美国国家安全局发布企业加密DNS应用指南

发布时间：2021-01-20 17:58:15来源：信息安全D1net

点击上方“蓝色字体”，选择“设为星标”

关键讯息，D1时间送达！

美国国家安全局(NSA)上周三发布了有关企业采用加密域名系统(DNS)协议(特别是基于HTTPS的DNS)指南。

DNS负责将URL中包含的域名转换为IP地址，但由于以明文形式传输请求和响应，如今已成为一种流行的攻击媒介。

DNSoverHTTPS或DoH旨在通过加密的HTTPS发送DNS请求来解决此缺陷，保护客户端和DNS解析器之间的通信。DoH改善了隐私和完整性，防止了窃听和DNS流量操纵，并在企业中得到越来越多的采用。

为了确保对企业网络DNS的控制，企业应当仅启用指定的DoH解析器。在企业环境中使用DNS控件可以防止威胁行为者实施初始访问、数据渗透或命令与控制技术。

将DoH与外部解析器一起使用可能对不使用DNS安全控制的家庭或移动用户以及网络非常有用。但是对于企业网络，NSA建议仅使用指定的企业DNS解析器，以充分发挥企业网络安全防御，促进对本地网络资源的访问并保护内部网络信息。

NSA指出，企业可以使用自己操作的DNS服务器或外部服务，但是对DoH等加密DNS请求的支持对于确保本地隐私和完整性保护至关重要。该机构还建议禁用其他加密的DNS解析器，并确保将所有加密或不加密的DNS流量全部发送到指定的企业DNS解析器。

该机构解释说：“但是如果企业DNS解析器不支持DoH，则应仍使用企业DNS解析器，并且应禁用和阻止所有加密的DNS，直到可以将加密的DNS功能完全集成到企业DNS基础结构中为止。”

新发布的NSA指南不仅提供有关DNS和DoH如何工作的信息，而且还详细说明了DoH设计背后的目的，以及重新配置企业网络以增强DNS安全控制的好处。

NSA表示，遵循新的DNS安全指南，企业网络所有者和管理员可以在DNS方面平衡隐私和安全治理。

（来源：安全牛）

如果您在企业IT、网络、通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1Net投稿投稿邮箱：editor@d1net.com

企业网D1net旗下信众智是CIO（首席信息官）的智力、资源分享平台，也是国内最大的CIO社交平台。

信众智让CIO为CIO服务，提供产品点评、咨询、培训、猎头、需求对接等服务。也是国内最早的toB共享经济平台。

同时，企业网D1net和超过一半的央企信息部门主管联合成立了中国企业数字化联盟，主要面向各地大型企业，提供数字化转型方面的技术、政策、战略、战术方面的帮助和支撑。

扫描下方“二维码”或点击“阅读原文”可以查看更多详情