NSA推荐企业如何安全地采用加密的DNS

打印 | 电子邮件美国国家安全局（National Security Agency）周四发布了网络安全产品“在企业环境中采用加密DNS”，解释了在企业环境中采用加密域名系统（DNS）协议，DNS over HTTPs（DoH）的好处和风险。该版本提供了基于企业网络需求的安全实施解决方案。

DNS将URL中的域名转换为IP地址，从而使互联网更易于浏览。但是，它已成为恶意网络参与者的流行攻击媒介。 DNS以纯文本形式共享其请求和响应，未经授权的第三方可以轻松查看。越来越多地使用加密DNS来防止窃听和操纵DNS流量。随着加密DNS的普及，企业网络所有者和管理员应充分了解如何在自己的系统上正确采用它。即使没有被企业正式采用，更新的浏览器和其他软件仍可能尝试使用加密的DNS，并绕过企业传统的基于DNS的防御。

DoH会对DNS请求进行加密，从而防止窃听和操纵DNS流量。尽管确保家庭网络的私密性很好，但是如果实施得当，DoH可能会给企业网络带来风险。详细的建议将帮助企业网络所有者和管理员平衡其网络的DNS隐私和治理。它概述了适当配置企业网络以增加而不妨碍其DNS安全控制的重要性。这些企业DNS控件可以阻止网络威胁参与者使用多种威胁技术进行初始访问，命令和控制以及渗透。

NSA建议仅将企业网络的DNS流量（无论是否加密）仅发送到指定的企业DNS解析器。这样可以确保正确使用基本的企业安全控制，促进对本地网络资源的访问，并保护内部网络信息。所有其他DNS解析器应被禁用和阻止。

NSA寻求定期发布独特，可行且及时的网络安全指南，以确保国防部，国家安全系统和国防工业基地的安全。有关更多信息或其他网络安全产品，请访问NSA.gov/cybersecurity-guidedance。