Национальный институт стандартов и технологий США (NIST) выпустил обновлённое руководство по защите DNS (впервые с 2013 года). Новый документ учитывает современные угрозы и предлагает использовать DNS не только как инфраструктурный сервис, но и как полноценный инструмент безопасности.
Одна из ключевых идей — внедрение protective DNS. Речь о DNS-сервисах, которые умеют блокировать вредоносные домены, фильтровать трафик и собирать данные для расследований.
NIST рекомендует использовать либо облачные решения, либо локальные (например, DNS-файрвол и RPZ), а лучше — их комбинацию.
Отдельное внимание уделено шифрованному DNS (DoT, DoH и DoQ). Он повышает конфиденциальность, но делает сам DNS-сервер центральной точкой контроля.
В связи с этим организациям советуют следить, чтобы приложения не обходили корпоративные DNS-настройки, и при необходимости ограничивать несанкционированный трафик через файрвол.
Обновлены и рекомендации по DNSSEC. В приоритете теперь более современные алгоритмы — ECDSA и Ed25519/Ed448 вместо RSA. Также советуют сокращать срок действия подписей, чтобы снизить риски при компрометации ключей.
В документе (PDF) много внимания уделено и базовой «гигиене» DNS. Среди типичных рисков — устаревшие CNAME-записи и ошибки делегирования, которые могут привести к перехвату доменов. Также NIST рекомендует разделять авторитетные и рекурсивные DNS-серверы и разворачивать их на разных площадках.
Главный вывод простой: DNS остаётся одной из ключевых точек в инфраструктуре, и его защита требует не просто настройки «по умолчанию», а полноценной стратегии с учётом современных угроз.
