就安全性挑戰而言，云計算中DNS的解決方案是不完整的，它主要依賴于人員、流程和技術的組合。由于大部分的企業通過把應用程序遷移至云計算而實現了對上述三個方面的全方位的外包，云計算遭受到了全方位的挑戰。所有的關鍵技術都在云計算供應商那里，而云計算的用戶們完全依賴于云計算供應商以確保他們的信息和基礎設施的安全性。所以，云計算客戶還必須考慮物理控制方面的缺失，并向供應商提供DNS管理與處理相關、非常具體的指導。

本文是研究云計算中DNS以及DNS攻擊系列報導的下篇，我們將討論一下相關的應對措施，并為云計算客戶提供相關指導，以便于他們在要求云計算供應商確保安全DNS架構時能夠做到心中有底。

堅持DNS安全擴展(DNSSEC)簽署區域是重要的第一步，這是因為DNSSEC為你的區域文件提供了數據完整性，而經過DNSSEC驗證的客戶可確保已簽署DNSSEC區域。雖然信任區域簽署者是另外一個話題，但這仍然是一個良好的開端。

但是，DNSSEC僅僅是在云計算中創建一個安全DNS架構的一個組成部分。較之具有相同重要性的一個步驟是運行DNSSEC，此舉可確保DNSSEC密鑰被妥善管理，同時服務器也被安全措施所正確保護。運行DNSSEC只能確保數據的完整性；它并不能保證正確的配置以及防止區域運行人員插入虛假記錄（因為只要他們擁有密鑰，他們就能夠簽署記錄）。它也無法防止諸如緩沖區溢出、競態條件以及DoS攻擊這樣常見的攻擊。此外，管理DNSSEC區域需要區域運行人員為之做出重大的努力。

在云計算中應用NDSSEC所需面臨的一個重要隱患在于，事實上眾多安全專家并不熟悉DNSSEC，同時對于確保成功實施服務功能缺乏必要的認識。去年，Uncompiled.com發表了一個研究報告，它指出在世界上最大型企業中負責互聯網安全的IT人員中有半數以上要么沒有聽說過DNSSEC，要么對其熟悉程度極為有限。對于云計算服務供應商（CSP）廣泛采用DNSSEC的需求來說，這一現狀并不是一個好消息。不過，云計算的客戶們還是應當要求實現DNSSEC區域簽名。

除了DNSSEC區域簽名以外，云計算服務供應商們還必須在客戶用于名稱解決方案的遞歸解析程序中打開DNSSEC驗證。期待單個應用程序執行DNSSEC檢查幾乎是不可能的。需要在云計算環境中執行DNSSEC 和 DNSSEC檢查，尤其是那些提供IaaS解決方案的供應商。在很多情況下，通過使用anycast可在一定程度上緩解DoS攻擊帶來的影響，而大多數的云計算服務供應商們所提供的DNS管理中已經使用了anycast。但是，客戶應當自行驗證確認這一點。Anycast流量均衡與DNSSEC很類似，它是DNS整體安全策略中的一個附加的組件。

云計算中DNS問題的一個可能的解決方案是在IaaS云計算中跟蹤和監控DNS區域。這個解決方案需要為每個實例設置一對服務器，并在線以隱匿模式配置監控軟件。當對區域進行更新升級時，監控軟件應檢查區域信息以便于確定變更是否合法。例如，一個區域記錄顯示有IP地址變動，就需要向運行人員提出警告。通過制定合適的監控解決方案，這些區域就有可能成為IaaS云計算中具有較高可靠性的服務器。

成功的云計算基礎設施是需要企業和云計算服務供應商的IT團隊與法務團隊付出大量時間與精力的努力的。考慮云計算遷移的一個方法就是將其認為是購買一個長期的合作關系。與供應商的信任問題也需要客戶和CSP之間維持一種開放的關系。目前，管理安全行業的最佳做法并不是確保也在云計算中執行相同的措施。這意味著，在大多數情況下客戶和云計算服務供應商必須一起為解決新問題、領悟新思想和接受新概念而共同努力。由于這個原因，雙方的關系必須建立在相互信任、相互理解的基礎之上，以確保在這個嶄新的前沿領域中共同獲取知識、分享知識。