微软推出基于零信任技术的ZTDNS 未来将在Win11及后续版本中默认使用
2024-5-5 12:14:31 Author: www.landiannews.com(查看原文) 阅读量:13 收藏

微软日前宣布推出基于开放标准的零信任技术 ZTDNS (即 Zero Trust DNS),这种新型 DNS 技术将在 Windows 11 及后续版本中使用,对企业安全和企业 IT 管理员来说是个值得关注但可能需要对基础设施进行改造的新技术。

传统 DNS 技术在企业安全中存在的问题:

在大型企业内部通常会配置防火墙用来过滤不安全的流量,要实现识别和过滤那就必须破坏 DNS 加密或使用不加密的 DNS 等方式,例如 53 端口或通过 SNI 检查。

破坏 DNS 加密后确实可以识别内网员工要访问的地址,但破坏加密本身也是会弱化安全性,不利于企业继续提高网络安全性,例如在全部使用非加密 DNS 的情况下,黑客可以潜伏并窥探企业员工访问的各种地址。

微软推出基于零信任技术的ZTDNS 未来将在Win11及后续版本中默认使用

ZTDNS 是如何工作的:

ZTDNS 集成 Windows DNS 客户端和 WFP 过滤平台,实现基于域名的锁定,在实际工作时,首先 Windows 会配备一组支持 DoH 或 DoT 的加密 DNS 服务器确保数据都是加密状态。

其次 IT 管理员可以在管理中心配置白名单,即所有允许访问的域名、IPv4、IPv6、UDP 端口等信息,在实际访问中 ZTDNS 先将要访问的信息生成特征码然后发送到加密后的 ZTDNS 中,ZTDNS 检查要加载的域名或 IP 等信息是否在匹配列表中。

如果成功匹配则允许 ZTDNS 解析域名并进行访问,反之则会阻断连接,这样 DoH 或 DoT 加密没有被破坏,用户访问的所有流量从解析到完成握手全部都是加密的。

未来 ZTDNS 将会在 Windows 11 及后续版本中默认使用:

现阶段 ZTDNS 还在私人预览阶段,即仅有收到邀请的客户才能使用,当推出 Insider 公共预览时微软将发布通知,到时候企业 IT 管理员即可进行部署测试。

值得注意的是微软已经透露将在 ZTDNS 将在 Windows 11 及后续版本中默认使用,当然这对消费者来说不会有什么影响,毕竟 ZTDNS 需要手动配置,不配置那就是没有任何访问限制。

唯一要求是 ZTDNS 不再支持纯文本 DNS,也就是必须使用 DNS over HTTPS 或 DNS over TLS,这个到时候应该也可以禁用。

对 IT 管理员来说是个麻烦的工作:

ZTDNS 从技术原理上说可以大幅度提高安全性并增强内部网络的管控,不过到时候 IT 管理员进行改造的时候应该会比较麻烦,需要配置大量信息例如白名单域名、端口、IP 地址,部分协议例如 RDNSS 等可能也不会支持,所以 IT 管理员可能要经过充分的测试后再考虑是否部署,以免影响某些协议的正常使用。

更多技术细节请访问微软官方博客:https://techcommunity.microsoft.com/t5/networking-blog/announcing-zero-trust-dns-private-preview/ba-p/4110366

版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。


文章来源: https://www.landiannews.com/archives/103699.html
如有侵权请联系:admin#unsafe.sh