長期以來，將人類可讀的域名網(wǎng)址轉(zhuǎn)換為數(shù)字IP地址的DNS服務(wù)存在著巨大安全風(fēng)險，因為域名解析過程很少采用端到端加密。提供域名解析的服務(wù)器會為幾乎任何IP地址（即使是已知的惡意地址）進行解析。許多終端用戶設(shè)備的DNS配置也很容易被篡改成惡意服務(wù)器。

為了治理DNS頑疾，上周五微軟推出了一套安全DNS框架——零信任DNS(ZTDNS)，企業(yè)可在Windows網(wǎng)絡(luò)內(nèi)部鎖定域名解析。該框架的兩個主要功能是：

• 終端用戶客戶端和DNS服務(wù)器之間采用加密和密碼身份驗證的連接。
• 管理員可以嚴格限制這些服務(wù)器所能解析的域名。

破解DNS安全悖論

DNS之所以成為網(wǎng)絡(luò)安全最頑固雷區(qū)之一，主要原因之一是存在一個安全悖論：在DNS解析中實施加密和身份驗證會降低管理員的可見性，（無法看到和組織用戶設(shè)備連接惡意域名或檢測網(wǎng)絡(luò)內(nèi)異常行為）。因此，DNS流量要么以明文形式發(fā)送，要么以允許管理員在傳輸過程中解密的方式進行加密，這實質(zhì)上是一種中間人攻擊。

管理員經(jīng)常面臨以下兩難選擇：

• 要么以明文形式路由DNS流量，服務(wù)器和客戶端設(shè)備之間無法相互進行身份驗證，因此惡意域名可以被屏蔽，并且網(wǎng)絡(luò)監(jiān)控成為可能。
• 要么加密和驗證DNS流量，并放棄對域名的控制和網(wǎng)絡(luò)可見性。

微軟的ZTDNS通過將Windows DNS引擎與Windows篩選平臺（Windows防火墻的核心組件）直接集成到客戶端設(shè)備中來解決這個存在了數(shù)十年的互聯(lián)網(wǎng)安全問題（矛盾）。

咨詢公司Hunter Strategy的研究和開發(fā)副總裁Jake Williams表示，這種引擎結(jié)合可以對Windows防火墻進行以域名為基礎(chǔ)的更新。這產(chǎn)生一種機制，可讓企業(yè)系統(tǒng)管理員將客戶端DNS配置為：“只使用我們的DNS服務(wù)器，該服務(wù)器使用TLS，并且只解析某些域名”。微軟將這種DNS服務(wù)器稱為“保護性DNS服務(wù)器”。

默認情況下，防火墻會拒絕解析允許列表（白名單）中列出的域名之外的其他所有域名的解析。單獨的允許列表將包含客戶端運行授權(quán)軟件所需的IP地址子網(wǎng)。網(wǎng)絡(luò)安全專家Royce Williams將其稱為“防火墻層的一種雙向API，用戶可以同時觸發(fā)防火墻操作（通過輸入‘到防火墻’），并根據(jù)防火墻狀態(tài)觸發(fā)外部操作（輸出‘來自防火墻’）。因此，如果您是防病毒供應(yīng)商或其他任何供應(yīng)商，就不必重新發(fā)明防火墻，只需連接到WFP即可。”

ZTDNS的工作原理

微軟公布了一個ZTDNS的概念圖（下圖），展示ZTDNS如何融入微軟的移動設(shè)備管理平臺（該平臺可幫助管理員保護和控制獲準聯(lián)網(wǎng)的遠程設(shè)備）以及與從家庭或其他遠程位置連接的設(shè)備進行交互。

微軟表示，除了連接到保護性DNS服務(wù)器、DHCP、DHCPv6和NDP服務(wù)器（用于網(wǎng)絡(luò)發(fā)現(xiàn)）的連接，ZTDNS會阻止客戶端設(shè)備到所有其他IPv4或IPv6 IP地址的出站連接。

