基于SDP和DNS 動態主機配置協議 域名生成算法(DGAs)控制 用例#1:DNS向SDP提供上下文和元數 ?例1中的策略執 用例#2-SDP控制器將策略結果發布到 縮略 在網絡復雜度飆升和安全威脅加劇的背景下，組織機構需要能夠簡化、優化并保護網絡通訊的解決方案。域名系統（N）將人類可讀的域名（例如，oudcurtaan.or）映射到互聯網協議（IP）地址，對于可靠的互聯網運營和連接至關重要。無論網絡連接是從用戶的瀏覽器、在線設備還是業務服務器發起，幾乎每個都是以N查詢開始。不幸的是，N的無處不在以及該協議的開放性、無連接性和未加密性，使得NS成為惡意軟件滲透到網絡中并竊取數據（通常不易被發現）的常用目標。但是，組織機構可以集成軟件定義邊界（P）架構與N，獲得安全能力的提升。NS可作為一個零信任網絡策略執行點，與P策略執行點協同工作，通過挖掘出有價值的NS數據，加快P的威脅響應速度。網絡連接規模化所需的另外兩個核心服務是動態主機配置協議（DHCP）今高度分布式的現代化網絡提供控制力、自動化和安全性。DDI組合具有獨特的優勢，可以記錄網在NS層配置和實施策略的好處是，它不是計算密集型的，并且可以擴展到數百萬級別。但是，我們必須注意到N層的策略是粗粒度的（例如域名）。因此，需要其他機制提供細粒度的策略框架和實施方案，以利用好I數據庫。I服務可以為企業提供可見性和控制力，并且，當它與軟件定義邊界P結合使用時，可以在很大程度上提高安全性并幫助組織機構在零信任安全之旅中更上一層樓。DNS是一種分層命名系統，它構建在一個為計算機、服務或任何連接到互聯網或專用網絡的資類似于系統“電話簿”，DNS使瀏覽器將“”轉換為CSAWeb服務器OpenDNS，GooglePublicDNS，Cloudflare以及由大多數互聯網服務提供商（ISP）運營的公共DNS服這些參考文獻中描述了幾種不同的DNS服務器類型。12它們必須協同工作才能將域名解析為IP1Johnson,D.(2021,February16).WhatisaDNSserver?HowDomainNameSystemserversconnectyoutotheinternet.BusinessInsider.RetrievedMarch9,2022,fromhttps://\h/what-is-a-dns-server?r=US&IR=T2OmniS.(n.d.).RecursiveandIterativeDNSQueries.RetrievedMarch9,2022,fromhttps://\h/1企業中的遞歸DNS客戶端（訪問發起主機）將DNS查詢發送到本地DNS服其他DNS服務器。動態主機配置協議DHCP是一種自動配置協議服務，可在連接時將IP地址分配給網絡設備，這對于將設備連接到網絡至關重要。每個設備都必須有一個IP地址才能通信。DHCP允許自動配置設備，無需網絡管理員干預，并提供一個中央數據庫跟蹤連接到網絡的設備。此外，DHCP可防止兩個設備被意外地配置了相同的IP地址。IPDHCPDHCPDHCPDHCP設備 設備 : 圖3云端管理私有基于域名系統的安全性對于早期檢測和阻斷網絡內的惡意軟件活動至關重要。惡意軟件通常需要利用NS解析命令和控制（&C）服務器的IP地址。域名解析系統也被惡意軟件用作隱蔽通信通道，以避免被企業安全機制檢測到。:N還可以充當將數據從企業中泄露出去的反向通道。惡意攻擊者可以使用標準的隧道工具包或自定義方法繞過傳統的安全技術（如防火墻、入侵檢測系統【I】等）。例如，近年針對醫療機構的yu勒索軟件活動就使用了N隧道。在這種情況下，聰明的黑客意識到，他們可以通過將命令和數據隱藏到格式有效的NS請求中，進而與目標計算機秘密通信。這個想法利用了NS隧道的核心。Cybersecurity&InfrastructureSecurityAgency.(2020,November2).RansomwareActivityTargetingtheHealthcareandPublicHealthSector|CISA.https://\h/uscert/ncas/alerts/aa20-302aGreen,A.