長(zhǎng)期以來(lái)，將人類(lèi)可讀的域名網(wǎng)址轉(zhuǎn)換為數(shù)字IP地址的DNS服務(wù)存在著巨大安全風(fēng)險(xiǎn)，因?yàn)橛蛎馕鲞^(guò)程很少采用端到端加密。提供域名解析的服務(wù)器會(huì)為幾乎任何IP地址（即使是已知的惡意地址）進(jìn)行解析。許多終端用戶(hù)設(shè)備的DNS配置也很容易被篡改成惡意服務(wù)器。

為了治理DNS頑疾，上周五微軟推出了一套安全DNS框架——零信任DNS(ZTDNS)，企業(yè)可在Windows網(wǎng)絡(luò)內(nèi)部鎖定域名解析。該框架的兩個(gè)主要功能是：

• 終端用戶(hù)客戶(hù)端和DNS服務(wù)器之間采用加密和密碼身份驗(yàn)證的連接。
• 管理員可以嚴(yán)格限制這些服務(wù)器所能解析的域名。

破解DNS安全悖論

DNS之所以成為網(wǎng)絡(luò)安全最頑固雷區(qū)之一，主要原因之一是存在一個(gè)安全悖論：在DNS解析中實(shí)施加密和身份驗(yàn)證會(huì)降低管理員的可見(jiàn)性，（無(wú)法看到和組織用戶(hù)設(shè)備連接惡意域名或檢測(cè)網(wǎng)絡(luò)內(nèi)異常行為）。因此，DNS流量要么以明文形式發(fā)送，要么以允許管理員在傳輸過(guò)程中解密的方式進(jìn)行加密，這實(shí)質(zhì)上是一種中間人攻擊。

管理員經(jīng)常面臨以下兩難選擇：

• 要么以明文形式路由DNS流量，服務(wù)器和客戶(hù)端設(shè)備之間無(wú)法相互進(jìn)行身份驗(yàn)證，因此惡意域名可以被屏蔽，并且網(wǎng)絡(luò)監(jiān)控成為可能。
• 要么加密和驗(yàn)證DNS流量，并放棄對(duì)域名的控制和網(wǎng)絡(luò)可見(jiàn)性。

微軟的ZTDNS通過(guò)將Windows DNS引擎與Windows篩選平臺(tái)（Windows防火墻的核心組件）直接集成到客戶(hù)端設(shè)備中來(lái)解決這個(gè)存在了數(shù)十年的互聯(lián)網(wǎng)安全問(wèn)題（矛盾）。

咨詢(xún)公司Hunter Strategy的研究和開(kāi)發(fā)副總裁Jake Williams表示，這種引擎結(jié)合可以對(duì)Windows防火墻進(jìn)行以域名為基礎(chǔ)的更新。這產(chǎn)生一種機(jī)制，可讓企業(yè)系統(tǒng)管理員將客戶(hù)端DNS配置為：“只使用我們的DNS服務(wù)器，該服務(wù)器使用TLS，并且只解析某些域名”。微軟將這種DNS服務(wù)器稱(chēng)為“保護(hù)性DNS服務(wù)器”。

默認(rèn)情況下，防火墻會(huì)拒絕解析允許列表（白名單）中列出的域名之外的其他所有域名的解析。單獨(dú)的允許列表將包含客戶(hù)端運(yùn)行授權(quán)軟件所需的IP地址子網(wǎng)。網(wǎng)絡(luò)安全專(zhuān)家Royce Williams將其稱(chēng)為“防火墻層的一種雙向API，用戶(hù)可以同時(shí)觸發(fā)防火墻操作（通過(guò)輸入‘到防火墻’），并根據(jù)防火墻狀態(tài)觸發(fā)外部操作（輸出‘來(lái)自防火墻’）。因此，如果您是防病毒供應(yīng)商或其他任何供應(yīng)商，就不必重新發(fā)明防火墻，只需連接到WFP即可。”

ZTDNS的工作原理

微軟公布了一個(gè)ZTDNS的概念圖（下圖），展示ZTDNS如何融入微軟的移動(dòng)設(shè)備管理平臺(tái)（該平臺(tái)可幫助管理員保護(hù)和控制獲準(zhǔn)聯(lián)網(wǎng)的遠(yuǎn)程設(shè)備）以及與從家庭或其他遠(yuǎn)程位置連接的設(shè)備進(jìn)行交互。

微軟表示，除了連接到保護(hù)性DNS服務(wù)器、DHCP、DHCPv6和NDP服務(wù)器（用于網(wǎng)絡(luò)發(fā)現(xiàn)）的連接，ZTDNS會(huì)阻止客戶(hù)端設(shè)備到所有其他IPv4或IPv6 IP地址的出站連接。

