NSA แนะให้องค์กรหลีกเลี่ยงการใช้ DNS Resolver จาก Third-party

NSA ได้ออกเตือนให้องค์กรเลิกใช้ DNS Resolver จาก Third-party เนื่องจากเสี่ยงต่อการถูกดักจับและเปิดเผยข้อมูลการใช้งานภายใน

NSA ได้ออกเอกสารแนะนำถึงประโยชน์ของการใช้ DNS over HTTPS (DoH) ในองค์กรไว้ที่ https://media.defense.gov/2021/Jan/14/2002564889/-1/-1/0/CSI_ADOPTING_ENCRYPTED_DNS_U_OO_102904_21.PDF ทั้งนี้เพื่อเข้ารหัสทราฟฟิค DNS ระหว่าง Client และ Resolver

โดยไอเดียก็คือจริงๆแล้วองค์กรควรจะบังคับให้ทราฟฟิคของตนกับ Resolver ขององค์กรเท่านั้น เพื่อจะได้บังคับใช้การควบคุมด้าน Security ได้อย่างเหมาะสมหรือบริการภายนอกที่รองรับการเข้ารหัสทราฟฟิค DNS ได้เท่านั้น ในกรณีที่ DNS ขององค์กรยังไม่สามารถรองรับการเข้ารหัสทราฟฟิค DNS ได้ องค์กรควรจะบล็อกการเข้ารหัสของทราฟฟิคไปก่อน จนกว่า DNS ขององค์กรจะมีฟีเจอร์เข้ารหัส โดยสรุปแล้วความคาดหวังของ NSA คือพยายามใช้ DNS ภายในองค์กรเท่านั้นและควรรองรับการเข้ารหัสให้ได้ รวมถึงปิดกั้นไม่ให้ Client ไปใช้ DNS Resolver ที่องค์กรไม่ได้กำหนด

ที่มา : https://www.bleepingcomputer.com/news/security/nsa-advises-companies-to-avoid-third-party-dns-resolvers/