微软零信任DNS与Infoblox威胁防御™携手强化企业安全

本文探讨了如何通过结合微软的零信任DNS技术与Infoblox威胁防御解决方案,将DNS层转变为主动的、智能的防御控制点,以更早地阻止网络攻击,并确保在混合多云环境中的一致保护。

利用微软零信任DNS和Infoblox威胁防御™强化企业安全

随着企业持续拥抱零信任架构,域名系统(DNS)已成为执行策略、确保可见性和在威胁到达关键资产之前将其阻止的关键控制点。微软近期为 Windows 11 企业和教育版发布的零信任 DNS,代表了将零信任原则延伸至 DNS 层的一项重大进展。

在 Infoblox,我们很自豪能够通过 Infoblox 威胁防御™来补充这一新能力——这是我们企业级的保护性 DNS 解决方案,提供先发制人、智能且可扩展的 DNS 层防护。ZTDNS 与威胁防御相结合,形成强大的组合,帮助组织强化安全态势,消除盲点,并比传统安全工具更早地阻止攻击。

为何零信任如今比以往任何时候都更重要

零信任的原则根植于现实主义。假设已存在入侵。永不信任,始终验证。强制执行最小权限。持续监控。积极分段。这些准则不再是可选项,而是生存策略。

采用的驱动因素是明确的:

  • 基础设施复杂性:混合和多云部署意味着应用程序和数据无处不在。“城堡与护城河”模型已不再适用。
  • 设备爆炸式增长:物联网和运营技术设备成倍增加了入口点。每个传感器、打印机或连接系统都可能成为突破口。
  • 远程办公:永久性的“随处办公”模式已经消融了网络边界。员工从家庭、机场和咖啡店登录。
  • AI驱动的威胁:正如 AI 加速业务发展一样,它也加速了攻击者的步伐。他们正快速生成一次性恶意软件,更快地发现漏洞,通过伪装技术隐藏,并以日益复杂的手段洗白恶意流量。

在此背景下,零信任的价值是毋庸置疑的:即使攻击者渗透网络,横向移动也会受到限制,爆炸半径也能最小化。但如果 DNS——每个网络连接的起点——被默认信任,这一愿景就会破灭。

什么是零信任 DNS?

通过 ZTDNS,微软将“永不信任,始终验证”直接引入终端 DNS 解析。ZTDNS 不依赖系统的默认解析器或不安全的查询,而是确保在 Windows 11 客户端与指定的 PDNS 服务器之间,仅使用受信任的加密 DNS 连接——例如 DNS-over-HTTPS 或 DNS-over-TLS。

ZTDNS 的主要优势包括:

  • 加密的名称解析:DNS 查询和响应完全加密,保护用户免受拦截或篡改。
  • 强化的信任边界:设备仅与通过受信任的 PDNS 解析器解析的 IP 地址通信。任何通往未经批准目的地的流量都会被 Windows 过滤平台自动阻止。
  • 策略驱动的控制:管理员可以定义并强制执行与企业零信任原则直接一致的 DNS 解析策略。

这种方法将 DNS 从被动服务转变为主动执行机制,让安全团队能够精确控制终端如何解析和连接资源。

Infoblox 威胁防御:ZTDNS 的理想受信任解析器

威胁防御通过充当智能的、受信任的解析器来扩展微软 ZTDNS 的能力,该解析器不仅强制执行企业 DNS 策略,还在恶意活动影响用户或系统之前主动检测并阻止它们。

前所未有地提前阻止威胁

威胁防御将 DNS 用作攻击链中最早的检测和执行点。通过利用全球精选的威胁情报和先进的 AI 驱动分析,威胁防御能够识别并阻止恶意域名——包括命令与控制、网络钓鱼和仿冒域名,以及数据窃取企图——在连接建立之前就进行先发制人的阻止。

我们的数据显示:

  • 威胁防御可以比其他安全工具提前多达 68.4 天检测到新兴威胁。
  • 90% 基于域名的威胁在首次 DNS 查询完成之前就被阻止。
  • 系统保持极低的误报率,大约为 0.0002%。

当与 ZTDNS 强制执行相结合时,这意味着终端只能连接到已经过 Infoblox 解析器验证为安全的目的地,从而极大地减少了面临威胁(包括基于 DNS 的威胁)的风险。

威胁防御不仅阻止恶意活动——它还向安全和 IT 团队提供所需的可见性,以有效理解和响应。通过我们的安全生态系统集成和安全工作空间,组织可以获得:

  • 对 DNS 查询和被阻止威胁的实时可见性
  • 关于设备、工作负载、用户和威胁类别的丰富上下文数据
  • 与 SIEM、SOAR 和 XDR 工具无缝集成,实现自动化响应

这种全面的视图有助于安全运营中心分析师快速识别并响应新兴威胁,提高事件响应的速度和准确性。

跨环境的一致保护

在当今的混合办公世界中,保护必须扩展到企业边界之外。威胁防御正是为此而构建。它支持:

  • 本地网络,直接与 Infoblox NIOS 或其他内部 DNS 服务器集成
  • 云和混合部署,保护虚拟化和多云环境
  • 漫游和移动用户,通过基于云的解析器和加密通道提供一致的 DNS 安全

无论用户是在办公室、远程工作还是从公共网络连接,Infoblox 都确保相同的受信任 DNS 解析策略在任何地方都适用。

ZTDNS 与威胁防御如何协同工作

当 Windows 11 设备配置为使用 ZTDNS 并将威胁防御作为其 PDNS 解析器时,集成将无缝工作:

  1. ZTDNS 强制执行受信任的解析:所有 DNS 查询通过加密通道发送至威胁防御。
  2. 威胁防御应用威胁情报和分析:查询根据先进的分析和威胁情报进行评估。已知的恶意域名会被即时阻止。
  3. ZTDNS 强制执行允许列表流量:终端只能与通过 Infoblox 受信任 DNS 基础设施解析的 IP 进行通信。
  4. Infoblox 提供遥测和可见性:管理员可以通过 Infoblox 安全工作空间或集成的 SIEM 系统监控解析活动、阻止统计数据和入侵指标。

这种双重执行模型——终端上的 ZTDNS 和网络中的威胁防御——提供了全面的分层保护,消除了许多传统的攻击路径。

结论

微软零信任 DNS 的发布标志着将零信任原则直接引入终端名称解析的重要一步。当与威胁防御相结合时,组织可以将 DNS 转变为主动、智能的防御机制,在攻击的最早可能阶段将其阻止。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次