CSA：基于SDP和DNS融合的零信任安全增强策略模型

本公众号由CSA大中华区官方新注册，

尚未关注的朋友，诚邀关注，共享独家资讯。

网络复杂度飙升和安全威胁加剧的背景下，组织机构需要能够简化、优化并保护网络通讯的解决方案。域名系统（DNS）将人类可读的域名（例如：cloudsecurityalliance.org）映射到互联网协议（IP）地址，对于可靠的互联网运营和连接至关重要。组织机构可以集成软件定义边界（SDP）架构与DNS，提升安全能力。

国际云安全联盟CSA发布报告《基于SDP和DNS融合的零信任安全增强策略模型》，报告通过2个实际用例解释了如何将DNS、企业管理DDI系统与SDP结合，使用DNS及企业管理DDI系统为SDP提供设备及网络行为的上下文信息，作为SDP系统输入，以增强访问控制策略的决策能力，从而提供改进的安全可见性、恢复能力及响应能力，帮助组织机构通过零信任架构获取的安全保障更上一层楼。

以下为报告主要内容：

域名系统（DNS）是一种分层命名系统，它构建在一个为计算机、服务或任何连接到互联网或专用网络的资源而设的分布式数据库上。DNS将人类可读的域名映射到计算机可识别的互联网协议（IP）地址，定位和寻址全球设备，对于可靠的互联网运营和连接至关重要。几乎每个网络连接都是以DNS查询开始。

动态主机配置协议（DHCP）是一种自动配置协议服务，可在连接时将 IP 地址分配给网络设备，这对于将设备连接到网络至关重要。每个设备都必须有一个 IP 地址才能通信。

互联网协议地址管理（IPAM）是企业在私有网络上管理DNS和DHCP的系统。IPAM系统可以对网络中如何分配和解析IP地址提供计划、跟踪和管理。通常，DNS和DHCP等技术被串联起来执行这些任务。

集成上述三个核心网络服务的解决方案统称为 DDI（DNS，DHCP，IPAM）。通过集中式DDI解决方案，网络管理员可以从单一管理平台获得对其网络的可见性和控制权。一个架构设计良好的DDI会使用IPAM集成DNS和DHCP服务的数据，以便每个服务都能及时感知其他服务的变化。例如，当DNS知道了DHCP分配给客户端的IP地址，自身就会进行相应的更新，这样，即便客户端IP地址是由DHCP动态分配的，私有DNS仍然可以通过主机名来解析客户端。

DDI 组合具有独特的优势，可以记录网络上的人员、人员的去向以及（更重要的是）去过的地方，为企业提供可见性和控制力。DNS传统上是在本地部署和管理的。然而，就像许多企业IT和安全基础设施元素一样，由企业管理的DDI也已经开始转向云端管理。本报告仍聚焦企业本地管理模式。

DNS的无处不在以及该协议的开放性、无连接性和未加密特性，使得DNS成为恶意软件渗透到网络中并窃取数据（通常不易被发现）的常用目标。但是本报告并非对DNS基础设施本身的安全性进行探讨，而是研究如何利用DNS/DDI的独特优势来增强网络的安全性。

基于DNS的安全性对于早期检测和阻断网络内的恶意软件活动至关重要。恶意软件通常需要利用DNS解析命令和控制（C&C）服务器的IP地址。DNS也常常被恶意软件用作隐蔽通信通道，以避免被企业安全机制检测到。

DNS在网络安全方面的作用包括但不限于：

1. 用作恶意软件控制点

当需要域名解析时，DNS是失陷设备传播恶意软件的第一个通信点，因此可以用来检测和响应恶意软件攻击。通过在DNS服务器上使用高质量的聚合威胁情报，可以有效阻止到已知恶意的或已知C&C服务器的外部域名的DNS解析，从而在攻击开始之前就破坏攻击链，阻止恶意软件活动，包括勒索软件活动。

在DNS上使用威胁情报来阻止恶意软件活动

2. 阻止数据泄露

DNS可以充当将数据从企业中泄露出去的反向通道。恶意攻击者可以使用标准的隧道工具包或自定义方法，通过将命令和数据隐藏到有效格式的DNS请求中，进而与目标计算机秘密通信。传统基于已知特征匹配的安全技术很难检测到各种隧道的变体或新的攻击手法，因此很容易被绕过。

缓解上述0Day数据泄露/隧道的最佳方法是对DNS查询使用基于人工智能/机器学习（AI/ML）的分析，有助于检测和允许合法隧道（例如某些防病毒软件会使用DNS隧道进行端点在线更新），同时阻止用于泄露数据的恶意隧道。

3. 用作域名生成算法 (DGA) 控制点

域名生成算法(DGA)用于随机生成动态域名，使得黑客能够绕过基于静态域名的URL阻断系统。通常情况下，黑客会编写恶意软件入侵网络，并利用由DGA算法生成的动态域名连接到由其控制的C&C服务器。

通过机器学习分析和检查DNS请求，可以识别出基于DGA方法的攻击模式，阻断使用相同模式的连接。

4. 执行基于类别的过滤

除检测和阻断基于DGA的攻击之外，DNS可以作为一个强大的网络策略执行点，用于阻止特定用户访问特定类别的内容，如社交媒体、暴力、赌博等。许多企业已经为网络设备部署了DNS过滤服务，以便对用户强制实施这些策略。

在DNS层配置和实施策略的好处是，它不是计算密集型的，并且可以扩展到数百万级别。但是，我们必须注意到DNS层的策略是粗粒度的（例如域名）。因此，需要结合其他机制提供更细粒度的策略框架和实施方案，以利用好DDI数据库。

信息安全始终是多层级的，纵深防御就是其中一个关键概念。而基于SDP的零信任是一种有效的方案，通过集成企业安全基础架构的许多其他组件而使企业受益。企业DNS就是其中一个例子，通过将DNS、企业管理的DDI系统与SDP结合，可以为企业提供改进的安全可见性和控制力，在很大程度上提高企业安全性并帮助企业在零信任安全之旅中更上一层楼。报告通过探讨以下两个用例来很好地说明了这一点。

用例1：DNS向SDP提供上下文和元数据

DNS和企业管理的DDI可以提供有关设备和网络行为的上下文信息，并将此上下文信息作为零信任SDP系统的输入，可以为其是否允许用户访问网络提供决策支持，从而增强零信任访问控制决策能力。

用例2：SDP控制器将策略结果发布到DNS

SDP控制器可以将访问策略结果发布到本地DNS服务器，以便提供一层额外的控制。DNS系统可以使用来自 SDP控制器的零信任上下文信息和决策，扩展SDP的覆盖范围，并有效地使企业 DNS 成为一个关键的零信任策略执行点。

企业 DDI 通过过滤已知的不良站点和检测失陷指标（IoC）可以提升企业的安全性。将企业DDI系统与SDP系统结合，实现互相集成和增强，可进一步提升企业的安全性、韧性和响应能力。

DNS可以为SDP控制器提供增强的上下文设备和活动信息，以便后者更好地实施安全策略决策。DNS系统也可以使用来自 SDP控制器的零信任上下文信息和决策结果，扩展SDP的覆盖范围，并有效地使企业 DNS 成为一个关键的零信任策略执行点。这两个系统都可以通过集成而受益。