CIRA amplía el DNS mediante Akamai Secure Internet Access Business

Una expansión que supera los límites del servicio heredado

Canadian Internet Registration Authority (CIRA) es una organización que busca poder garantizar que todos los canadienses puedan ejecutar los dominios .CA de forma segura y fiable. Se fundó en el año 2000, y ya cuenta con más de 2,8 millones de dominios bajo su gestión.

Hace unos años, CIRA detectó la oportunidad de complementar sus ingresos procedentes de estas operaciones de registro incorporando una nueva oferta de servicios. En 2015, la organización puso en práctica por primera vez medidas de ciberseguridad de sistema de nombres de dominio (DNS) y creó D-Zone Anycast DNS, un servicio que actualmente usan algunos proveedores de servicios de Internet (ISP) del país, así como el propio gobierno canadiense y muchas instituciones educativas. Tras lanzar este servicio de DNS secundario totalmente completo para Canadá, muchos clientes de CIRA solicitaron un servicio de DNS recursivo. En concreto, las organizaciones del sector educativo se mostraron especialmente interesadas en disponer de un servicio con capacidades de filtrado de contenido.

"Una vez desarrollado el concepto de un servicio de ciberseguridad basado en la nube capaz de proteger a las organizaciones frente a ataques de malware, ransomware y phishing, comenzamos a explorar las opciones que teníamos", explica Mark Gaudet, responsable de Productos y Desarrollo Empresarial de CIRA.

El inicio de un nuevo servicio de ciberseguridad

CIRA se planteó crear internamente una solución de servicio de DNS recursivo. "Podríamos haber implementado una solución de este tipo mediante un mecanismo de zona de política de respuesta (RPZ) de DNS, pero nos dimos cuenta de que el auténtico beneficio residía en contar con una buena fuente de información sobre amenazas y de que nosotros no podríamos desarrollarla", destaca Gaudet.

Así pues, CIRA recurrió a Nominum (ahora parte de Akamai), el proveedor líder del mercado de soluciones de seguridad basadas en DNS, que cuenta con servidores recursivos en grandes ISP. "Sabíamos que Nominum tenía acceso a los datos de DNS globales y podría desarrollar una fuente de información sobre amenazas en tiempo real", explica Gaudet.

Gracias a esta asociación, CIRA pudo lanzar una versión de prueba de D-Zone DNS Firewall en un plazo de seis meses. La versión definitiva estuvo disponible tan solo tres meses más tarde. Esta solución se basa en resoluciones inteligentes implementadas en distintas partes de Canadá y capaces de analizar más de 100 000 millones de consultas DNS al día para determinar si son maliciosas o no. Por su parte, la cobertura de amenazas se actualiza de forma continua y automática a través de un servicio en la nube para impedir que se exploten vulnerabilidades de carácter altamente dinámico.

Además, al poder aprovechar su infraestructura en Canadá para implantar el servicio en la nube basado en la tecnología de Akamai, CIRA puede recibir a clientes nuevos sin que ese aumento le suponga grandes inversiones de capital. Todo esto ha permitido a CIRA desarrollar un servicio orientado a las necesidades de Canadá y capaz de mantener todos los datos de consultas de DNS en territorio canadiense, lo que garantiza la soberanía de los datos. "Los servicios de DNS alojados a nivel global no pueden garantizar que los datos se mantengan en Canadá, pero nosotros sí, y queremos cumplir con nuestro compromiso de ayudar a las organizaciones canadienses a satisfacer este requisito", detalla Gaudet.

Además, ahora que CIRA utiliza la solución Akamai Secure Internet Access Business, cuenta con una capacidad y una escalabilidad globales, sin que esto afecte al rendimiento de sus operaciones. Por otro lado, puesto que las distintas protecciones se basan en la red, los clientes no necesitan instalar software ni actualizaciones como sucedería si se tratara de los tradicionales productos de seguridad basados en clientes. Tampoco es necesario contar con la presencia de expertos técnicos de forma local. El servicio se basa en una solución lista para su uso en cuanto la activan los componentes de resolución de DNS de los clientes pertinentes, todo desde la nube de CIRA.

