有详细说明,但这里所指的很可能是发布儿童性侵素材及涉及版权侵犯(盗版)内容的域名。

欧盟表示,拟议中的DNS4EU系统还需要遵循各项数据处理法律(比如GDPR),确保域名解析数据的具体处理只在欧洲本土进行,同时禁止出售任何个人数据或利用个人数据赚取经济利益。

在技术细节方面,DNS4EU需要支持所有现代DNS标准与技术,包括DNSSEC、DoT、DoH等,同时兼容IPv6。

官员们还强调,项目在正式上线之后将面向所有人开放,涵盖公共机构、私营部门以及个人用户。

被选中建设DNS4EU的一家或多家公司还将负责创建并运行专项网站,其中将包含关于用户应如何修改设备中的DNS设置、从而使用DNS4EU服务器进行域名解析的说明性指导。



最终效果将取决于多方面因素


电子邮件与DNS服务企业Open-Xchange的政策与创新主管Vittorio Bertola在接受邮件采访时回应称,“我认为此举是数字主权战略中的一项必要举措:欧洲民众应该可以选择这种免费的欧盟自有公共解析方案,至少可以将其作为谷歌等当前具有市场优势的非欧盟解析服务的替代产品。”

Bertola还补充道,“如果谷歌的服务因任何原因而在欧洲无法正常使用,则当前用户应该可以立即切换至其他替代选项。此外,考虑到CLOUD法案以及近期关于欧盟-美国数据出口裁定内容,大部分企业、尤其是公共机构,都将必须按照GDPR合规性条款中的要求使用由欧盟企业集团拥有的基础服务。”

 “而且即使大部分用户仍旧继续使用非欧盟服务,只要保证存在有效的替代方案,对欧盟来说就已经是一项重要成就、一份安全保障。”

然而,Bertola也对DNS4EU如何长期存续提出了质疑,因为该服务明确强调禁止利用用户数据追求任何经济利益。在这样的定位思路下,欧洲网络运营商不会有任何推广动力,最终可能导致项目惨遭淘汰。毕竟没人想做赔本的买卖。

Bertola提出,“另一个重要方面在于合规性。目前全球各类解析服务均宣称不受欧洲各国封锁令的限制(例如针对海盗湾或SciHub的封禁命令);但事实上,正常访问这类非法网站本身就是用户们放弃本地互联网服务商解析服务、转向国外全球服务的核心原因之一。”

他认为,“所以很明显,这将是欧盟DNS解析服务无法忽视的又一个大问题。”

“总而言之,委员会的努力确实值得称道,很多厂商也必然会考虑竞标。但考虑能否真正转化为参与,这项服务的上线又能否带来长期变化,目前恐怕还很难断言。DNS4EU的未来命运将取决于多方面因素。”