新發布企業加密DNS應用指南

DNS負責將URL中包含的域名轉換為IP地址，但由於以明文形式傳輸請求和響應，如今已成為一種流行的攻擊媒介。

DNS over HTTPS或DoH旨在透過加密的HTTPS傳送DNS請求來解決此缺陷，保護客戶端和DNS解析器之間的通訊。DoH改善了隱私和完整性，防止了竊聽和DNS流量操縱，並在企業中得到越來越多的採用。

為了確保對企業網路DNS的控制，企業應當僅啟用指定的DoH解析器。在企業環境中使用DNS控制元件可以防止威脅行為者實施初始訪問、資料滲透或 與控制技術。

將DoH與外部解析器一起使用可能對不使用DNS安全控制的家庭或移動使用者以及網路非常有用。但是對於企業網路，NSA建議僅使用指定的企業DNS解析器，以充分發揮企業網路安全防禦，促進對本地網路資源的訪問並保護內部網路資訊。

NSA指出，企業可以使用自己操作的DNS伺服器或外部服務，但是對DoH等加密DNS請求的支援對於確保本地隱私和完整性保護至關重要。該機構還建議禁用其他加密的DNS解析器，並確保將所有加密或不加密的DNS流量全部傳送到指定的企業DNS解析器。

該機構解釋說：“但是如果企業DNS解析器不支援DoH，則應仍使用企業DNS解析器，並且應禁用和阻止所有加密的DNS，直到可以將加密的DNS功能完全整合到企業DNS基礎結構中為止。”

新發布的NSA指南不僅提供有關DNS和DoH如何工作的資訊，而且還詳細說明了DoH設計背後的目的，以及重新配置企業網路以增強DNS安全控制的好處。

NSA表示，遵循新的DNS安全指南，企業網路所有者和管理員可以在DNS方面平衡隱私和安全治理。