2024基于SDP和DNS融合的零信任安全增强策略模型.docx

《2024基于SDP和DNS融合的零信任安全增强策略模型.docx》由会员分享，可在线阅读，更多相关《2024基于SDP和DNS融合的零信任安全增强策略模型.docx（24页珍藏版）》请在优知文库上搜索。

1、基于SDP和DNS融合的零信任安全增强策略模型目录序言3致谢41 .弓I言71.1 目的71.2 范围71.3 众71.4 域名系统(DNS)81.4.1 1动态主机配置协议(DHCP)91.4.2 互联网协议地址管理(IPAM)101.4.3 实现云端管理101.5 基于DNS的安全111.5.1 1恶意软件控制点111.5.2 阻止数据泄露121.5.3 域名生成算法(DGAS)控制点131.5.4 基于类别的过滤151.6 零信任策略执行151.6.1 SDP和零信任策略执行161.6.2 DNS和零信任策略执行172 SDP/零信任和DNS用例182.1 用例#1:DNS向SDP提供上

2、下文和元数据182.1.1 1.1用例1中的策略执行212.1.2 响应恶意行为222.1.3 基于位置的访问控制232.1.4 基于设备的访问控制232.1.5 基于用户的访问控制242.2 用例#2-SDP控制器将策略结果发布到DNS242. 2.1在DNS中的策略执行-一个额外的安全层253 .结论264 .参考文献275 .缩略词291.引言在网络复杂度飙升和安全威胁加剧的背景下，组织机构需要能够简化、优化并保护网络通讯的解决方案。域名系统（DNS）将人类可读的域名（1lcloudsecurityalliance.org）映射到互联网协议（IP）地址，对于可靠的互联网运营和连接至关重要

3、。无论网络连接是从用户的Web浏览器、在线设备还是业务服务器发起，几乎每个都是以DNS查询开始。不幸的是，DNS的无处不在以及该协议的开放性、无连接性和未加密性，使得DNS成为恶意软件渗透到网络中并窃取数据（通常不易被发现）的常用目标。但是，组织机构可以集成软件定义边界（SDP）架构与DNS,获得安全能力的提升。DNS可作为一个零信任网络策略执行点，与SDP策略执行点协同工作，通过挖掘出有价值的DNS数据，加快SDP的威胁响应速度。网络连接规模化所需的另外两个核心服务是动态主机配置协议（DHCP）和互联网协议地址管理（IPAM）0这三个核心网络服务统称为DDl（DNS、DHCP、IPAM）.集

4、成这三个组件有助于为当今高度分布式的现代化网络提供控制力、自动化和安全性。DDI组合具有独特的优势，可以记录网络上的人员、人员的去向以及（更重要的是）去过的地方。当DDl系统与威胁情报源结合使用时，将具备足够信息，在控制平面和DNS层配置并实施策略。在DNS层配置和实施策略的好处是，它不是计算密集型的，并且可以扩展到数百万级别。但是，我们必须注意到DNS层的策略是粗粒度的（例如域名）。因此，需要其他机制提供细粒度的策略框架和实施方案，以利用好DDl数据库。DDI服务可以为企业提供可见性和控制力，并且，当它与软件定义边界SDP结合使用时，可以在很大程度上提高安全性并帮助组织机构在零信任安全之旅中

5、更上层楼。1.1目的本研窕文档的目的是解释DNS和企业管理的DDl系统可以如何与软件定义边界SDP结合，以提供改进的安全可见性、恢复能力和响应能力。1.2范围本白皮书探讨了企业管理的DDl与SDP集成以提高安全性、上下文感知能力和响应能力的两个用例。这种类型的集成（将传统意义上不同的系统结合在一起以得到更全面的实施方案）是零信任安全方案的标志。本文并不涉及DNS基础设施安全性本身。13受众本文档的目标读者包括： 部署零信任/SDP产品的企业架构师和安全领导者，他们希望采取整体方案。 负责企业DNS、DHCP和IPAM系统的安全和IT从业人员，他们寻求提高系统安全有效性的方法。 在产品或解决方案

6、中实施零信任/SDP架构的供应商或技术提供商。1.4域名系统(DNS)DNS是一种分层命名系统，它构建在一个为计算机、服务或任何连接到互联网或专用网络的资源而设的分布式数据库上。DNS将域名转换为与网络设备关联的数字标识符，定位和寻址全球设备。类似于系统“电话簿”，DNS使浏览器将“https:cloudsecurityalliance.org”转换为CSAWeb服务器的实际IP地址。公共DNS面向所有互联网用户，以递归名称服务器方式运行。公共DNS服务的示例包括CiSCoOpenDNS,GooglePublicDNS,CIoUdfIare以及由大多数互联网服务提供商(ISP)运营的公共DNS

7、服务器。但是，公共DNS服务器或包含在许多互联网服务包中的DNS通常并不适合企业。通常，组织机构使用商业或开源DNS服务器作为私有DNS服务器，增强控制力、安全性、可靠性和内部使用速率。这些参考文献中描述了几种不同的DNS服务器类型。】2它们必须协同工作才能将域名解析为IP地址。如果DNS服务器不具备这些属性，就可能会查询其他DNS服务器(一种称为“递归”的操作)。递归过程如“图1：企业中的递归DNS解析”所示。1Johnson,D.(2021jFebruary16).WhatisaDNSserver?HowDomainNameSystemserversconnectyoutotheinter

8、net.BusinessInsider.RetrievedMarch9,2022,fromhttps:WWW2OmniSecuxom.(n.d.).RecursiveandIterativeDNSQueries.RetrievedMarch9,2022,fromhttps:WWW.0mniseCU.COm/tcpip/recursive-and-iterative-drs-queries.php区域办事处访网发起主机本地递打DNSOK务制互联网数捐中心外部通InDBJK务器o远程企业应用程序本地企业应用程序图1:企业中的递归DNS解析#动作描述I1客户端到本地DNS客户端（访问发起主机）将DN

