長期以來，將人類可讀的域名網(wǎng)址轉(zhuǎn)換為數(shù)字IP地址的DNS服務(wù)存在著巨大安全風(fēng)險(xiǎn)，因?yàn)橛蛎馕鲞^程很少采用端到端加密。提供域名解析的服務(wù)器會(huì)為幾乎任何IP地址（即使是已知的惡意地址）進(jìn)行解析。許多終端用戶設(shè)備的DNS配置也很容易被篡改成惡意服務(wù)器。

為了治理DNS頑疾，上周五微軟推出了一套安全DNS框架——零信任DNS(ZTDNS)，企業(yè)可在Windows網(wǎng)絡(luò)內(nèi)部鎖定域名解析。該框架的兩個(gè)主要功能是：

• 終端用戶客戶端和DNS服務(wù)器之間采用加密和密碼身份驗(yàn)證的連接。
• 管理員可以嚴(yán)格限制這些服務(wù)器所能解析的域名。

破解DNS安全悖論

DNS之所以成為網(wǎng)絡(luò)安全最頑固雷區(qū)之一，主要原因之一是存在一個(gè)安全悖論：在DNS解析中實(shí)施加密和身份驗(yàn)證會(huì)降低管理員的可見性，（無法看到和組織用戶設(shè)備連接惡意域名或檢測(cè)網(wǎng)絡(luò)內(nèi)異常行為）。因此，DNS流量要么以明文形式發(fā)送，要么以允許管理員在傳輸過程中解密的方式進(jìn)行加密，這實(shí)質(zhì)上是一種中間人攻擊。

管理員經(jīng)常面臨以下兩難選擇：

• 要么以明文形式路由DNS流量，服務(wù)器和客戶端設(shè)備之間無法相互進(jìn)行身份驗(yàn)證，因此惡意域名可以被屏蔽，并且網(wǎng)絡(luò)監(jiān)控成為可能。
• 要么加密和驗(yàn)證DNS流量，并放棄對(duì)域名的控制和網(wǎng)絡(luò)可見性。

微軟的ZTDNS通過將Windows DNS引擎與Windows篩選平臺(tái)（Windows防火墻的核心組件）直接集成到客戶端設(shè)備中來解決這個(gè)存在了數(shù)十年的互聯(lián)網(wǎng)安全問題（矛盾）。

咨詢公司Hunter Strategy的研究和開發(fā)副總裁Jake Williams表示，這種引擎結(jié)合可以對(duì)Windows防火墻進(jìn)行以域名為基礎(chǔ)的更新。這產(chǎn)生一種機(jī)制，可讓企業(yè)系統(tǒng)管理員將客戶端DNS配置為：“只使用我們的DNS服務(wù)器，該服務(wù)器使用TLS，并且只解析某些域名”。微軟將這種DNS服務(wù)器稱為“保護(hù)性DNS服務(wù)器”。

默認(rèn)情況下，防火墻會(huì)拒絕解析允許列表（白名單）中列出的域名之外的其他所有域名的解析。單獨(dú)的允許列表將包含客戶端運(yùn)行授權(quán)軟件所需的IP地址子網(wǎng)。網(wǎng)絡(luò)安全專家Royce Williams將其稱為“防火墻層的一種雙向API，用戶可以同時(shí)觸發(fā)防火墻操作（通過輸入‘到防火墻’），并根據(jù)防火墻狀態(tài)觸發(fā)外部操作（輸出‘來自防火墻’）。因此，如果您是防病毒供應(yīng)商或其他任何供應(yīng)商，就不必重新發(fā)明防火墻，只需連接到WFP即可。”

ZTDNS的工作原理

微軟公布了一個(gè)ZTDNS的概念圖（下圖），展示ZTDNS如何融入微軟的移動(dòng)設(shè)備管理平臺(tái)（該平臺(tái)可幫助管理員保護(hù)和控制獲準(zhǔn)聯(lián)網(wǎng)的遠(yuǎn)程設(shè)備）以及與從家庭或其他遠(yuǎn)程位置連接的設(shè)備進(jìn)行交互。

ZTDNS概念示意圖

微軟表示，除了連接到保護(hù)性DNS服務(wù)器、DHCP、DHCPv6和NDP服務(wù)器（用于網(wǎng)絡(luò)發(fā)現(xiàn)）的連接，ZTDNS會(huì)阻止客戶端設(shè)備到所有其他IPv4或IPv6 IP地址的出站連接。

