사람이 읽을 수 있는 도메인 이름을 숫자 IP 주소로 변환하는 것은 오랫동안 심각한 보안 위험을 안고 있었습니다. 결국 검색이 종단 간 암호화되는 경우는 거의 없습니다. 도메인 이름 조회를 제공하는 서버는 악성으로 알려진 경우에도 거의 모든 IP 주소에 대한 번역을 제공합니다. 많은 최종 사용자 장치는 승인된 검색 서버 사용을 중단하고 대신 악성 서버를 사용하도록 쉽게 구성할 수 있습니다.
마이크로소프트는 금요일에 섬광 DNS(Domain Name System)의 복잡한 문제를 해결하여 Windows 네트워크 내에서 보안을 강화하는 것을 목표로 하는 포괄적인 프레임워크입니다. 이를 ZTDNS(제로 트러스트 DNS)라고 합니다. 두 가지 주요 이점은 (1) 최종 사용자 클라이언트와 DNS 서버 간의 암호화 및 암호화 인증된 통신과 (2) 관리자가 이러한 서버가 확인할 범위를 엄격하게 제한할 수 있다는 것입니다.
지뢰밭 청소
DNS가 보안의 지뢰밭이 될 수 있는 이유 중 하나는 이 두 기능이 상호 배타적일 수 있다는 것입니다. DNS에 암호화 인증 및 암호화를 추가하면 관리자가 사용자 장치가 악성 도메인에 연결하는 것을 방지하거나 네트워크 내에서 비정상적인 동작을 감지하는 데 필요한 가시성이 모호해지는 경우가 많습니다. 결과적으로 DNS 트래픽은 일반 텍스트로 전송되거나 관리자가 기본적으로 전송 중인 트래픽을 해독할 수 있는 방식으로 암호화됩니다. 중간에 적의 공격.
관리자는 똑같이 매력적이지 않은 옵션 중에서 선택해야 합니다. (1) 악의적인 도메인을 차단하고 네트워크를 모니터링할 수 있도록 서버와 클라이언트 시스템이 서로를 인증할 수 있는 방법 없이 일반 텍스트로 DNS 트래픽을 라우팅하거나 (2) DNS 트래픽을 암호화 및 인증하고 도메인 제어 및 네트워크 가시성을 폐기합니다.
ZTDNS는 Windows 방화벽의 핵심 구성 요소인 Windows 필터링 시스템과 Windows DNS 엔진을 클라이언트 장치에 직접 통합하여 이 수십 년 된 문제를 해결하는 것을 목표로 합니다.
컨설팅 회사인 Hunter Strategies의 연구 개발 담당 부사장인 Jake Williams는 이전에 서로 다른 엔진을 통합함으로써 Windows 방화벽 업데이트가 도메인 이름별로 이루어질 수 있다고 말했습니다. 그 결과 조직은 본질적으로 고객에게 “TLS를 사용하는 DNS 서버만 사용하고 특정 도메인만 확인하도록” 지시할 수 있는 메커니즘이 탄생했다고 그는 말했습니다. Microsoft는 이 DNS 서버를 “보호 DNS 서버”라고 부릅니다.
기본적으로 방화벽은 허용 목록에 나열된 도메인을 제외한 모든 도메인에 대한 솔루션을 거부합니다. 별도의 허용 목록에는 클라이언트가 승인된 소프트웨어를 실행하는 데 필요한 IP 주소의 서브넷이 포함됩니다. 빠르게 변화하는 요구 사항을 충족하는 조직 내에서 이 작업을 대규모로 수행하는 열쇠입니다. 네트워크 보안 전문가인 Royce Williams(Jake Williams와 무관)는 이를 “방화벽 계층을 위한 일종의 양방향 API이므로 방화벽 작업(방화벽 *에 대한* 입력을 통해)을 트리거하고 이에 따라 외부 작업을 트리거할 수 있습니다.”라고 설명했습니다. 상태 저장 보호(방화벽 *에서* 출력) 따라서 AV 공급업체 등의 경우 방화벽 휠을 다시 개발할 필요 없이 WFP에 문의하세요.
“재화는 뛰어난 분석 능력을 가진 분석가로, 다양한 주제에 대한 깊은 통찰력을 가지고 있습니다. 그는 창조적인 아이디어를 바탕으로 여러 프로젝트를 주도해왔으며, 좀비 문화에 특별한 애정을 갖고 있습니다. 여행을 사랑하며, 대중 문화에 대한 그의 지식은 깊고 폭넓습니다. 알코올에 대한 그의 취향도 독특합니다.”