(2020,October19).WhatisDNSTunneling?ADetectionGuide.Varonis.https://\h/blog/dnsPaloAltoNetworks.(n.d.).WhatIsDNSTunneling?RetrievedMarch9,2022,fromhttps://\h/Roblyer,K.(2021,August2).3ThingsNISTTaughtUsAboutDNSSecurity.BlueCatNetworks.https://bluecatnetworks. DNS與威脅情DNS與威脅情:域名生成算法(DGA: 通過機器學習分析和阻斷使用相同模式7檢測和阻斷美國國家標準與技術研究所NIST（NationalInstituteofStandardsandTechnology）的特別出版物800-207首先通過描述滿足零信任（ZeroTrust）需求所需的核心組件（參見下圖8）揭示零信任。的“規則”。NIST零信任工作流程通過兩種機制定義、管理和執行策略：Yu,B.,Pan,J.,Gray,D.,Hu,J.,Choudhary,C.,Nascimento,A.C.A.,anddeCock,M.(2019,April15)WeaklySupervisedDeepLearningfortheDetectionofDomainGenerationAlgorithms.IEEEAccess.Vol.7,pp.51542-51556.https://ieeexplore.Rose,S.(2020,August11).SP800–207,ZeroTrustArchitecture|CSRC.NationalInstituteofStandardsandTechnology.應這種挑戰。11”。企業必須監控資產的完整性和安全狀況（NISTSP800-2072020第7頁）。SDP通NIST.(2020,October).ImplementingaZeroTrustArchitecture.NationalInstituteofStandardsandTechnology.https://\hNIST.(2020,October).ImplementingaZeroTrustArchitecture.NationalInstituteofStandardsandTechnology.https://\hSDP圖9SDP架構零信任原則鼓勵企業將安全生態系統的元素整合在一起，提供更多的上下文，并更好地通過零信任策略執行點（PEP）實施訪問控制。如上所述，P是一個經過充分驗證的用于實現零信任原則的架構，并提供以身份為中心和基于上下文感知的策略執行。因此，將N與企業管理的I和P整合在一起是零信任之旅中自然而有價值的一步，將幫助企業從這些基礎設施元素中獲得更多價值，并提高環境的安全性和響應能力。下面將探討兩個用例，說明這些要素是如何連接起來并執行零信任策略的。策略執行是將控制機制應用于網絡訪問。規則或策略可能基于許多準則。DNS和企業管理的DDI提供了基本信息，可以為是否允許用戶訪問網絡提供決策支持，并且可以成為策略執行的關鍵CloudSecurityAlliance.(2019,May7).SDPArchitectureGuidev2.CloudSecurityAlliance.https://cloudsecurityalliance.:在此用例中，企業使用P控制用戶對企業受控資源的訪問。圖描述了一個常見的零信任P部署模型。4關鍵在于零信任P使用邏輯上集中的控制器作為策略決策點，并通過控制平面將訪問控制策略傳遞到P網關（策略執行點）。該企業還采用了私有I基礎設施。在此用例中，NS服務器充當“天線”，向P控制器提供有關設備和網絡活動的額外信息，從而增強系統的訪問控制決策的能力。Specifically,thisfiguredepictstheClient-to-Gatewaymodelforclarity.TheusecasesinthisdocumentareequallyapplicableacrossallSDPdeploymentmodels.SDP控制器一旦確定用戶設備（發起主機，IH）是可信的，就將建立從用戶設備到SDP網關的 ?