人間が判読できるドメイン名を数値 IP アドレスに変換することは、長い間、重大なセキュリティ リスクをはらんでいました。 結局のところ、検索がエンドツーエンドで暗号化されることはほとんどありません。 ドメイン名検索を提供するサーバーは、悪意があることがわかっている場合でも、ほぼすべての IP アドレスの変換を提供します。 多くのエンドユーザー デバイスは、承認された検索サーバーの使用を停止し、代わりに悪意のあるサーバーを使用するように簡単に構成できます。
Microsoftは金曜日、 一目 ドメイン ネーム システム (DNS) の混乱を解消し、Windows ネットワーク内でのセキュリティを強化することを目的とした包括的なフレームワーク。 ZTDNS(ゼロトラストDNS)と呼ばれます。 2 つの主な利点は、(1) エンドユーザー クライアントと DNS サーバー間の通信が暗号化され、暗号的に認証されること、および (2) 管理者がこれらのサーバーが解決する範囲を厳密に制限できることです。
地雷原の撤去
DNS がセキュリティの地雷原になる理由の 1 つは、これら 2 つの機能が相互に排他的である可能性があることです。 DNS に暗号化認証と暗号化を追加すると、ユーザー デバイスが悪意のあるドメインに接続するのを防止したり、ネットワーク内の異常な動作を検出したりするために管理者が必要とする可視性が損なわれることがよくあります。 その結果、DNS トラフィックはクリア テキストで送信されるか、管理者が本質的に通信中に暗号化を解除できるような方法で暗号化されます。 途中で敵が攻撃。
管理者は、同様に魅力のないオプションのどちらかを選択する必要があります。(1) 悪意のあるドメインをブロックしてネットワークを監視できるように、サーバーとクライアント マシンが相互に認証する方法を持たずに、DNS トラフィックをクリア テキストでルーティングするか、(2) DNS トラフィックを暗号化および認証し、ドメイン制御およびネットワーク可視性から破棄します。
ZTDNS は、Windows DNS エンジンと Windows ファイアウォールのコア コンポーネントである Windows フィルタリング システムをクライアント デバイスに直接統合することで、この数十年来の問題を解決することを目指しています。
コンサルティング会社ハンター・ストラテジーズの研究開発担当バイスプレジデント、ジェイク・ウィリアムズ氏は、これまで異種だったこれらのエンジンを統合することで、Windowsファイアウォールのアップデートをドメイン名ごとに行えるようになると述べた。 その結果、組織は本質的に、顧客に「TLSを使用し、特定のドメインのみを解決するDNSサーバーのみを使用するように」と指示できるメカニズムが誕生した、と同氏は述べた。 Microsoft では、この DNS サーバーを「保護 DNS サーバー」と呼んでいます。
デフォルトでは、ファイアウォールは、許可リストにリストされているドメインを除くすべてのドメインのソリューションを拒否します。 別の許可リストには、クライアントが承認されたソフトウェアを実行するために必要な IP アドレスのサブネットが含まれます。 ニーズが急速に変化する組織内でこの作業を大規模に実行するための鍵。 ネットワーク セキュリティの専門家である Royce Williams (Jake Williams とは関係ありません) は、これを「ファイアウォール層のための一種の双方向 API であるため、(ファイアウォールへの入力によって) ファイアウォール アクションをトリガーしたり、依存する外部アクションをトリガーしたりできる」と説明しました。ファイアウォール上でのステートフル保護 (ファイアウォールからの出力) したがって、AV ベンダーなどの場合は、ファイアウォールの車輪を再発明する代わりに、WFP に電話するだけです。
“Analyst. Television trailblazer. Bacon fanatic. Internet fanatic. Lifetime beer expert. Web enthusiast. Twitter fanatic.”
More Stories
PS5 Proは数週間以内に発表されるのは確かのようだ
リークにより、疑惑のPS5 Proデバイスの名前とデザインが明らかに
Apple、最新の iOS アップデートで写真内の AI オブジェクト除去を導入