Криптиране и фин контрол
Преводът на четими от човека имена на домейни в цифрови IP адреси отдавна е изпълнен с големи рискове за сигурността. В крайна сметка справките рядко са криптирани от край до край. Сървърите предоставят преводи за практически всеки IP адрес. Това е факт дори при злонамерени прояви. Много устройства на крайни потребители могат лесно да бъдат конфигурирани да спрат да използват оторизирани сървъри за търсене. Вместо това те се прехвърлят на злонамерен.
Microsoft има за цел да подреди бъркотията в системата за имена на домейни (DNS), така че да бъдат по-добре заключени в мрежите на Windows. Основните характеристики на ZTDNS (DNS с нулево доверие) са криптирани и криптографски удостоверени връзки между клиенти на крайни потребители и DNS сървъри. Тук е налична възможност за администраторите да ограничават строго домейните, които тези сървъри ще разрешават.
Разчистване на полето
Една от причините за проблемите е, че тези две функции могат да се изключват взаимно. Добавянето на криптографско удостоверяване и криптиране към DNS често прикрива видимостта, необходима на администраторите, за да попречат на потребителските устройства да се свързват със злонамерени домейни. Става трудно да се открие аномално поведение в мрежата. В резултат на това DNS трафикът или се изпраща в чист текст, или е криптиран по начин, който позволява на администраторите да го декриптират по време на транзит.
Администраторите са оставени да избират между две нефункционални опции:
Маршрутизиране на DNS трафика в ясен текст без средства сървърът и клиентското устройство да се удостоверяват взаимно. Така злонамерените домейни могат да бъдат блокирани и е възможно наблюдение на мрежата. Втората опция е криптиране и удостоверяване на DNS трафика и премахване на контрола на домейна и видимостта на мрежата.
ZTDNS има за цел да разреши този стар от десетилетия проблем чрез интегриране на DNS машина на Windows с платформата за филтриране на Windows директно в клиентските устройства.
Разширени възможности
Обединението на тези различни двигатели ще позволи да се правят актуализации на защитната стена на Windows. Резултатът е механизъм, който позволява на организациите по същество да кажат на клиентите да използват само техния DNS сървър, който употребява TLS и ще разрешава само определени домейни. Microsoft нарича този DNS сървър защитен.
Защитната стена ще откаже разрешение на всички домейни, с изключение на изброените в списъците с разрешени. Отделен списък ще съдържа подмрежи с IP адреси, от които клиентите се нуждаят, за да изпълняват оторизиран софтуер. Ключът към това е да работи в мащаб с организация с бързо променящи се нужди.
Мобилните устройства
Microsoft предостави концептуална илюстрация, показваща как ZTDNS ще се впише в платформата за управление на мобилни устройства. Това помага на администраторите да осигурят и контролират отдалечени такива, упълномощени да се свързват към мрежа и да взаимодействат с устройства, свързани от дома или други места.
Занапред DNS отговорите от един от защитните DNS сървъри, които съдържат разрешения на IP адреси, ще задействат изходящи разрешения за изключения. Това гарантира, че приложенията и услугите, които използва системната DNS конфигурация, ще се свързват с разрешените IP адреси.
Блокиране, базирано на име на домейн
Чрез използването на ZTDNS за внедряване с нулево доверие, администраторите могат да постигнат етикетиране на имена на целия изходящ IPv4 и IPv6 трафик. Това ще се осъществява без да разчитат на прихващане на обикновен текстов DNS трафик. Така ще участват в надпревара във въоръжаването за идентифициране и блокиране на криптиран DNS трафик от приложения или злонамерен софтуер.
Те ще могат да инспектират криптирания SNI и да разчитат мрежови протоколи, специфични за доставчика. Администраторите могат да блокират целия трафик, чието свързано име на домейн не може да бъде идентифицирано. Това прави използването на твърдо кодирани IP адреси или неодобрени криптирани DNS сървъри неуместно, без да се налага да въвеждате TLS терминиране и да пропускате предимствата на сигурността на криптирането от край до край.
Минималното изискване е да се поддържат DNS през HTTPS (DoH) или DNS през TLS (DoT), за да се използват DNS сървъри като защитни. Така ZTDNS ще предотврати използването на обикновен текстов DNS от Windows. Употребата на mTLS за криптираните DNS връзки ще позволи на Protective DNS да прилага политики за разделителна способност за всеки клиент. Във всички случаи ZTDNS не въвежда никакви нови мрежови протоколи, което го прави обещаващ и оперативно съвместим подход за блокиране.