Accueil > AWS, Azure, DevOps, Securité > Illustration Pratique: Mise en Place du DNSSEC pour les Sous-Domaines dans AWS et Azure

Illustration Pratique: Mise en Place du DNSSEC pour les Sous-Domaines dans AWS et Azure

04/11/2023 Commenter Allez aux commentaires

Bonjour mes amis,

Dans nos précédents billets de blog, nous avons exploré le concept de la signature des zones DNS avec DNSSEC dans les environnements AWS et Azure. Aujourd’hui, nous allons illustrer concrètement comment procéder à la mise en œuvre du DNSSEC pour des sous-domaines dans ces deux plateformes cloud.

Cas Pratique dans AWS

Prenons l’exemple d’une entreprise fictive, innovatech.nestasoft.fr, qui souhaite sécuriser ses sous-domaines avec DNSSEC dans AWS.

Étape 1: Sécurisation du Domaine Principal

  • nestasoft.com est enregistré auprès d’un registraire qui prend en charge DNSSEC.
  • Un enregistrement DS est créé pour nestasoft.com pour établir la première chaîne de confiance.

Étape 2: Préparation des Sous-Domaines

  • On génère les paires de clés KSK et ZSK en utilisant un outil de gestion des clés comme dnssec-keygen.

Étape 3: Signature des Zones

  • Chaque sous-domaine, comme departement.innovatech.nestasoft.fr, est signé en utilisant ses clés ZSK et KSK générées précédemment.
  • Les enregistrements DNS signés sont prêts à être distribués.

Étape 4: Mise en Place dans Route 53

  • On configure les enregistrements DNSSEC signés dans AWS Route 53 pour innovatech.nestasoft.fr.
  • Route 53 sert de plateforme pour gérer ces enregistrements, bien qu’il ne les signe pas directement.

Étape 5: Test de Validation

  • Des tests sont effectués pour assurer que la signature est valide et que les résolveurs DNS peuvent établir une chaîne de confiance complète.
Cas Pratique dans Azure

En parallèle, pour innovatech.nestasoft.fr dans Azure:

Étape 1: Activation de DNSSEC sur le Domaine Racine

  • Comme dans AWS, nestasoft.fr doit avoir DNSSEC activé via le registraire.

Étape 2: Signature des Sous-Zones

  • Les outils externes génèrent les clés pour les sous-domaines de innovatech.nestasoft.fr.
  • Les enregistrements pour, par exemple, service.innovatech.nestasoft.fr, sont signés hors ligne.

Étape 3: Configuration dans Azure DNS

  • Les enregistrements DNSSEC signés pour les sous-domaines sont importés dans Azure DNS.
  • Azure DNS facilite la gestion, mais tout comme AWS, la signature des enregistrements est externe.

Étape 4: Tests de Sécurité

  • Des outils comme dig ou dnssec-analyzer vérifient la validité des signatures et la chaîne de confiance.
Conclusion et Discussion

Ces exemples démontrent la mise en œuvre technique du DNSSEC pour les sous-domaines dans AWS et Azure. Bien que les deux plateformes exigent une gestion externe de la signature des zones, elles fournissent des moyens efficaces pour distribuer et gérer des enregistrements DNSSEC signés.

Vos retours et vos propres exemples d’implémentation sont précieux pour notre communauté. Avez-vous des conseils ou des astuces supplémentaires basés sur votre expérience avec DNSSEC? Partagez-les dans les commentaires ci-dessous!

Staty tuned!

Loading

Categories: AWS, Azure, DevOps, Securité Tags: , , ,
  1. Pas encore de commentaire
  1. Pas encore de trackbacks


+ cinq = 12