美國國家安全局(NSA)上周三發(fā)布了有關(guān)企業(yè)采用加密域名系統(tǒng)(DNS)協(xié)議(特別是基于HTTPS的DNS)指南。

DNS負(fù)責(zé)將URL中包含的域名轉(zhuǎn)換為IP地址，但由于以明文形式傳輸請求和響應(yīng)，如今已成為一種流行的攻擊媒介。

[[376955]]

DNS over HTTPS或DoH旨在通過加密的HTTPS發(fā)送DNS請求來解決此缺陷，保護(hù)客戶端和DNS解析器之間的通信。DoH改善了隱私和完整性，防止了竊聽和DNS流量操縱，并在企業(yè)中得到越來越多的采用。

為了確保對企業(yè)網(wǎng)絡(luò)DNS的控制，企業(yè)應(yīng)當(dāng)僅啟用指定的DoH解析器。在企業(yè)環(huán)境中使用DNS控件可以防止威脅行為者實(shí)施初始訪問、數(shù)據(jù)滲透或命令與控制技術(shù)。

將DoH與外部解析器一起使用可能對不使用DNS安全控制的家庭或移動用戶以及網(wǎng)絡(luò)非常有用。但是對于企業(yè)網(wǎng)絡(luò)，NSA建議僅使用指定的企業(yè)DNS解析器，以充分發(fā)揮企業(yè)網(wǎng)絡(luò)安全防御，促進(jìn)對本地網(wǎng)絡(luò)資源的訪問并保護(hù)內(nèi)部網(wǎng)絡(luò)信息。

NSA指出，企業(yè)可以使用自己操作的DNS服務(wù)器或外部服務(wù)，但是對DoH等加密DNS請求的支持對于確保本地隱私和完整性保護(hù)至關(guān)重要。該機(jī)構(gòu)還建議禁用其他加密的DNS解析器，并確保將所有加密或不加密的DNS流量全部發(fā)送到指定的企業(yè)DNS解析器。

該機(jī)構(gòu)解釋說：“但是如果企業(yè)DNS解析器不支持DoH，則應(yīng)仍使用企業(yè)DNS解析器，并且應(yīng)禁用和阻止所有加密的DNS，直到可以將加密的DNS功能完全集成到企業(yè)DNS基礎(chǔ)結(jié)構(gòu)中為止。”

新發(fā)布的NSA指南不僅提供有關(guān)DNS和DoH如何工作的信息，而且還詳細(xì)說明了DoH設(shè)計(jì)背后的目的，以及重新配置企業(yè)網(wǎng)絡(luò)以增強(qiáng)DNS安全控制的好處。

NSA表示，遵循新的DNS安全指南，企業(yè)網(wǎng)絡(luò)所有者和管理員可以在DNS方面平衡隱私和安全治理。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文