ZTDNS對(duì)出站流量的處理

微軟指出：

當(dāng)應(yīng)用程序和服務(wù)嘗試將IPv4或IPv6流量發(fā)送到未通過ZTDNS發(fā)現(xiàn)的IP地址（并且不在手動(dòng)例外列表中）時(shí)，該流量將被阻止。這使ZTDNS成為一種很有價(jià)值的零信任工具：它對(duì)流量是“零信任”的，管理員可使用策略感知的保護(hù)性DNS服務(wù)器定義基于域名的鎖定?；蛘撸梢允褂每蛻舳俗C書向服務(wù)器提供影響策略的客戶端標(biāo)識(shí)，而不是依賴客戶端IP地址，后者既不是安全的信號(hào)，也不太適用于“隨時(shí)隨地工作”的設(shè)備。

基于域名的鎖定

通過使用ZTDNS增強(qiáng)零信任部署，管理員可以實(shí)現(xiàn)所有出站IPv4和IPv6流量的名稱標(biāo)記，而無需依賴攔截純文本DNS流量、卷入識(shí)別和阻止來自應(yīng)用程序或惡意軟件的加密DNS流量的技術(shù)軍備競(jìng)賽、檢查即將加密的SNI，或依賴于特定供應(yīng)商的網(wǎng)絡(luò)協(xié)議。相反，管理員可以阻止無法識(shí)別關(guān)聯(lián)域名或命名異常的所有流量。這意味著企業(yè)不再依賴硬編碼IP地址或加密DNS服務(wù)器，也不必犧牲端到端加密的安全優(yōu)勢(shì)。

有和沒有ZTDNS的系統(tǒng)比較

對(duì)于用作ZTDNS鎖定的保護(hù)性DNS服務(wù)器，最低要求是支持DNS over HTTPS (DoH)或DNS over TLS (DoT)，因?yàn)閆TDNS將阻止Windows使用純文本DNS。此外，在加密DNS連接上使用mTLS可支持對(duì)每個(gè)客戶端配置細(xì)粒度的DNS解析策略。最后，ZTDNS沒有引入任何新的網(wǎng)絡(luò)協(xié)議，這使其成為基于域名鎖定的一種有前景的可互操作方法。

Peculiar Ventures首席執(zhí)行官瑞安·赫斯特(Ryan Hurst)表示，網(wǎng)絡(luò)內(nèi)部大規(guī)模采用加密連接給一些大型組織帶來了困難，因?yàn)楣芾韱T使用的許多安全工具都依賴于其檢查和監(jiān)控純文本流量的能力。Hurst指出：

微軟的零信任DNS解決方案的重點(diǎn)是：通過將DNS轉(zhuǎn)變?yōu)樗^的網(wǎng)絡(luò)策略執(zhí)行點(diǎn)，部分恢復(fù)可見性；在不獲取明文流量的情況下可靠地控制和審核所解析的域名。當(dāng)企業(yè)將ZTDNS其與出口網(wǎng)絡(luò)過濾相結(jié)合時(shí)，可創(chuàng)建一個(gè)閉環(huán)，使企業(yè)可以對(duì)流量的去向和時(shí)間有一定的掌控。當(dāng)發(fā)生網(wǎng)絡(luò)攻擊時(shí)，零信任DNS還有可能被用作一種遲滯或阻止攻擊者在網(wǎng)絡(luò)中橫向移動(dòng)的方法，在某些情況下可讓數(shù)據(jù)泄露變得更加困難。

但是安全專家警告說，ZTDNS引入了一種新穎的DNS方法，除非管理員對(duì)其當(dāng)前的設(shè)計(jì)進(jìn)行重大更改，冒然部署可能會(huì)破壞關(guān)鍵的網(wǎng)絡(luò)運(yùn)營。企業(yè)在部署ZTDNS前需要指定一個(gè)團(tuán)隊(duì)來處理升級(jí)，進(jìn)行嚴(yán)格測(cè)試和文化轉(zhuǎn)變。“為了從ZTDNS獲得最大的安全價(jià)值，系統(tǒng)管理員需要枚舉他們希望客戶端連接到的域名和/或IP范圍，”Jake Williams指出：“不然將導(dǎo)致（自我造成的）拒絕服務(wù)?！?/p>

微軟官方發(fā)布了一篇文章專門介紹了部署ZTDNS的注意事項(xiàng)（鏈接在文末）。目前，ZTDNS的開發(fā)已經(jīng)進(jìn)入內(nèi)部預(yù)覽版，但微軟沒有透露內(nèi)部人士何時(shí)可以對(duì)其進(jìn)行評(píng)估以及何時(shí)推廣使用。