の役割 DNS-レベルのセキュリティ SASE

By Srini Addepalli | 2023 年 5 月 9 日

業界に関する多くの記事と私のブログ解読 SASE の主要な構成要素が非常に明確です SASE。の場合 SASE セキュリティ。ここで説明する主なコンポーネントは Secure Web Gateway (SWG) です。 Cloud アクセスセキュリティブローカー (CASB)、ゼロトラストネットワークアクセス (ZTNA)、および次世代ファイアウォール (NGFW）。これらのコンポーネントにわたるセキュリティ機能は、IP アドレス、ドメイン、 URL、ファイルレピュテーションベースのアクセスコントロール、マルウェア対策、データ損失防止、侵入防止に加え、L3/L4 アクセスコントロールを含むさまざまなレベルのポリシーベースのアクセスコントロール、 URL カテゴリベースのアクセス制御、Software as a Service 機能レベルのアクセス制御など。

ハイパーテキスト転送プロトコル (HTTP) は、インターネット、Software as a Service、さらには Ent で最も一般的なプロトコルであるため、erpアプリケーションのアクセスの増加、セキュリティ機能については、多くの記事でハイパーテキスト転送プロトコルの文脈で説明されています。

この記事では、ドメインネームシステム (DNS) プロトコルと脅威からの保護を実現できます。 DNS プロキシ。私たちは Aryaka それを信じて SASE 含むものとする DNS-ベースのセキュリティ。

何ですか DNS?

DNS を転送するシステムですsla人間が判読できるドメイン名を IP アドレスに変換します。コンピュータは IP アドレスを使用して相互に通信しますが、人間にとってはドメイン名の方が覚えやすく、使いやすいです。ユーザーが Web サイトまたはサービスにアクセスするためにブラウザにドメイン名を入力すると、ブラウザは DNS へのクエリリクエスト DNS リゾルバーを使用して、ドメイン名に関連付けられた IP アドレスを検索します。リゾルバーは、と呼ばれる分散データベースで IP アドレスを検索します。 DNS 階層を取得してブラウザに返すと、ブラウザはその IP アドレスを使用して、Web サイトまたはサービスをホストするサーバーへの接続を確立します。

セキュリティ経由 DNS & DNS セキュリティ

用語 "DNS 「セキュリティ」は通常、エンタープライズを保護するために講じられる措置を指すために使用されます。erp上昇 DNS 権威を含むインフラストラクチャ DNS サーバーと DNS リゾルバー。「セキュリティ経由」 DNS” を使用することを指します。 DNS 脅威からの保護とアクセス制御のためのプロトコル (通常は透過的) DNS プロキシ。以来 SASE 複数のネットワークセキュリティサービスが XNUMX つに統合されていると考えられます。 SASE 両方の「セキュリティ経由」を含める必要があります。 DNS"と"DNS 「セキュリティ」機能。

これらの機能はどちらも次の方法で実現できます。 SASE ビア DNS プロキシメカニズム。の SD-WAN の部分 SASE を傍受できる DNS 交通させて人に引き渡す DNS さまざまなセキュリティ機能を実行するプロキシ。あ DNS プロキシは単純な（非再帰的）プロキシとして機能する必要もあります DNS を送信するリゾルバ DNS 上流へのクエリ DNS リゾルバー/サーバー。

共通の特徴 SASE DNS プロキシ

プライバシーの確保: DNS ネイティブクライアントアプリケーション/ブラウザなどのクライアントによって生成されたクエリは暗号化されません。このため、トラフィックにアクセスできる中間エンティティは、ユーザーがどの Web サイトを訪問しているかを確認できます。このプライバシーの欠如により、中間者攻撃者がユーザーのオンライン行動を追跡することが容易になる可能性があります。以来 DNS プロキシイン SASE の前に写真に入ることができます DNS クエリが Ent から出力されるerpの論理境界を高めることで、ユーザーのオンライン行動のプライバシーを保護できます。 DNS-over-TLS & DNS-over-HTTP 上流と DNS リゾルバー。の DNS プロキシインターセプト DNS クライアントからのクエリを転送できます DNS-over-HTTPS/TLS からアップストリームへ DNS リゾルバー。

