美国国家安全局(NSA)上周三,相关企业发布了加密域名系统(DNS)协议(尤其是基于HTTPS的DNS)指南。
DNS负责将URL中包含的域名转换为IP地址,但由于要求和响应的明文传输,现在已经成为一种流行的攻击媒介。
DNS over HTTPS或DoH旨在加密HTTPS发送DNS要求解决这一缺陷,保护客户端和DNS分析器之间的通信。DoH提高隐私和完整性,防止窃听和DNS流量操纵在企业中得到越来越多的应用。
确保企业网络DNS企业只应使用指定的控制DoH在企业环境中使用分析器。DNS实施初始访问、数据渗透或命令和控制技术可以防止威胁行为者。
将DoH与外部分析器一起使用可能不使用DNS家庭或移动用户和网络的安全控制非常有用。但对于企业网络,NSA建议只使用指定企业DNS解析器,以充分发挥企业网络安全防御,促进对本地网络资源的访问并保护内部网络信息。
NSA指出企业可以自行经营DNS但对于服务器或外部服务DoH等加密DNS要求的支持对保护当地隐私和完整性至关重要。该机构还建议禁止其他加密DNS保证所有加密或不加密的分析器DNS所有流量发送到指定企业DNS解析器。
机构解释说:“但如果是企业DNS不支持分析器DoH,企业仍应使用DNS应禁止和阻止所有加密分析器DNS,直到可以加密DNS企业功能完全集成DNS直到基础结构。”
新发布的NSA不仅提供相关指南DNS和DoH如何工作的信息也详细说明了DoH设计背后的目的,重新配置企业网络,加强DNS安全控制的好处。
NSA表示,遵循新的DNS企业网络所有者和管理员的安全指南DNS平衡隐私和安全治理。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看作者更好的文章