美國國家安全局(NSA)上周三發布了有關企業采用加密域名系統(DNS)協議(特別是基于HTTPS的DNS)指南。

DNS負責將URL中包含的域名轉換為IP地址，但由于以明文形式傳輸請求和響應，如今已成為一種流行的攻擊媒介。

[[376955]]

DNS over HTTPS或DoH旨在通過加密的HTTPS發送DNS請求來解決此缺陷，保護客戶端和DNS解析器之間的通信。DoH改善了隱私和完整性，防止了竊聽和DNS流量操縱，并在企業中得到越來越多的采用。

為了確保對企業網絡DNS的控制，企業應當僅啟用指定的DoH解析器。在企業環境中使用DNS控件可以防止威脅行為者實施初始訪問、數據滲透或命令與控制技術。

將DoH與外部解析器一起使用可能對不使用DNS安全控制的家庭或移動用戶以及網絡非常有用。但是對于企業網絡，NSA建議僅使用指定的企業DNS解析器，以充分發揮企業網絡安全防御，促進對本地網絡資源的訪問并保護內部網絡信息。

NSA指出，企業可以使用自己操作的DNS服務器或外部服務，但是對DoH等加密DNS請求的支持對于確保本地隱私和完整性保護至關重要。該機構還建議禁用其他加密的DNS解析器，并確保將所有加密或不加密的DNS流量全部發送到指定的企業DNS解析器。

該機構解釋說：“但是如果企業DNS解析器不支持DoH，則應仍使用企業DNS解析器，并且應禁用和阻止所有加密的DNS，直到可以將加密的DNS功能完全集成到企業DNS基礎結構中為止。”

新發布的NSA指南不僅提供有關DNS和DoH如何工作的信息，而且還詳細說明了DoH設計背后的目的，以及重新配置企業網絡以增強DNS安全控制的好處。

NSA表示，遵循新的DNS安全指南，企業網絡所有者和管理員可以在DNS方面平衡隱私和安全治理。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文