個或多個SDP控制器加載上線并連接到適當的??個或多個AH加載上線（SDP?（或?個?實體NPE）進行?份驗證。此步驟可能包括控制器的DNS當接入的IH重新上線時（例如，設備重啟后或??啟動連接時），會連接到SDP控制器并進行?份驗證。在對IH進行?份驗證后（在某些場景下，由對應的?供者IdP完成），SDP控制器會向IH提供?個已授權通信的?SDP控制器從DNS服務器檢索該設備上下?信息。例如，如果設備被認為是惡意的，則不允許IH請求。SDP控制器指??關接受來?IH的通信，以及提供用于建IH使?單包認證(SPA協議啟動與每個授權的SDP?接，該?關驗證SPA中的信息（?于執行）IH建立到這些SDP?關的雙向TLS連接。此步驟可能包括SDP?關的DNS解析。IH發出的DNS解析請求（解析目標為處于SDP?關后的遠程主機）都通過SDP隧道路由到遠程私有DNS服務器。隨著越來越多的設備加??絡，DNS和企業管理的DDI?效的資產管理、降低?險和支撐合規政策。此外，DDI系統管理的IP記錄還包含了能進?步描:DNSDHCP和IPAM數據可以為SDP控制器提供額外的上下?信息，例如來自特定用戶或客戶端設備的DNSDDI中可?的詳細上下?信息提供了相關?絡活動的完整指紋，包括：DHCP操作系統(OS當前IP歷史IPIPAM用戶詳細信息（通過與IAM集成軟件定義邊界SDP系統也可以使?這些上下?信息做出更好的訪問控制決策。注意，私有DDI如VPN之類的遠程訪問解決?案會混淆內部企業DDI系統中的用戶和設備（即，將所有遠程用戶映射到?個共享的私有IP地址或NAT）。SDP系統通過提供統?的深度上下?和?戶/設備相關信息（不考慮位置）彌補這?點。雖然只有本地用戶會使?DDI的DHCP，但內網（指接入企業內?和外網（例如，居家遠程辦公）用戶都將因為DNS請求而實施DDI系統。因此，DDI可以向Natalia在辦公室?作，使?企業局域?(LAN)中的DHCP服務器獲取IP地址，并使?本地DNS服務器處理所有的DNS請求，因此，Natalia的DNS訪問活動是全部可見的。Jim在家?作，并使?本地路由器提供的DHCP服務，因此，企業DDI系統?法查看他的DHCP請求或指紋。但是，SDP系統可以確保他對企業資源的DNS請求送入SDP隧道并由企業DNS服務器解析，從?獲得Jim的DNS訪問活動的完全可?性。注意，SDP實現可以將Jim的全部或部分DNS流量放在隧道內傳輸。通常來說，這個機制是::根據用戶或設備的地理位置，諸如用戶所接入的網絡、交換機端口或無線接入點，可以選擇是否授予訪問權限。例如，一個使用手推車采集病人生命體征信息的醫療機構可以制定政策規定這些設備只能從臨床側而不是服務前臺獲得網絡訪問權。網絡分段是確保資源安全、減少攻擊風險和滲透影響的關鍵。在這種情景下，IA元數據，如網絡和物理位置，可以告知P控制器某個設備的行蹤。P控制器可以利用這些信息確定設備是否允許接入，尤其是在常見的OD場景中。允許這些設備訪問網絡資源意味著要確保它們足夠安全。例如，運行最新OS版本的Phone或許網絡訪問的風險相對較低；而運行過時版本的舊安卓手機或許會產生足夠高的惡意軟件風險，有必要阻止或限制其網絡訪問。此設備上下文對于零信任策略決策點P控制器)是必要的，因為P控制器會評估策略，確定它們是否適用于給定的主體。具體實施中P是從本地用戶代理Pent獲取這類信息。-:圖展示了P控制器如何將策略信息推送到NS服務器，并展示了應該允許哪些目錄組解析哪些內部服務器的主機名。注意，此圖假設NS服務器已從一個企業目錄服務獲得用戶到組的映射，在圖中并未展示。或者，P控制器也可以將此信息提供給NS服務器。遠程用戶m將其對內部資源的N請求通過P網關隧道傳輸到私有N服務器。本地用戶Nae將NS請求直接路由到同一臺N服務器，該服務器部署在本地的內網。在這兩種情況下，NS服務器都可以區分哪個用戶正在發出N請求，還可以知道每個用戶屬于哪些組。P控制器已向NS服務器發布了策略信息，指示需要哪些目錄組成員身份才能訪問哪些服務，如圖中的NS響應策略表所示。基于所有這些信息，只有當發出請求