의 역할 DNS-레벨 보안 SASE

업계의 많은 기사와 내 블로그에 해독 SASE 의 주요 구성 요소에 대해 매우 명확합니다. SASE. 의 경우 SASE 보안에서 논의되는 주요 구성 요소는 SWG(Secure Web Gateway)입니다. Cloud 액세스 보안 브로커(CASB), 제로 트러스트 네트워크 액세스(ZTNA) 및 차세대 방화벽(NGFW). 이러한 구성 요소에 대한 보안 기능은 IP 주소, 도메인, URL, 파일 평판 기반 액세스 제어, 맬웨어 방지, 데이터 손실 방지, 침입 방지, L3/L4 액세스 제어를 포함한 다양한 수준의 정책 기반 액세스 제어, URL 범주 기반 액세스 제어, SaaS(Software as a Service) 기능 수준 액세스 제어 등

HTTP(Hypertext Transfer Protocol)는 인터넷, SaaS(Software as a Service), 심지어 Ent를 위한 가장 일반적인 프로토콜이기 때문에erp응용 프로그램 액세스가 증가함에 따라 보안 기능은 많은 기사에서 Hypertext Transfer Protocol의 맥락에서 설명됩니다.

이 기사에서는 도메인 이름 시스템(Domain Name System)에 중점을 둡니다.DNS) 다음을 통해 달성할 수 있는 프로토콜 및 위협 보호 DNS 프록시. 우리는 Aryaka 말을 믿지 SASE 포함한다 DNS기반 보안.

DNS?

DNS 전송하는 시스템입니다.sla사람이 읽을 수 있는 도메인 이름을 IP 주소로 테스트합니다. 컴퓨터는 IP 주소를 사용하여 서로 통신하지만 도메인 이름은 사람이 기억하고 사용하기 더 쉽습니다. 사용자가 웹 사이트나 서비스에 액세스하기 위해 브라우저에 도메인 이름을 입력하면 브라우저에서 DNS 에 쿼리 요청 DNS 확인자는 도메인 이름과 연결된 IP 주소를 조회합니다. 리졸버는 다음과 같은 분산 데이터베이스에서 IP 주소를 조회합니다. DNS 계층을 구성하고 이를 브라우저로 반환하면 브라우저는 IP 주소를 사용하여 웹사이트 또는 서비스를 호스팅하는 서버에 대한 연결을 설정합니다.

다음을 통한 보안 DNS 과 DNS 보안

용어 "DNS 보안”은 일반적으로 엔트를 보호하기 위해 취한 조치를 나타내는 데 사용됩니다.erp일어나 다 DNS 권한을 포함한 인프라 DNS 서버 및 DNS 리졸버. “보안을 통해 DNS"를 사용하는 것을 말합니다. DNS 위협 보호 및 액세스 제어를 위한 프로토콜, 일반적으로 투명 DNS 프록시. 부터 SASE 여러 네트워크 보안 서비스를 하나로 통합하고 있습니다. SASE "보안을 통한 보안"을 모두 포함해야 합니다. DNS"및"DNS 보안” 기능.

이 두 기능은 다음을 통해 실현할 수 있습니다. SASE 를 통해 DNS 프록시 메커니즘. 그만큼 SD-WAN 의 일부 SASE 가로채다 DNS 교통 및 그것을 넘겨 DNS 다양한 보안 기능을 수행하는 프록시. ㅏ DNS 프록시는 또한 단순한(비재귀적) 역할을 해야 합니다. DNS 보내는 리졸버 DNS 업스트림에 대한 쿼리 DNS 리졸버/서버.

공통 기능 SASE DNS 대리

프라이버시 보장: DNS 기본 클라이언트 애플리케이션/브라우저와 같은 클라이언트에서 생성된 쿼리는 암호화되지 않습니다. 이로 인해 트래픽에 액세스할 수 있는 모든 중간 엔터티는 사용자가 방문하는 웹사이트를 볼 수 있습니다. 이러한 개인 정보 보호 부족으로 중간자 공격자가 사용자의 온라인 행동을 더 쉽게 추적할 수 있습니다. 부터 DNS 프록시 SASE 전에 사진에 올 수 있습니다 DNS 쿼리가 Ent에서 나감erp상승의 논리적 경계를 통해 사용자의 온라인 행동에 대한 개인 정보를 보호할 수 있습니다. DNS-TLS 초과DNS-HTTP를 통한 업스트림으로 DNS 리졸버. 그만큼 DNS 프록시 가로채기 DNS 클라이언트의 쿼리를 전달하고 전달할 수 있습니다. DNS-HTTPS/TLS를 통해 업스트림으로 DNS 리졸버.

