的角色 DNS级安全性 SASE

By Srini Addepalli | 2023 年 5 月 9 日

业界的许多文章和我的博客解密 SASE 主要成分非常清楚 SASE。如果是 SASE 安全性，讨论的主要组件是安全 Web 网关 (SWG)、 Cloud 访问安全代理（CASB）、零信任网络访问（ZTNA）和下一代防火墙（NGFW）。这些组件的安全功能包括 IP 地址、域、 URL、基于文件信誉的访问控制、反恶意软件、数据丢失防护、入侵防护，以及各个级别的基于策略的访问控制，包括 L3/L4 访问控制， URL 基于类别的访问控制、软件即服务功能级访问控制等。

由于超文本传输协议 (HTTP) 是 Internet、软件即服务甚至 Ent 最常见的协议erp许多文章都在超文本传输协议的背景下描述了应用程序访问和安全功能。

在本文中，重点是域名系统（DNS）可以通过以下方式实现的协议和威胁防护 DNS 代理。我们在 Aryaka 相信 SASE 应包括 DNS基于安全性。

什么是 DNS?

DNS 是一个系统sla将人类可读的域名转换为 IP 地址。计算机使用 IP 地址相互通信，但域名更容易让人记住和使用。当用户在浏览器中输入域名来访问网站或服务时，浏览器会发送一个 DNS 查询请求到 DNS 解析器查找与域名关联的 IP 地址。解析器在称为的分布式数据库中查找 IP 地址 DNS 层次结构并将其返回给浏览器，然后浏览器使用 IP 地址建立与托管网站或服务的服务器的连接。

安全通过 DNS 和 DNS 安保行业

术语“DNS “安全”通常用于指为保护实体而采取的措施。erp上升 DNS 基础设施，包括权威的 DNS 服务器和 DNS 解析器。 “安全通过 DNS” 指的是使用 DNS 用于威胁保护和访问控制的协议，通常通过透明 DNS 代理。自从 SASE 正在将多种网络安全服务整合为一个，我们相信 SASE 需要包括“安全通过 DNS“和”DNS 安全”功能。

这两个功能都可以通过以下方式实现 SASE 通过 DNS 代理机制。这 SD-WAN 的一部分 SASE 可以拦截 DNS 流量并将其移交给 DNS 代理来执行各种安全功能。 A DNS 代理还需要充当简单（非递归） DNS 解析器发送 DNS 向上游查询 DNS 解析器/服务器。

的共同特点 SASE DNS 代理

确保隐私： DNS 由客户端（例如本机客户端应用程序/浏览器）生成的查询未加密。因此，任何有权访问流量的中间实体都可以看到用户正在访问哪些网站。这种隐私的缺乏使得中间人攻击者更容易跟踪用户的在线行为。自从 DNS 代理在 SASE 可以在之前出现在图片中 DNS 查询从 Ent 发出erp上升的逻辑边界，可以通过以下方式保护用户上网行为的隐私： DNS-over-TLS 和 DNS-通过 HTTP 与上游 DNS 解析器。这 DNS 代理拦截 DNS 来自客户的查询并可以转发它们 DNS-通过 HTTPS/TLS 到上游 DNS 解析器。

确保完整性和身份验证 DNS 回应： DNS 系统是围绕信任建立的。 DNS 客户和 DNS 解决者信任 DNS 他们从上游得到的回应 DNS 服务器和解析器。如果上游 DNS 系统受到损害，攻击者有可能发送 DNS 使用攻击者的站点 IP 地址来响应真实域名。这就是所谓的 DNS 欺骗 or DNS 缓存中毒攻击。 DNSSEC（安全 DNS) 的增强 DNS 协议是阻止的解决方案之一 DNS 欺骗。 DNSSEC 通过数字签名防止攻击 DNS 响应数据以提供帮助 DNS 客户/解决者验证数据的真实性，从而防止被操纵/伪造 DNS 数据。

但是，所有 DNS 客户端和解析器无法执行 DNSSEC。 DNS 妨碍的代理 DNS 客户和上游 DNS 服务器可以使用以下方式验证数据的有效性 DNSSEC 功能。

保护 DNS 洪水攻击： 我找到了这个刊文非常全面地描述 DDoS 攻击 DNS 基础设施，特别是 DNS 放大& DNS 反射攻击，这可能会让受害者不知所措。这包括基础设施 DNS 服务器/解析器正在运行以及 DNS 服务本身。另一种类型的攻击旨在耗尽资源（CPU 和内存）。这种类型的示例包括 NXDOMAIN 洪水攻击和水刑攻击，其中攻击者发送 DNS 查询不存在的域和带有随机标签的子域。