整合性と認証の確保 DNS 反応： DNS システムは信頼を中心に構築されています。 DNS クライアントと DNS リゾルバーは、 DNS 上流からの応答 DNS サーバーとリゾルバー。上流なら DNS システムが侵害されると、攻撃者が次のメッセージを送信する可能性があります。 DNS 本物のドメイン名に対する攻撃者のサイト IP アドレスで応答します。これはと呼ばれます DNS なりすまし or DNS キャッシュポイズニング攻撃。 DNSSEC (安全な DNS) の機能強化 DNS プロトコルは停止するための解決策の XNUMX つです DNS なりすまし。 DNSSEC はデジタル署名によって攻撃を防ぎます DNS 役立つ応答データ DNS クライアント/解決によりデータの信頼性を検証し、改ざん/偽造から保護します。 DNS データ。

ただし、すべて DNS クライアントとリゾルバーは実行できません DNSSEC。 DNS 邪魔になるプロキシ DNS クライアントと上流 DNS サーバーは、次を使用してデータの検証を検証できます。 DNSSEC機能。

からの保護 DNS 洪水攻撃: 私はこれを見つけた記事 DDoS 攻撃について非常に包括的に説明するため、 DNS インフラ、具体的には DNS 増幅と DNS 反射攻撃は被害者を圧倒する可能性があります。これには、 DNS サーバー/リゾルバーが実行されているだけでなく、 DNS サービス自体。別のタイプの攻撃は、リソース (CPU とメモリ) を使い果たすことを目的としています。このタイプの例としては、NXDOMAIN フラッド攻撃や、攻撃者が DNS 存在しないドメインとランダムなラベルが付いたサブドメインを含むクエリ。

SASE L3/L4 ファイアウォールサービスを使用すると、 DNS 被害者に届くまでの応答 DNS それらをクエリして、リフレクション攻撃を効果的に阻止します。さらに、 SASE 汎用レート制限サービスを使用すると、送信元 IP/サブネットごとのクエリ数を制限できるため、 DNS サービス (リゾルバーとサーバー)。

A SASE DNS プロキシは、NXDOMAIN フラッドや水責め攻撃などのフラッド攻撃に対するインテリジェントな保護に必要です。の SASE DNS プロキシはこれらの攻撃を軽減します。 DNS プロトコルレベルのレート制限と、異常なドメイン名検出方法を使用したランダムラベルの検出。

からの保護 DNS ベースのエクスプロイト: の脆弱性と設定ミス DNS 攻撃者がインフラストラクチャを悪用して侵害する可能性がある DNS サービス。一回 DNS サービスが危険にさらされると、攻撃者はそのサービスをなりすますことができます DNS 独自の IP アドレスを使用して応答します。バッファオーバーフローの脆弱性の例には、Bind9 TKEY の脆弱性や逆クエリオーバーフローの脆弱性などがあります。一部のエクスプロイトは、関連する RFC への準拠をチェックすることで検出できます。ただし、場合によっては、エクスプロイトペイロードは RFC に準拠しながら、実装の脆弱性を利用します。 DNS サービスを提供しています。

SASE 通常、セキュリティには既知のエクスプロイトを検出するために使用できる IDPS (侵入検知および保護システム) が含まれます。ゼロデイ保護のためには、次のことが重要です。 SASE DNS プロキシはプロトコルへの準拠をチェックし、異常検出を使用して異常を特定します DNS ペイロードの内容を、通常観察される内容と比較します。

アクセスを制御し、評判の悪いサイトへのユーザーのアクセスを防止します。 「とは何か」で説明したように、 DNS上のセクションで説明したように、ドメイン名のクエリは、ユーザーが Web サイトにアクセスするときの最初のステップです。経由-DNS セキュリティは、マルウェアやフィッシングコンテンツをホストするサイトにユーザーがアクセスできないようにする上で重要な役割を果たします。多くの脅威インテリジェンスベンダーは、IP アドレスとドメイン名のレピュテーションスコアを提供しています。このインテリジェンスを利用してブロックすることができます。 DNS マリへの問い合わせcious ドメイン名と防止 DNS 不正な IP アドレスを含む応答。