무결성 및 인증 보장 DNS 응답 : DNS 시스템은 신뢰를 기반으로 구축됩니다. DNS 고객과 DNS 리졸버는 DNS 업스트림에서 받은 응답 DNS 서버 및 리졸버. 업스트림인 경우 DNS 시스템이 손상되면 공격자가 보낼 수 있습니다. DNS 실제 도메인 이름에 대한 공격자의 사이트 IP 주소로 응답합니다. 이것은 ... 불리운다 DNS 스푸핑 or DNS 캐시 중독 공격. DNSSEC(보안 DNS)에 대한 개선 사항 DNS 프로토콜은 중지하는 솔루션 중 하나입니다. DNS 스푸핑. DNSSEC는 디지털 서명을 통해 공격으로부터 보호합니다. DNS 도움이 되는 응답 데이터 DNS 클라이언트/결의는 데이터의 진위를 검증하여 조작/위조로부터 보호합니다. DNS 데이터입니다.

그러나 모든 DNS 클라이언트와 리졸버는 다음을 수행할 수 없습니다. DNS비서. DNS 방해가 되는 대리 DNS 클라이언트 및 업스트림 DNS 서버는 다음을 사용하여 데이터의 유효성을 확인할 수 있습니다. DNSSEC 기능.

보호 DNS 홍수 공격: 이 발견 기사 에 대한 DDoS 공격을 매우 포괄적으로 설명합니다. DNS 인프라, 특히 DNS 증폭 & DNS 피해자를 압도할 수 있는 반사 공격. 여기에는 DNS 서버/리졸버가 실행 중일 뿐만 아니라 DNS 서비스 자체. 또 다른 유형의 공격은 리소스(CPU 및 메모리)를 고갈시키는 것을 목표로 합니다. 이 유형의 예로는 NXDOMAIN 플러드 공격과 공격자가 DNS 임의 레이블이 있는 존재하지 않는 도메인 및 하위 도메인이 있는 쿼리.

SASE L3/L4 방화벽 서비스를 통해 DNS 없는 경우 피해자에게 도달하는 응답 DNS 반사 공격을 효과적으로 중지합니다. 추가적으로, SASE 일반 속도 제한 서비스를 통해 소스 IP/서브넷당 쿼리 ​​수를 제한하는 데 사용할 수 있으므로 DNS 서비스(리졸버 및 서버).

A SASE DNS 프록시는 NXDOMAIN 홍수 및 물 고문 공격을 포함한 홍수 공격에 대한 지능형 보호에 필요합니다. 그만큼 SASE DNS 프록시는 다음을 통해 이러한 공격을 완화합니다. DNS 비정상적인 도메인 이름 감지 방법을 사용하여 프로토콜 수준 속도 제한 및 임의 레이블 감지.

보호 DNS 기반 익스플로잇: 취약성 및 구성 오류 DNS 공격자가 인프라를 악용하여 손상시킬 수 있습니다. DNS 서비스. 한 번 DNS 서비스가 손상되면 공격자가 스푸핑할 수 있습니다. DNS 자신의 IP 주소로 응답합니다. 버퍼 오버플로 취약점의 몇 가지 예로는 Bind9 TKEY 취약점 및 역 쿼리 오버플로 취약점이 있습니다. 일부 악용은 관련 RFC 준수 여부를 확인하여 감지할 수 있습니다. 그러나 경우에 따라 익스플로잇 페이로드는 RFC를 준수하면서 구현의 취약점을 이용합니다. DNS 서비스를 제공합니다.

SASE 보안에는 일반적으로 알려진 익스플로잇을 탐지하는 데 사용할 수 있는 IDPS(침입 탐지 및 보호 시스템)가 포함됩니다. 제로데이 보호를 위해서는 다음이 중요합니다. SASE DNS 프록시는 프로토콜 준수 여부를 확인하고 이상 감지를 사용하여 이상을 식별합니다. DNS 일반적으로 관찰되는 것과 비교한 페이로드 콘텐츠.

액세스 제어 및 사용자가 평판이 좋지 않은 사이트를 방문하지 못하도록 방지: "이란 무엇인가"에 설명된 대로 DNS” 섹션에서 도메인 이름 쿼리는 사용자가 어떤 웹 사이트를 방문할 때 첫 번째 단계입니다. 을 통해-DNS 보안은 사용자가 맬웨어 및 피싱 콘텐츠를 호스팅하는 사이트에 액세스하지 못하도록 방지하는 데 중요한 역할을 할 수 있습니다. 많은 위협 인텔리전스 공급업체는 IP 주소 및 도메인 이름에 대한 평판 점수를 제공합니다. 이 인텔리전스는 다음을 차단하는 데 활용할 수 있습니다. DNS 말리에 쿼리cio우리 도메인 이름 및 방지 DNS 잘못된 IP 주소를 포함하는 응답.

