DNS是一種在考慮安全問(wèn)題時(shí)常被人忽略的核心基礎(chǔ)設(shè)施組件。壞人常利用它來(lái)侵入企業(yè)網(wǎng)絡(luò)。

[[176087]]

DNS安全常被認(rèn)為是要么保護(hù)DNS架構(gòu)和基礎(chǔ)設(shè)施不受各種攻擊侵?jǐn)_，要么維護(hù)白名單黑名單來(lái)控制對(duì)惡意域名的訪問(wèn)——雖然這確實(shí)是很重要的一個(gè)方面，但網(wǎng)絡(luò)安全人員利用DNS獲得的安全控制、情報(bào)和益處，真心比這要多得多。下面列出了內(nèi)部和外部DNS能給企業(yè)在積極緩解已知和未知威脅上帶來(lái)的各種好處。

1. 內(nèi)部和外部可見(jiàn)性

[[176088]]

無(wú)論是IT基礎(chǔ)設(shè)施、企業(yè)服務(wù)器、桌面電腦、筆記本電腦、POS系統(tǒng)、連到來(lái)賓網(wǎng)絡(luò)的非受信設(shè)備甚或智能手機(jī)之類(lèi)不受控設(shè)備，還是其他隨便什么聯(lián)網(wǎng)的“東西”，它們?nèi)际褂肈NS來(lái)進(jìn)行內(nèi)部和外部通信。DNS的普遍性提供了對(duì)網(wǎng)絡(luò)的大量?jī)?nèi)部和外部可見(jiàn)性，有助于管理惡意內(nèi)部人士和外部威脅帶來(lái)的日益增長(zhǎng)的風(fēng)險(xiǎn)。

2. 揭示用戶或入網(wǎng)設(shè)備的意圖

[[176089]]

DNS服務(wù)產(chǎn)生的大量數(shù)據(jù)，提供了知曉典型用戶/客戶端行為的機(jī)會(huì)，可用于識(shí)別客戶端或用戶開(kāi)始偏離典型行為情況，或者客戶端超出企業(yè)設(shè)定風(fēng)險(xiǎn)容忍度的情況。舉個(gè)例子，如果某客戶端或用戶，在凌晨3點(diǎn)之類(lèi)非正常工作時(shí)間，與剛產(chǎn)生的域建立了通信并傳輸幾GB的數(shù)據(jù)，那就是惡意行為的一個(gè)極佳指示器。

3. 實(shí)施策略

[[176090]]

安全世界的一大挑戰(zhàn)，就是在企業(yè)范圍內(nèi)的所有設(shè)備上實(shí)施策略。簡(jiǎn)單來(lái)講，網(wǎng)絡(luò)上充斥著太多不同設(shè)備類(lèi)型、操作系統(tǒng)和其他“東西”——其中一些甚至不是企業(yè)所有，因而控制代理不能安裝在這些上面。通過(guò)揭示每個(gè)設(shè)備試圖干些什么，DNS改變了這一模型，且由于DNS處于可允許或拒絕資源訪問(wèn)的特殊位置上，基于已建立的標(biāo)準(zhǔn)設(shè)置允許或拒絕特定行為的策略就非常簡(jiǎn)單了。比如說(shuō)，使用DNS，可以設(shè)置一條規(guī)則，允許來(lái)賓無(wú)線設(shè)備訪問(wèn)社交媒體，而公司內(nèi)部資產(chǎn)不能訪問(wèn)社交媒體。

4. 風(fēng)險(xiǎn)評(píng)估和打分

[[176091]]

DNS作為安全平臺(tái)所能提供的一項(xiàng)能力，就是為指定請(qǐng)求帶來(lái)上下文環(huán)境。該上下文可被用于評(píng)估允許某行為的整體風(fēng)險(xiǎn)，然后就可基于公司設(shè)定的風(fēng)險(xiǎn)承受值予以放行或封鎖。比如說(shuō)，如果某客戶端請(qǐng)求 www.yahooX.com ，DNS可被用于詢(xún)問(wèn)關(guān)于該請(qǐng)求的一系列問(wèn)題，給出一個(gè)風(fēng)險(xiǎn)評(píng)分。對(duì)這些問(wèn)題的答案有助于測(cè)定風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)值又決定了行動(dòng)方案，比如封鎖該請(qǐng)求、重定向，或其他動(dòng)作。

5. 強(qiáng)化安全態(tài)勢(shì)

[[176092]]

深度防御戰(zhàn)略，以及支持該戰(zhàn)略每個(gè)層次的底層技術(shù)，都極其有價(jià)值。雖然每個(gè)層次都有自己的范圍和目的，DNS卻能在無(wú)需部署新基礎(chǔ)設(shè)施、重構(gòu)網(wǎng)絡(luò)或中斷當(dāng)前操作實(shí)踐的情況下，強(qiáng)化公司安全態(tài)勢(shì)，甚至成為其中新的一層。

6. 數(shù)據(jù)泄露鑒證

[[176093]]

無(wú)處不在的DNS及其產(chǎn)生的數(shù)據(jù)，不僅僅對(duì)網(wǎng)絡(luò)上所有活動(dòng)提供了可見(jiàn)性，還能產(chǎn)出可被拿來(lái)分析追蹤已識(shí)別數(shù)據(jù)泄露之根源的切實(shí)數(shù)據(jù)。這些實(shí)實(shí)在在的數(shù)據(jù)包括很多細(xì)節(jié)，比如發(fā)起設(shè)備、其類(lèi)型、操作系統(tǒng)、設(shè)備上運(yùn)行的應(yīng)用或服務(wù)、訪問(wèn)的域等等，是任何數(shù)據(jù)泄露鑒證都可用的信息金礦。