美国国家安全局(NSA)上周三发布指南,指导企业采用加密域名系统(DNS)协议,尤其是基于HTTPS的DNS。DNS负责将URL中包含的域名转换为IP地址,但由于请求和响应以明文形式传输,因此成为当今流行的攻击媒介。DNSoverHTTPS或DoH旨在通过加密的HTTPS发送DNS请求来解决这一缺点,从而保护客户端和DNS解析器之间的通信。DoH提高了隐私和完整性,防止窃听和DNS流量操纵,并在企业中得到越来越多的采用。为确保对企业网络DNS的控制,企业应仅启用指定的DoH解析器。在企业环境中使用DNS控制可以防止威胁参与者实施初始访问、数据泄露或命令与控制技术。将DoH与外部解析器结合使用对于不使用DNS安全控制的家庭或移动用户和网络非常有用。但对于企业网络,NSA建议只使用指定的企业DNS解析器,以充分发挥企业网络的安全防御作用,方便访问本地网络资源并保护内部网络信息。美国国家安全局指出,企业可以使用他们运营的DNS服务器或外部服务,但支持DoH等加密DNS请求对于确保本地隐私和完整性保护至关重要。该机构还建议禁用其他加密的DNS解析器,并确保所有DNS流量(无论是否加密)都发送到指定的公司DNS解析器。“但是,如果企业DNS解析器不支持DoH,则仍应使用企业DNS解析器,并应禁用和阻止所有加密DNS,直到可以实现将DNS功能完全集成到企业DNS基础设施中,”该机构解释说。迄今为止。”新发布的NSA指南不仅提供了有关DNS和DoH工作原理的信息,还详细介绍了DoH设计背后的目的以及重新配置企业网络以增强DNS安全控制的好处。NSA表示,遵循新的DNS安全指南,企业网络所有者和管理员可以在DNS方面平衡隐私和安全治理。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
