重新定义DNS安全：新指南引领网络安全控制的战略转变

长期以来，网络安全界对DNS安全的定义一直存在分歧。它仅仅是域名系统安全扩展（DNSSEC）吗？是关于阻止分布式拒绝服务（DDoS）攻击吗？还是将DNS用作网络安全控制以阻止恶意软件，通常称为防护性DNS（Protective DNS）？结果是混乱、分散的方法和错失的机会。但随着美国国家标准与技术研究院（NIST）更新的特别出版物（SP）800-81《安全域名系统（DNS）部署指南》¹和欧盟的NIS2指令²强化其主题，行业终于有了一个更完整且实用的定义。

在最初的NIST出版物中，DNS安全通常仅等同于DNSSEC。它今天仍然重要，但这只是整体的一部分。发生了什么变化？很多。从加密DNS标准到更智能的威胁情报，格局已经转变。与此同时，攻击者充分利用了这些差距，针对管理不善的DNS系统并劫持域名以推动网络钓鱼活动。

尽管防护性DNS在政府圈子里获得了关注，但许多供应商淡化了其重要性——误导性地将DNS安全定义为另一个复选框或防火墙功能。在SASE和零信任等框架中，DNS经常被忽视。在紧张的预算下，许多组织并未将其视为首要任务。但忽视DNS安全有真实的后果——以及真实错失的机会。

这种情况正在改变。正如Rik Turner最近的分析³所强调的，虽然行业中的一些人已经转向平台整合，但NIST SP 800-81引入了更完整的关于安全DNS部署和最佳实践的愿景。它围绕三大支柱：保护DNS基础设施、确保DNS完整性以及采用防护性DNS作为主动控制。首先是保护DNS基础设施本身。作为IT基础设施的关键组成部分，组织应确保DNS部署在高度弹性的架构中，使用能够抵御DDoS攻击等威胁的专用平台。其次是保护DNS系统的完整性。威胁行为者已被证明能够成功劫持配置错误的域名，并毒化DNS缓存以将用户重定向到欺诈性域名。最后是部署DNS作为网络安全控制，通常称为防护性DNS。这是DNS平台可以应用策略的地方，通常基于DNS威胁情报，阻止对已知恶意站点的请求。这是一个现代、实用的蓝图，涵盖网络弹性和威胁缓解。您可以在我们的白皮书中阅读更多内容。

Infoblox威胁情报持续跟踪以越来越有创意的方式利用DNS的对手——无论是劫持合法域名还是使用相似URL运行令人信服的网络钓鱼活动。随着更多政府采用防护性DNS和安全团队寻求加强防御，一件事是明确的：DNS安全不再是可选的。它是基础性的。

脚注

1. NIST特别出版物800-81《安全域名系统（DNS）部署指南》，Rose, Scott, Liu, Cricket, Gibson, Ross，美国国家标准与技术研究院（NIST），2025年4月。
2. NIS2指令技术实施指南，欧盟网络安全局（ENISA），2025年6月。
3. 更严格的DNS安全要求为Infoblox带来机会，Turner, Rik, Omdia，2025年6月20日。