Un mejor servicio al mercado canadiense

Desde su lanzamiento en 2017, la solución D-Zone DNS Firewall ha protegido a más de 1,5 millones de canadienses en todo tipo de entornos, desde pequeñas empresas hasta grandes universidades. CIRA goza de un éxito especialmente destacable en el sector municipal, donde D-Zone DNS Firewall ha protegido a más de 70 municipios canadienses hasta la fecha.

"Con D-Zone DNS Firewall proporcionamos una capa base de seguridad a un gran y variado grupo de organizaciones que sin él carecerían de muchos servicios necesarios, ya que no pueden permitirse otras protecciones de seguridad o carecen de los recursos técnicos para aprovecharlas bien", apunta Gaudet. Además, el servicio ha supuesto una reducción del 90 % de los equipos de escritorio que se veían afectados por ataques de spear phishing. De hecho, uno de los clientes de CIRA procedentes del sector académico utilizó el servicio para bloquear rápidamente nuevos ataques, con lo que redujo el tiempo y el esfuerzo que su departamento de TI tendría que haber dedicado. "Este tipo de historias nos alegran enormemente. Nos satisface mucho saber que estamos aportando nuestro granito de arena al mercado canadiense", explica Gaudet.

CIRA también utiliza Akamai DNSi Big Data Connector para integrar todos los datos de las consultas de DNS y de los ataques de bots y phishing bloqueados que recopilan los componentes de resolución de Akamai en una pila de Elastic. Esta pila también incluye un motor de búsqueda y de análisis, un motor de recopilación de datos y análisis de registros, y una plataforma de análisis y visualización que permite a CIRA buscar y mostrar todo tipo de datos de seguridad y de DNS recopilados en su red. Esta información facilita a CIRA la realización de investigaciones y la resolución y corrección de posibles problemas de sus clientes.

Si bien CIRA comenzó usando el portal de clientes de Akamai, finalmente se ha decantado por crear su propio portal basado en el servicio D-Zone DNS Firewall. En él, los clientes de CIRA que trabajan desde ubicaciones dispares pueden configurar y aplicar sus políticas desde un único lugar centralizado y con un control detallado. CIRA también ofreció su propia API a clientes y partners. Los clientes la usan, por ejemplo, para recuperar y bloquear consultas a través de sus soluciones de gestión de eventos e información de seguridad, de modo que puedan correlacionar los problemas con usuarios y dispositivos específicos. Los proveedores de seguridad e IPS pueden integrarla con el servicio y añadir así protección de DNS a sus clientes de Canadá.

A finales de 2019, CIRA espera que su servicio D-Zone DNS Firewall represente el 50 % de sus ingresos por productos nuevos. El siguiente plan estratégico de CIRA gira en torno a un fuerte enfoque centrado en la ciberseguridad.

"El lanzamiento de D-Zone DNS Firewall nos permitió entrar en el mercado de la ciberseguridad con relativa rapidez y facilidad, para ofrecer un producto cómodo. Como consecuencia, nuestro negocio ha emprendido un nuevo rumbo y puede acceder a un mercado distinto. En el futuro, tenemos previsto ofrecer servicios y productos complementarios", concluye Gaudet.

Acerca de CIRA

Canadian Internet Registration Authority (CIRA) es una organización sin ánimo de lucro compuesta por distintos miembros y reconocida por su labor de gestión de dominios de Internet .CA para beneficio de todos los canadienses. Entre sus labores, destaca el desarrollo y la implementación de políticas para respaldar los intereses de la comunidad de Internet del país y su actuación como representante del registro .CA a nivel internacional. Además, crea programas, productos y servicios con el objetivo de aprovechar al máximo todo el potencial de Internet y ofrecer así una mejor red online en Canadá, mediante unas experiencias online seguras y fiables para todos los canadienses. Para obtener más información, visite https://cira.ca.