9、S查询发送到本地DNS服务器以获取它所查找的应用程序的IP地址。本地DNS服务器如果具有该信息（即本地企业应用程序的IP地址），则会响应。2本地DNS服务器到互联网如果本地DNS服务器没有该信息、，它会将查询请求转发给其他DNS服务器。3互联网到外部DNS服务器所有域都根据域名层次结构注册。DNS服务器可能通过其他递归层解析查询。4外部DNS服务器到互联网DNS响应通过互联网返回。5互联网到本地DNS服务本地DNS服务器缓存该响应以供将来使用。6本地DNS服务器到客户端本地DNS服务器将该响应转发给客户端。141动态主机配置协议（DHCP）DHCP是种自动配置协议服务，可在连接时将IP地址分配

10、给网络设备，这对于将设备连接到网络至关重要。每个设备都必须有一个IP地址才能通信”DHCP允许自动配置设备，无需网络管理员干预，并提供一个中央数据库跟踪连接到网络的设备。此外，DHCP可防止两个设备被意外地配置了相同的IP地址。DHCP和DNS在开放系统互连（OSI）模型的“第7层或应用层”上运行。142互联网协议地址管理QPAM)互联网协议地址管理是企业在私有网络上管理DNS和DHCP的系统。IPAM系统可以对网络中如何分配和解析IP地址提供计划、跟踪和管理。通常，DNS和DHCP等技术被用于协同执行这些任务。然而，一个使用IPAM架构的、设计良好的DDl会集成DNS和DHCP服务数据，以便

11、每个服务都能发现其他服务的变化。例如，DNS通过DHCP知道分配给客户端的IP地址，然后对自身进行相应的更新。另外，知道分配给客户端的IP地址也使得私有DNS可以通过主机名解析客户端，即便通过DHCP动态分配IP地址时也是如此。网络发现设备DNS,DHCP,IPAM.二)IP地址库企业网络DHCP请求 dhcp1-其他设备发现设备110.1.3.5设备1p*址 DHCP指蚊设备指纹10.1.3.5PC Windows vl图2:DDl中可用的上下文信息1.4.3实现云端管理DNS传统上是在本地部署和管理的。然而，就像许多企业IT和安全基础设施元素样，由企业运营的DDl的部署模式已经转向云端管理

12、。在云端管理的DDl中，管理和控制平面转移到云端，轻量级协议引擎部署在本地。轻量级协议引擎可以是容器化的也可以是虚拟机形式的。本地部署提供了本地存活性。即使互联网被切断，在远程站点拥有上百个传感器的钻井机仍可以继续运行，制造中心也可以继续生产。而将控制和管理能力转移到云端，也可以带来一些与软件即服务(SaaS)相关的好处。包括：生命周期管理是自动化的。消费模式更像SaaS0无需过度准备。组织机构可以根据业务需求增加或减少其使用量。不像本地部署管理，云端管理可以扩展到成百上千个远程站点，例如加油站和零售商店。容器化传统DNS服务器以硬件为中心云端管理的DNS服务器本地部署管理云端管理0忤理云Wb

13、LONSWDNS图3:云端管理私有DNS1.5基于DNS的安全基于域名系统的安全性对于早期检测和阻断网络内的恶意软件活动至关重要。恶意软件通常需要利用DNS解析命令和控制（C&C）服务器的IP地址。域名解析系统也被恶意软件用作陶蔽通信通道，以避免被企业安全机制检测到。151恶意软件控制点当需要命名空间解析时，DNS是传播恶意软件的失陷设备的第一个通信点。这意味着DNS拥有一个观测恶意软件活动的“前排座位”，并可以检测和响应恶意软件攻击。通过在DNS服务器上使用高质量的聚合威胁情报，组织机构可以破坏C&C通道，并防止恶意软件活动的执行，包括勒索软件活动。这可以通过使用响应策略区域（RPZ）实现。

14、该区域可以有效阻止到已知恶意的或已知C&C服务器的外部域名（例如WebdiS）的DN3解析。威胁情报包括失陷的主机名、域名和URL。这些信息可以用来阻止通向这些目的地址的DNS解析。安全DNS在攻击开始之前破坏攻击链恶意网站针对DNS的精选威胁情到恶意网站的连接在DNS上被阻止如果已经被感染，C&C连接请求在DNS上被阻断图4:在DNS上使用威胁情报来阻止恶意软件活动1.5.2阻止数据泄露DNS还可以充当将数据从企业中泄露出去的反向通道。恶意攻击者可以使用标准的隧道工具包或自定义方法绕过传统的安全技术（如防火墙、入侵检测系统【IDS】等）。例如，近年针对医疗机构的RyUk勒索软件活动就使用了D

15、NS隧道3。在这种情况下，聪明的黑客意识到，他们可以通过将命令和数据隐藏到格式有效的DNS请求中，进而与目标计算机秘密通信。这个想法利用了DNS隧道的核心456。不幸的是，各种隧道的变体很难检测到，因为它们使用了以前未知的方法，目的地址可能还没有添加到不可信名单中（这意味着它们不被认为是恶意的，并且不会出现在任何威胁源中）。缓解ODay数据泄露/隧道的最佳方法是对DNS查询使用基于人工智能/机器学习（AI/ML）的分析。机器学习模型有助于检测和允许合法的隧道（一些防病毒软件使用DNS隧道更新端点），同时阻3Cybersecurity&InfrastructureSecurityAgency.(2020,November2).RansomwareActivityTargetingtheHealthcareandPublicHealthSectorCISA.h