TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft ได้ประกาศถึงฟีเจอร์ใหม่ที่จะทำให้ DNS เป็นไปตามคอนเซปต์ของ Zero Trust ซึ่งปัจจุบันยังอยู่ในช่วงเริ่มต้นเท่านั้น
ZTDNS คือความพยายามจำกัดไม่ให้อุปกรณ์ไปยังโดเมนที่ไม่ปลอดภัยหรือไม่น่าเชื่อถือ ซึ่ง Microsoft คุยว่า ZTDNS ถูกออกแบบอย่างเปิดกว้างใช้โปรโตคอลที่เป็นมาตรฐานตาม NIST SP800-207 และ OMB M-22-09
องค์ประกอบที่ถูกเปิดเผยเบื้องต้นคือ
- Windows จะถูกชี้ไปยังกลุ่มของ DNS Server ที่มีความสามารถ DoH (DNS over HTTPS) หรือ DoT (DNS Over TLS) กล่าวคือจะตอบสนองแค่ชื่อโดเมนที่แอดมินอนุญาต โดยเซิร์ฟเวอร์เหล่านี้อาจเป็น IP subnet ประกอบกับการมี Certificate สำหรับตรวจสอบความถูกต้อง
- Windows จะทำการบล็อก IPv4/IPv6 ขาออกยกเว้นการเชื่อมต่อไปยัง DNS ที่ได้รับการอนุมัติและทราฟฟิค network discovery ที่จำเป็นเท่านั้น
- DNS Response จากเซิร์ฟเวอร์ที่ได้รับอนุญาตจะไปอนุมัติการวิ่งออกไปหา IP ที่เชื่อมโยงกันให้ไปหาเป้าหมายให้เกิดการสถาปนาการเชื่อมต่อ
- ทราฟฟิคไปสู่ไอพีใดที่ไม่ได้มาผ่าน ZTDNS หรือไม่อยู่ในรายการยกเว้นจะถูกบล็อกโดยอัตโนมัติ จนกว่าจะได้รับการยกเว้น
อย่างไรก็ดีนี่เป็นเรื่องที่ยังเพิ่งเริ่มเท่านั้น ยังต้องได้รับการพิสูจน์อีกมาก ดังนั้นจะมีการอนุญาต bypass ฟีเจอร์นี้ไปก่อนได้ เช่น VPN Tunnel, SSE/SASE Tunnel, Hyper-V VM และ WSL เป็นต้น
ที่มา : https://redmondmag.com/Articles/2024/05/06/Microsoft-Bringing-Zero-Trust-to-DNS-Security.aspx