微軟指出：

當應(yīng)用程序和服務(wù)嘗試將IPv4或IPv6流量發(fā)送到未通過ZTDNS發(fā)現(xiàn)的IP地址（并且不在手動例外列表中）時，該流量將被阻止。這使ZTDNS成為一種很有價值的零信任工具：它對流量是“零信任”的，管理員可使用策略感知的保護性DNS服務(wù)器定義基于域名的鎖定。或者，可以使用客戶端證書向服務(wù)器提供影響策略的客戶端標識，而不是依賴客戶端IP地址，后者既不是安全的信號，也不太適用于“隨時隨地工作”的設(shè)備。

通過使用ZTDNS增強零信任部署，管理員可以實現(xiàn)所有出站IPv4和IPv6流量的名稱標記，而無需依賴攔截純文本DNS流量、卷入識別和阻止來自應(yīng)用程序或惡意軟件的加密DNS流量的技術(shù)軍備競賽、檢查即將加密的SNI，或依賴于特定供應(yīng)商的網(wǎng)絡(luò)協(xié)議。相反，管理員可以阻止無法識別關(guān)聯(lián)域名或命名異常的所有流量。這意味著企業(yè)不再依賴硬編碼IP地址或加密DNS服務(wù)器，也不必犧牲端到端加密的安全優(yōu)勢。

對于用作ZTDNS鎖定的保護性DNS服務(wù)器，最低要求是支持DNS over HTTPS (DoH)或DNS over TLS (DoT)，因為ZTDNS將阻止Windows使用純文本DNS。此外，在加密DNS連接上使用mTLS可支持對每個客戶端配置細粒度的DNS解析策略。最后，ZTDNS沒有引入任何新的網(wǎng)絡(luò)協(xié)議，這使其成為基于域名鎖定的一種有前景的可互操作方法。

Peculiar Ventures首席執(zhí)行官瑞安·赫斯特(Ryan Hurst)表示，網(wǎng)絡(luò)內(nèi)部大規(guī)模采用加密連接給一些大型組織帶來了困難，因為管理員使用的許多安全工具都依賴于其檢查和監(jiān)控純文本流量的能力。Hurst指出：

微軟的零信任DNS解決方案的重點是：通過將DNS轉(zhuǎn)變?yōu)樗^的網(wǎng)絡(luò)策略執(zhí)行點，部分恢復(fù)可見性；在不獲取明文流量的情況下可靠地控制和審核所解析的域名。當企業(yè)將ZTDNS其與出口網(wǎng)絡(luò)過濾相結(jié)合時，可創(chuàng)建一個閉環(huán)，使企業(yè)可以對流量的去向和時間有一定的掌控。當發(fā)生網(wǎng)絡(luò)攻擊時，零信任DNS還有可能被用作一種遲滯或阻止攻擊者在網(wǎng)絡(luò)中橫向移動的方法，在某些情況下可讓數(shù)據(jù)泄露變得更加困難。

但是安全專家警告說，ZTDNS引入了一種新穎的DNS方法，除非管理員對其當前的設(shè)計進行重大更改，冒然部署可能會破壞關(guān)鍵的網(wǎng)絡(luò)運營。企業(yè)在部署ZTDNS前需要指定一個團隊來處理升級，進行嚴格測試和文化轉(zhuǎn)變。“為了從ZTDNS獲得最大的安全價值，系統(tǒng)管理員需要枚舉他們希望客戶端連接到的域名和/或IP范圍，”Jake Williams指出：“不然將導(dǎo)致（自我造成的）拒絕服務(wù)。”

微軟官方發(fā)布了一篇文章專門介紹了部署ZTDNS的注意事項（鏈接在文末）。目前，ZTDNS的開發(fā)已經(jīng)進入內(nèi)部預(yù)覽版，但微軟沒有透露內(nèi)部人士何時可以對其進行評估以及何時推廣使用。