NIST впервые за 12 лет переписал рекомендации по защите DNS

Национальный институт стандартов и технологий США (NIST) выпустил обновлённое руководство по защите DNS (впервые с 2013 года). Новый документ учитывает современные угрозы и предлагает использовать DNS не только как инфраструктурный сервис, но и как полноценный инструмент безопасности.

Одна из ключевых идей — внедрение protective DNS. Речь о DNS-сервисах, которые умеют блокировать вредоносные домены, фильтровать трафик и собирать данные для расследований.

NIST рекомендует использовать либо облачные решения, либо локальные (например, DNS-файрвол и RPZ), а лучше — их комбинацию.

Отдельное внимание уделено шифрованному DNS (DoT, DoH и DoQ). Он повышает конфиденциальность, но делает сам DNS-сервер центральной точкой контроля.

В связи с этим организациям советуют следить, чтобы приложения не обходили корпоративные DNS-настройки, и при необходимости ограничивать несанкционированный трафик через файрвол.

Обновлены и рекомендации по DNSSEC. В приоритете теперь более современные алгоритмы — ECDSA и Ed25519/Ed448 вместо RSA. Также советуют сокращать срок действия подписей, чтобы снизить риски при компрометации ключей.

В документе (PDF) много внимания уделено и базовой «гигиене» DNS. Среди типичных рисков — устаревшие CNAME-записи и ошибки делегирования, которые могут привести к перехвату доменов. Также NIST рекомендует разделять авторитетные и рекурсивные DNS-серверы и разворачивать их на разных площадках.

Главный вывод простой: DNS остаётся одной из ключевых точек в инфраструктуре, и его защита требует не просто настройки «по умолчанию», а полноценной стратегии с учётом современных угроз.