SASE 凭借其L3/L4防火墙服务，可以防止 DNS 如果没有联系受害者的回应 DNS 查询它们，有效阻止反射攻击。此外， SASE 凭借其通用速率限制服务，可用于限制每个源 IP/子网的查询数量，从而减轻大量请求 DNS 服务（解析器和服务器）。

A SASE DNS 代理对于智能防御洪水攻击（包括 NXDOMAIN 洪水和水刑攻击）是必要的。这 SASE DNS 代理通过以下方式减轻这些攻击 DNS 使用异常域名检测方法进行协议级限速和随机标签检测。

保护 DNS 基于漏洞利用： 漏洞和错误配置 DNS 攻击者可以利用基础设施进行破坏 DNS 服务。一旦 DNS 服务受到损害，攻击者可以欺骗 DNS 使用自己的 IP 地址进行响应。缓冲区溢出漏洞的一些示例包括 Bind9 TKEY 漏洞和反向查询溢出漏洞。可以通过检查是否符合相关 RFC 来检测某些漏洞。然而，在某些情况下，漏洞利用有效负载遵循 RFC，同时利用实现中的漏洞 DNS 服务。

SASE 安全通常包括可用于检测已知漏洞的 IDPS（入侵检测和保护系统）。对于零日保护，重要的是 SASE DNS 代理检查协议合规性并使用异常检测来识别异常 DNS 有效负载内容与通常观察到的内容进行比较。

访问控制并防止用户访问信誉不佳的网站： 正如“什么是 DNS”上面的章节中，域名查询是用户访问任何网站的第一步。通过-DNS 安全性可以在防止用户访问托管恶意软件和网络钓鱼内容的网站方面发挥重要作用。许多威胁情报供应商提供 IP 地址和域名的信誉评分。这种情报可用于阻止 DNS 对马里的查询cio美国域名并防止 DNS 包含错误 IP 地址的响应。

的功能 SASE DNS proxy 可以为用户实现第一级反恶意软件和反网络钓鱼安全。 SASE DNS 代理与多个威胁情报供应商集成，定期获取IP/域信誉数据库和过滤器 DNS 涉及马里的询问和答复cio我们的IP地址和域名。然而，值得注意的是，威胁情报源中可能存在误报，因此确保您的 SASE 提供者提供创建异常的能力。

另外，a SASE DNS proxy允许管理员过滤自定义域名和IP地址，这可以帮助防止用户访问与entity不符的网站erp上升的兴趣。

防止上游受损 DNS 服务： 如前面提到的， DNSSEC 可以解决以下问题 DNS 响应有效性和预防 DNS 使用欺骗性 IP 地址的响应。然而，并非所有 DNS 服务实施 DNS美国证券交易委员会。检测 DNS 来自非欺骗DNS基于 SEC 的妥协 DNS 服务对于防止用户访问网络钓鱼和恶意软件网站至关重要。一种技术是利用多个上游 DNS 解析器，比较每个解析器的响应，仅转发 DNS 如果结果一致，则响应。

的功能 SASE DNS 代理允许多个交叉验证 DNS 从各个上游收到的响应 DNS 解析器。它检查响应之间的一致性，并且仅在成功验证时才响应。由于这种方法可能会引入额外的延迟 DNS 由于需要等待多个上游的响应而产生的查询 DNS 解析器，通常的做法是发送多个 DNS 仅当威胁情报数据库没有查询域名的答案时，才进行查询并进行交叉验证。

妥协指标 (IoC)： 安全分析 DNS 流量可以提供有价值的见解和妥协指标。一些见解和 IoC SASE DNS 安全可以提供的包括：

苏斯皮cio使用威胁情报源的美国域名。
检测 DNS 欺骗尝试通过 DNS 响应分析，如“防止上游受损的保护”一节中所述 DNS 服务”和其他技术。
识别异常和意外 DNS 响应代码，例如 NXDOMAIN 和 SERVFAIL。
检测异常查询模式，例如对特定域的大量请求或重复失败的查询。
检测恶意软件通常使用的与命令和控制中心通信的域生成算法 (DGA)。
识别快速通量网络，其中与域关联的 IP 地址快速变化。这种行为在托管恶意软件的网站中很常见。

SASE DNS 代理、IDPS 和防火墙不仅在降低用户风险方面发挥着重要作用，而且在通过代理生成的日志提供有价值的见解方面发挥着重要作用。 SASE 系统。

总结

在我们看来， DNS基于安全性的安全是用户和用户的第一道防线 DNS 基础设施，如 DNS 在实际数据交易发生之前进行咨询。尽早检测攻击对于有效的安全至关重要。尽管 DNS基于安全性的安全性在当前的大部分安全性中可能并不突出。 SASE/上证文献，我们坚信 SASE/SSE 服务应包含 DNS基于安全性。

查看之前的博客文章 SASE 和安全主题在这里。