微軟指出：

當(dāng)應(yīng)用程序和服務(wù)嘗試將IPv4或IPv6流量發(fā)送到未通過(guò)ZTDNS發(fā)現(xiàn)的IP地址（并且不在手動(dòng)例外列表中）時(shí)，該流量將被阻止。這使ZTDNS成為一種很有價(jià)值的零信任工具：它對(duì)流量是“零信任”的，管理員可使用策略感知的保護(hù)性DNS服務(wù)器定義基于域名的鎖定?；蛘撸梢允褂每蛻?hù)端證書(shū)向服務(wù)器提供影響策略的客戶(hù)端標(biāo)識(shí)，而不是依賴(lài)客戶(hù)端IP地址，后者既不是安全的信號(hào)，也不太適用于“隨時(shí)隨地工作”的設(shè)備。

通過(guò)使用ZTDNS增強(qiáng)零信任部署，管理員可以實(shí)現(xiàn)所有出站IPv4和IPv6流量的名稱(chēng)標(biāo)記，而無(wú)需依賴(lài)攔截純文本DNS流量、卷入識(shí)別和阻止來(lái)自應(yīng)用程序或惡意軟件的加密DNS流量的技術(shù)軍備競(jìng)賽、檢查即將加密的SNI，或依賴(lài)于特定供應(yīng)商的網(wǎng)絡(luò)協(xié)議。相反，管理員可以阻止無(wú)法識(shí)別關(guān)聯(lián)域名或命名異常的所有流量。這意味著企業(yè)不再依賴(lài)硬編碼IP地址或加密DNS服務(wù)器，也不必犧牲端到端加密的安全優(yōu)勢(shì)。

對(duì)于用作ZTDNS鎖定的保護(hù)性DNS服務(wù)器，最低要求是支持DNS over HTTPS (DoH)或DNS over TLS (DoT)，因?yàn)閆TDNS將阻止Windows使用純文本DNS。此外，在加密DNS連接上使用mTLS可支持對(duì)每個(gè)客戶(hù)端配置細(xì)粒度的DNS解析策略。最后，ZTDNS沒(méi)有引入任何新的網(wǎng)絡(luò)協(xié)議，這使其成為基于域名鎖定的一種有前景的可互操作方法。

Peculiar Ventures首席執(zhí)行官瑞安·赫斯特(Ryan Hurst)表示，網(wǎng)絡(luò)內(nèi)部大規(guī)模采用加密連接給一些大型組織帶來(lái)了困難，因?yàn)楣芾韱T使用的許多安全工具都依賴(lài)于其檢查和監(jiān)控純文本流量的能力。Hurst指出：

微軟的零信任DNS解決方案的重點(diǎn)是：通過(guò)將DNS轉(zhuǎn)變?yōu)樗^的網(wǎng)絡(luò)策略執(zhí)行點(diǎn)，部分恢復(fù)可見(jiàn)性；在不獲取明文流量的情況下可靠地控制和審核所解析的域名。當(dāng)企業(yè)將ZTDNS其與出口網(wǎng)絡(luò)過(guò)濾相結(jié)合時(shí)，可創(chuàng)建一個(gè)閉環(huán)，使企業(yè)可以對(duì)流量的去向和時(shí)間有一定的掌控。當(dāng)發(fā)生網(wǎng)絡(luò)攻擊時(shí)，零信任DNS還有可能被用作一種遲滯或阻止攻擊者在網(wǎng)絡(luò)中橫向移動(dòng)的方法，在某些情況下可讓數(shù)據(jù)泄露變得更加困難。

但是安全專(zhuān)家警告說(shuō)，ZTDNS引入了一種新穎的DNS方法，除非管理員對(duì)其當(dāng)前的設(shè)計(jì)進(jìn)行重大更改，冒然部署可能會(huì)破壞關(guān)鍵的網(wǎng)絡(luò)運(yùn)營(yíng)。企業(yè)在部署ZTDNS前需要指定一個(gè)團(tuán)隊(duì)來(lái)處理升級(jí)，進(jìn)行嚴(yán)格測(cè)試和文化轉(zhuǎn)變。“為了從ZTDNS獲得最大的安全價(jià)值，系統(tǒng)管理員需要枚舉他們希望客戶(hù)端連接到的域名和/或IP范圍，”Jake Williams指出：“不然將導(dǎo)致（自我造成的）拒絕服務(wù)。”

微軟官方發(fā)布了一篇文章專(zhuān)門(mén)介紹了部署ZTDNS的注意事項(xiàng)（鏈接在文末）。目前，ZTDNS的開(kāi)發(fā)已經(jīng)進(jìn)入內(nèi)部預(yù)覽版，但微軟沒(méi)有透露內(nèi)部人士何時(shí)可以對(duì)其進(jìn)行評(píng)估以及何時(shí)推廣使用。