の機能 SASE DNS プロキシにより、この第 XNUMX レベルのマルウェア対策およびフィッシング対策セキュリティをユーザーに実装できるようになります。 SASE DNS プロキシは複数の脅威インテリジェンスベンダーと統合して、IP/ドメインレピュテーションデータベースとフィルタを定期的に取得します。 DNS マリが関与するクエリと応答cioIP アドレスとドメイン名。ただし、脅威インテリジェンスフィードには誤検知が含まれる可能性があることに注意することが重要です。そのため、 SASE プロバイダーは例外を作成する機能を提供します。

さらに、 SASE DNS プロキシを使用すると、管理者はカスタムドメイン名と IP アドレスをフィルタリングできるため、ユーザーがエンタープライズに準拠していないサイトにアクセスするのを防ぐことができます。erpライズの興味。

アップストリームの侵害からの保護 DNS サービス： 先に述べたように、 DNSSEC は次の問題に対処できます。 DNS 応答の有効性と防止 DNS スプーフィングされた IP アドレスで応答します。ただし、すべてではありません DNS サービスが実装する DNSSEC. 検出中 DNS 非からのなりすましDNSSEC ベースの侵害 DNS このサービスは、ユーザーがフィッシングサイトやマルウェアサイトにアクセスするのを防ぐために非常に重要です。 XNUMX つの手法は、複数のアップストリームを利用することです。 DNS リゾルバーは、各リゾルバーからの応答を比較し、 DNS 結果が一貫している場合は応答します。

の機能 SASE DNS プロキシにより、複数の相互検証が可能になります。 DNS さまざまな上流から受信した応答 DNS リゾルバー。応答間の一貫性をチェックし、検証が成功した場合にのみ応答します。このアプローチでは追加の遅延が発生する可能性があるため、 DNS 複数の上流からの応答を待つ必要があるため、クエリが実行されない DNS リゾルバでは、複数のリゾルバを送信するのが一般的です。 DNS クエリを実行し、脅威インテリジェンスデータベースにクエリされたドメイン名に対する回答がない場合にのみ相互検証を実行します。

侵害の兆候 (IoC): のセキュリティ分析 DNS トラフィックは、貴重な洞察と侵害の兆候を提供する可能性があります。いくつかの洞察と IoC SASE DNS セキュリティが提供できるものには次のものがあります。

サスピcio脅威インテリジェンスフィードを使用して us ドメイン名を取得します。
検出 DNS によるなりすましの試み DNS 「侵害されたアップストリームからの保護」セクションで説明されている応答分析 DNS サービス」やその他の技術。
異常および予期せぬものの特定 DNS NXDOMAIN や SERVFAIL などの応答コード。
特定のドメインへの大量のリクエストや失敗したクエリの繰り返しなど、異常なクエリパターンの検出。
マルウェアが指揮統制センターと通信するために通常使用するドメイン生成アルゴリズム (DGA) の検出。
ドメインに関連付けられた IP アドレスが急速に変化する高速フラックスネットワークの識別。この動作は、マルウェアをホストしているサイトでよく見られます。

SASE DNS プロキシ、IDPS、およびファイアウォールは、ユーザーのリスクを軽減するだけでなく、プロキシによって生成されたログを通じて貴重な洞察を提供するという点でも重要な役割を果たします。 SASE システム。

まとめ

私たちの見解では、 DNSベースのセキュリティは、ユーザーとユーザーの両方にとって防御の第一線として機能します。 DNS インフラストラクチャなど DNS 実際のデータトランザクションが発生する前に参照されます。効果的なセキュリティには、攻撃をできるだけ早く検出することが重要です。その間 DNSベースのセキュリティは、現在のほとんどのシステムでは目立って取り上げられていない可能性があります。 SASE/SSE 文献によれば、私たちは次のように確信しています。 SASE/SSE サービスを組み込む必要があります DNS-ベースのセキュリティ。

以前のブログ投稿をチェックしてください SASE セキュリティに関するトピックもここにあります。