의 기능 SASE DNS 프록시를 사용하면 사용자를 위해 이 첫 번째 수준의 맬웨어 방지 및 피싱 방지 보안을 구현할 수 있습니다. SASE DNS 프록시는 여러 위협 인텔리전스 공급업체와 통합하여 정기적으로 IP/도메인 평판 데이터베이스 및 필터를 얻습니다. DNS 말리와 관련된 쿼리 및 응답cio우리 IP 주소와 도메인 이름. 그러나 위협 인텔리전스 피드에 거짓 긍정이 있을 수 있으므로 다음을 확인하는 것이 중요합니다. SASE 공급자는 예외를 생성하는 기능을 제공합니다.

또한, SASE DNS 프록시를 통해 관리자는 사용자 지정 도메인 이름 및 IP 주소를 필터링할 수 있으므로 사용자가 항목과 일치하지 않는 사이트에 액세스하지 못하도록 방지할 수 있습니다.erp상승의 이익.

손상된 업스트림으로부터 보호 DNS 서비스: 앞서 언급 한 바와 같이, DNSSEC는 다음과 같은 문제를 해결할 수 있습니다. DNS 응답 유효성 및 예방 DNS 스푸핑된 IP 주소로 응답합니다. 그러나, 전부는 아니다 DNS 서비스 구현 DNS비서. 감지 DNS 비에서 스푸핑DNSSEC 기반 침해 DNS 서비스는 사용자가 피싱 및 맬웨어 사이트에 액세스하지 못하도록 방지하는 데 중요합니다. 한 가지 기술은 여러 업스트림을 활용하는 것입니다. DNS 리졸버는 각 리졸버의 응답을 비교하고 DNS 결과가 일치하는 경우 응답합니다.

의 기능 SASE DNS 프록시는 여러 교차 검증을 허용합니다. DNS 다양한 업스트림에서 받은 응답 DNS 리졸버. 응답 간의 일관성을 확인하고 성공적인 검증이 달성된 경우에만 응답합니다. 이 접근 방식은 DNS 여러 업스트림에서 응답을 기다려야 하는 필요성으로 인한 쿼리 DNS 리졸버를 여러 개 보내는 것이 일반적입니다. DNS 위협 인텔리전스 데이터베이스에 쿼리된 도메인 이름에 대한 응답이 없는 경우에만 쿼리하고 교차 확인을 수행합니다.

침해 지표(IoC): 보안 분석 DNS 트래픽은 귀중한 통찰력과 손상 지표를 제공할 수 있습니다. 일부 인사이트 및 IoC는 SASE DNS 보안은 다음을 제공할 수 있습니다.

  • 서스피cio위협 인텔리전스 피드를 사용하는 미국 도메인 이름.
  • 감지 DNS 스푸핑 시도 DNS "손상된 업스트림으로부터 보호" 섹션에 설명된 응답 분석 DNS 서비스” 및 기타 기술.
  • 비정상 및 예상치 못한 식별 DNS NXDOMAIN 및 SERVFAIL과 같은 응답 코드.
  • 특정 도메인에 대한 대량 요청 또는 반복된 쿼리 실패와 같은 비정상적인 쿼리 패턴 감지.
  • 명령 및 제어 센터와 통신하기 위해 일반적으로 맬웨어가 사용하는 DGA(도메인 생성 알고리즘) 탐지.
  • 도메인과 관련된 IP 주소가 빠르게 변경되는 패스트 플럭스 네트워크 식별. 이 동작은 일반적으로 맬웨어를 호스팅하는 사이트에서 관찰됩니다.

SASE DNS 프록시, IDPS 및 방화벽은 사용자의 위험을 완화할 뿐만 아니라 SASE 시스템.

요약

우리의 관점에서, DNS기반 보안은 사용자 및 DNS 인프라, DNS 실제 데이터 트랜잭션이 발생하기 전에 참조됩니다. 효과적인 보안을 위해서는 가능한 한 빨리 공격을 탐지하는 것이 중요합니다. 하는 동안 DNS기반 보안은 현재 대부분의 시스템에서 눈에 띄게 기능하지 않을 수 있습니다. SASE/SSE 문학, 우리는 굳게 믿습니다 SASE/SSE 서비스는 DNS기반 보안.

에서 이전 블로그 게시물을 확인하세요. SASE 및 보안 주제는 여기에 있습니다.

  • CTO 인사이트 블로그

    최대 XNUMXW 출력을 제공하는 Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 보안에 대한 사고 리더십을 제공합니다. SASE 주제. 을 위한 Aryaka 제품 사양 참조 Aryaka 데이터시트.

저자에 관하여

Srini Addepalli
Srini Addepalli 25년 이상의 경력을 가진 보안 및 에지 컴퓨팅 전문가입니다. Srini 네트워킹 및 보안 기술 분야에서 다수의 특허를 보유하고 있습니다. 그는 BITS, Pilani에서 전기 및 전자 공학 학사(우등) 학위를 취득했습니다. India.
CTO 인사이트

2023 엔트erp상승 네트워크 변환 보고서

보고서 다운로드 >>

통합 인증 SASE Whitepaper

다운로드 Whitepaper >>

기업을 위한 전략적 로드맵erp상승 네트워킹

보고서 다운로드 >>