SIDN gaat database zonefile op advies AIVD onderbrengen bij NL cloudprovider
De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat de database voor de zonefile op advies van de AIVD onderbrengen bij een Nederlandse cloudprovider. Gisteren gaf het kabinet SIDN goedkeuring om een deel van het domeinregistratiesysteem naar de cloud van Amazon te verhuizen. De .nl-zonefile bevat de informatie om alle webdomeinen en e-mailadressen onder het .nl-topleveldomein te laten werken.
SIDN liet eerder weten dat het de afgelopen jaren steeds meer tijd aan het domeinregistratiesysteem en met name de onderliggende infrastructuur kwijt is. Vorig jaar kondigde de stichting aan naar de cloud van Amazon te verhuizen als basis voor een nieuw domeinregistratiesysteem. Dat zorgde voor de nodige ophef, waarop het kabinet aankondigde verschillende onderzoeken te zullen laten uitvoeren.
"Op basis van een quickscan over het cloudaanbod, een Data Protection Impact Assessment (DPIA) en een risicoanalyse van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), heeft het kabinet geconstateerd dat aan de oorspronkelijk voorgenomen migratie van SIDN veiligheidsrisico’s verbonden zijn", zo liet minister Beljaarts van Economische Zaken gisteren aan de Tweede Kamer weten.
Het kabinet stelt dat SIDN onder strikte voorwaarden een deel van het domeinregistratiesysteem naar Amazon mag verhuizen, op voorwaarde dat de risico’s die door de AIVD in kaart zijn gebracht door de voorgestelde maatregelen worden verholpen. "Door de bevindingen uit de AIVD risicoanalyse kan SIDN een beperkter deel van hun DRS in de public cloud van AWS onder brengen dan dat zij eerder voornemens waren", aldus Beljaarts in een brief aan de Tweede Kamer.
"De kern van deze maatregelen betreft dat we de database voor de zonefile onderbrengen bij een Nederlandse cloudprovider", zo laat SIDN in een reactie op de brief van de minister weten. "Deze database vormt de primaire, betrouwbare en vertrouwde bron op basis waarvan de generatie, signing en publicatie van de zonefile buiten AWS bij een Nederlandse cloudprovider plaatsvindt. Dit betekent dat we een beperkter deel van het domeinregistratiesysteem onderbrengen bij AWS in Frankfurt dan we oorspronkelijk voorzien hadden. Door deze maatregelen beperken we de afhankelijkheid van AWS en borgen we (digitale) autonomie." SIDN heeft als doel om het nieuwe domeinregistratiesysteem in het eerste kwartaal van 2026 te lanceren.
Als je bedenkt dat ministers in Nederland massaal aan het Twitteren zijn geslagen nadat er al succesvol Zuid-Amerikaanse verkiezingen mee beinvloed waren, en tot op heden nauwelijks inzien dat het niet slim is om al je communicatie via Amerikaanse partijen naar de eigen bevolking te slingeren.... tsja..... Helaas is het antwoord teveel JA :(
Worden de mensen die bij zulke vitale bedrijven werken wel gescreend?
Als je bedenkt dat ministers in Nederland massaal aan het Twitteren zijn geslagen nadat er al succesvol Zuid-Amerikaanse verkiezingen mee beinvloed waren, en tot op heden nauwelijks inzien dat het niet slim is om al je communicatie via Amerikaanse partijen naar de eigen bevolking te slingeren.... tsja..... Helaas is het antwoord teveel JA :(
En wat heeft dat met item van doen?
Als je bedenkt dat ministers in Nederland massaal aan het Twitteren zijn geslagen nadat er al succesvol Zuid-Amerikaanse verkiezingen mee beinvloed waren, en tot op heden nauwelijks inzien dat het niet slim is om al je communicatie via Amerikaanse partijen naar de eigen bevolking te slingeren.... tsja..... Helaas is het antwoord teveel JA :(
En wat heeft dat met item van doen?
Misbruik van infrastructuur waarover je geen controle hebt (beschermin autonomie).
Je hoeft naar 2 name servers op eigen infra dan heb je redundancy , EN de zonefile gedekt.
Ooit downloaded ik de hele NL zonefile via been axfr op de secondary DNS , die hadden ze niet goed afgeschermd.
Niet zo moeilijk allemaal, MBO4 deed ik toen...
Je hoeft naar 2 name servers op eigen infra dan heb je redundancy , EN de zonefile gedekt.
Ooit downloaded ik de hele NL zonefile via been axfr op de secondary DNS , die hadden ze niet goed afgeschermd.
Niet zo moeilijk allemaal, MBO4 deed ik toen...
Als je nou doorgeleerd had, had je bedacht dat "de zonefile" maar een klein deeltje is van waar je echt controle over moet hebben.
De meta-data - van WIE is dat domein, wat zijn de contacten, wie heeft het geregistreerd, wanneer, hoe lang loopt die registratie nog zijn ook erg belangrijk . Ik zou zelfs zeggen - belangrijker .
Dat is de "database" waarvan de zonefile een heel heel erg gestript extract is - domein, NS records, (en wat dnssec records).
En van die database zeggen ze dat die niet bij AWS moet staan.
De technische redundantie van de NL ccTLD servers is , relatief gezien, redelijk simpel . Zonefile, nameserver IPs, en meer dan dat paar aan feitelijke servers (anycast).
Zorgen dat je controle over de bron-data hebt waar de zonefile uit gegenereerd wordt is waar het om gaat .
En daarnaast - zorgen dat dat stuk ook 'altijd' werkt, en updates door registrars 'altijd' binnen een gegarandeerde tijd in de zonefile terecht gekomen zijn.
Dankjewel AIVD voor deze perfecte interventie, ik hoop dat het kabinet ook bijspringt.
Zolang er geen hardware producent is die alles in Europa ontwikkelt en produceert, met alle software 100% onder europeesche controle, blijven dit soort beslissingen een beetje fuzzy en fake.
Zolang er geen hardware producent is die alles in Europa ontwikkelt en produceert, met alle software 100% onder europeesche controle, blijven dit soort beslissingen een beetje fuzzy en fake.
Ja laten we vooral zo blijven denken en daarom maar niks doen. Je data uploaden naar een amerikaanse cloud is toch wel een grotere attack vector dan een host op vmware draaien. VMware moet een stuk meer moeite doen op bij die data te komen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Adviseur
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan informatie-technologie (IT) en operationele technologie (OT) binnen onze taken, is het essentieel om deze veilig te houden.
Security Specialist
Directie Informatievoorziening & Inkoop
Als security specialist is je primaire taak het detecteren en het afhandelen van (mogelijke) security incidenten. Hiervoor vergaar je dreigingsinformatie en richt je op basis van risico's detectieregels in, opdat aanvallers in een zo vroeg mogelijk stadium geïdentifi-ceerd kunnen worden. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?