長期以來，將人類可讀的域名網址轉換為數字IP地址的DNS服務存在著巨大安全風險，因為域名解析過程很少采用端到端加密。提供域名解析的服務器會為幾乎任何IP地址（即使是已知的惡意地址）進行解析。許多終端用戶設備的DNS配置也很容易被篡改成惡意服務器。

為了治理DNS頑疾，上周五微軟推出了一套安全DNS框架——零信任DNS(ZTDNS)，企業可在Windows網絡內部鎖定域名解析。該框架的兩個主要功能是：

• 終端用戶客戶端和DNS服務器之間采用加密和密碼身份驗證的連接。
• 管理員可以嚴格限制這些服務器所能解析的域名。

破解DNS安全悖論

DNS之所以成為網絡安全最頑固雷區之一，主要原因之一是存在一個安全悖論：在DNS解析中實施加密和身份驗證會降低管理員的可見性，（無法看到和組織用戶設備連接惡意域名或檢測網絡內異常行為）。因此，DNS流量要么以明文形式發送，要么以允許管理員在傳輸過程中解密的方式進行加密，這實質上是一種中間人攻擊。

管理員經常面臨以下兩難選擇：

• 要么以明文形式路由DNS流量，服務器和客戶端設備之間無法相互進行身份驗證，因此惡意域名可以被屏蔽，并且網絡監控成為可能。
• 要么加密和驗證DNS流量，并放棄對域名的控制和網絡可見性。

微軟的ZTDNS通過將Windows DNS引擎與Windows篩選平臺（Windows防火墻的核心組件）直接集成到客戶端設備中來解決這個存在了數十年的互聯網安全問題（矛盾）。

咨詢公司Hunter Strategy的研究和開發副總裁Jake Williams表示，這種引擎結合可以對Windows防火墻進行以域名為基礎的更新。這產生一種機制，可讓企業系統管理員將客戶端DNS配置為：“只使用我們的DNS服務器，該服務器使用TLS，并且只解析某些域名”。微軟將這種DNS服務器稱為“保護性DNS服務器”。

默認情況下，防火墻會拒絕解析允許列表（白名單）中列出的域名之外的其他所有域名的解析。單獨的允許列表將包含客戶端運行授權軟件所需的IP地址子網。網絡安全專家Royce Williams將其稱為“防火墻層的一種雙向API，用戶可以同時觸發防火墻操作（通過輸入‘到防火墻’），并根據防火墻狀態觸發外部操作（輸出‘來自防火墻’）。因此，如果您是防病毒供應商或其他任何供應商，就不必重新發明防火墻，只需連接到WFP即可?！?/p>

ZTDNS的工作原理

微軟公布了一個ZTDNS的概念圖（下圖），展示ZTDNS如何融入微軟的移動設備管理平臺（該平臺可幫助管理員保護和控制獲準聯網的遠程設備）以及與從家庭或其他遠程位置連接的設備進行交互。

ZTDNS概念示意圖

微軟表示，除了連接到保護性DNS服務器、DHCP、DHCPv6和NDP服務器（用于網絡發現）的連接，ZTDNS會阻止客戶端設備到所有其他IPv4或IPv6 IP地址的出站連接。

ZTDNS對出站流量的處理

微軟指出：

當應用程序和服務嘗試將IPv4或IPv6流量發送到未通過ZTDNS發現的IP地址（并且不在手動例外列表中）時，該流量將被阻止。這使ZTDNS成為一種很有價值的零信任工具：它對流量是“零信任”的，管理員可使用策略感知的保護性DNS服務器定義基于域名的鎖定。或者，可以使用客戶端證書向服務器提供影響策略的客戶端標識，而不是依賴客戶端IP地址，后者既不是安全的信號，也不太適用于“隨時隨地工作”的設備。

基于域名的鎖定

通過使用ZTDNS增強零信任部署，管理員可以實現所有出站IPv4和IPv6流量的名稱標記，而無需依賴攔截純文本DNS流量、卷入識別和阻止來自應用程序或惡意軟件的加密DNS流量的技術軍備競賽、檢查即將加密的SNI，或依賴于特定供應商的網絡協議。相反，管理員可以阻止無法識別關聯域名或命名異常的所有流量。這意味著企業不再依賴硬編碼IP地址或加密DNS服務器，也不必犧牲端到端加密的安全優勢。

有和沒有ZTDNS的系統比較

對于用作ZTDNS鎖定的保護性DNS服務器，最低要求是支持DNS over HTTPS (DoH)或DNS over TLS (DoT)，因為ZTDNS將阻止Windows使用純文本DNS。此外，在加密DNS連接上使用mTLS可支持對每個客戶端配置細粒度的DNS解析策略。最后，ZTDNS沒有引入任何新的網絡協議，這使其成為基于域名鎖定的一種有前景的可互操作方法。

Peculiar Ventures首席執行官瑞安·赫斯特(Ryan Hurst)表示，網絡內部大規模采用加密連接給一些大型組織帶來了困難，因為管理員使用的許多安全工具都依賴于其檢查和監控純文本流量的能力。Hurst指出：

微軟的零信任DNS解決方案的重點是：通過將DNS轉變為所謂的網絡策略執行點，部分恢復可見性；在不獲取明文流量的情況下可靠地控制和審核所解析的域名。當企業將ZTDNS其與出口網絡過濾相結合時，可創建一個閉環，使企業可以對流量的去向和時間有一定的掌控。當發生網絡攻擊時，零信任DNS還有可能被用作一種遲滯或阻止攻擊者在網絡中橫向移動的方法，在某些情況下可讓數據泄露變得更加困難。

但是安全專家警告說，ZTDNS引入了一種新穎的DNS方法，除非管理員對其當前的設計進行重大更改，冒然部署可能會破壞關鍵的網絡運營。企業在部署ZTDNS前需要指定一個團隊來處理升級，進行嚴格測試和文化轉變。“為了從ZTDNS獲得最大的安全價值，系統管理員需要枚舉他們希望客戶端連接到的域名和/或IP范圍，”Jake Williams指出：“不然將導致（自我造成的）拒絕服務?！?/p>

微軟官方發布了一篇文章專門介紹了部署ZTDNS的注意事項（鏈接在文末）。目前，ZTDNS的開發已經進入內部預覽版，但微軟沒有透露內部人士何時可以對其進行評估以及何時推廣使用。