DNS安全是零信任网络的第一道防线

2020-05-13 16:59:46 云杰 111

  

DNS安全是零信任网络的第一道防线

  企业与个人现在开始重视网络安全,说到网络安全的防线我们总是会提及防火墙、VPN等,随着网络的逐渐发展和5G技术的到来,零信任一词在网络大潮中诞生了。

  零信任它是网络安全防御的一种特殊方法不是“先验证,然后信任”,而是“永远不要信任,永远要验证”。

  事实上,零信任是通过限制数据访问来保护数据。目的在为了无论是什么范围内的网络先采取验证的方法,为企业加固了一道防线,零信任方法要求在授予访问权限之前,对试图连接到企业的应用程序或系统的每个人、设备、帐户等进行验证,通过层层验证收发加强数据保护。


  零信任具备的五个原则

  验证数据访问:在任何时候,都必须不断仔细地重新验证对这些数据的访问,数据对企业个人来说都是十分重要的。

  分析数据流:必须了解数据进出系统/设备的流程才能更好的保护数据,以便以后进行验证并建立微分段网络。

  微分段:创建微分段网络,将其最好地映射到数据流。

  可见性和监视:对网络中的所有活动具有可见性,将其记录下来,企业可以通过与安全信息和事件管理(SIEM)技术集成来确定是否存在恶意行为并安排专业人员对其进行全面分析。

  自动化响应:为安全自动化以及业务流程和响应(SOAR)工具包装“零信任”最佳实践,以支持缓解工作。


  DNS安全对零信任网络的重要性

  DNS域名系统通过检测和阻止与大多数现代恶意软件(如勒索软件,漏洞利用,网络钓鱼,命令和控制)有关的活动,为零信任网络进行分析保护。

  DNS安全性可以增强您现有的安全性工具,并可以减轻外部来源造成的威胁,从而减少了发送给这些工具的恶意流量,并保留了它们的处理能力。


  可以利用DNS安全性:

  DNS解析:当受感染的端点尝试解析服务器的域名时,DNS服务器可能会阻止该名称解析,并将该连接请求发送到废弃的地方,防止从这些垃圾站点中下载恶意的数据或软件。

  DNS隧道:黑客使用DNS有效载荷来窃取端口53上的数据,以规避下一代防火墙,通过DNS隧道来检测此类渗透并防止通过DNS进行数据渗透。

  大量DNS请求:僵尸网络可用于在外部DNS服务器上发起分布式拒绝服务(DDoS)攻击,使我们在使用时无法了解到真正的域解析。在之前发生的恶意攻击中,DNS服务器发起了大规模的DDoS攻击。强大的DNS服务能够大量检测阻止此类伪造的DNS请求。