CISA, Rehberlik-Uygulama Şifreli DNS Protokollerini Ortaya Çıkarıyor


CISA, Şifrelenmiş DNS Protokollerinin Uygulanmasına İlişkin Kılavuzu Açıkladı

Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) ayrıntılı bir belgesi olan “Şifrelenmiş DNS Uygulama Kılavuzu”, devlet kurumlarına şifreli Etki Alanı Adı Sistemi (DNS) protokollerini kullanarak siber güvenliklerini nasıl geliştirebileceklerini anlatıyor.

Bu tavsiye, Federal Sivil Yürütme Organı’ndaki (FCEB) departmanlar için “sıfır güven” siber güvenlik planı ortaya koyan Yönetim ve Bütçe Ofisi’nin (OMB) M-22-09 Muhtırası ile uyumludur.

Yönetici Özeti

Nisan 2024’te yayınlanan belge, federal kurumların DNS verilerinin şifrelenmesine ilişkin federal gereksinimleri nasıl karşılaması gerektiğini ayrıntılı olarak açıklıyor.

ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service

M-22-09 ve 6 USC § 663 Notu, Ajans Sorumlulukları uyarınca, tüm giden DNS çözümlemeleri için CISA’nın Koruyucu DNS özelliğinin kullanılması vurgulanır.

Yönergeler, kurum ağ profesyonellerinin DNS altyapısını korumak için en güncel teknoloji araçlarını kullanmalarına yardımcı olur.

OMB, 26 Ocak 2022’de “Ulusun Siber Güvenliğinin İyileştirilmesi” başlıklı 14028 sayılı Yönetici Kararını desteklemek için Federal Sıfır Güven Stratejisi M-22-09 Memorandumunu yayınladı.

Bu plan, FCEB kurumları içindeki tüm DNS trafiğinin 24 Mali Yılı’na kadar şifrelenmesini gerektirmektedir. Belgenin amacı, kurumların bu sıfır güven kavramlarıyla uyumlu şifrelenmiş DNS protokollerini kullanmalarına yardımcı olmaktır.

Ajans Uygulaması için Kontrol Listesi

Tavsiye, DNS verilerini şifrelemek ve yukarı akış DNS çözümü için CISA’nın Koruyucu DNS’sini kullanmak için en önemli kuralları ve önerilen yöntemleri listeler.

Ajansın DNS altyapısının şifreli DNS protokollerini işleyecek şekilde ayarlanması en kritik noktalardan biridir.

  • Ajans DNS altyapısını şifrelenmiş DNS protokollerini destekleyecek şekilde yapılandırma.
  • Yukarı akış sağlayıcısı olarak Koruyucu DNS’yi kullanma.
  • DNS Kök İpuçlarını ve Koruyucu DNS’yi atlayabilecek diğer mekanizmaları devre dışı bırakmak.
  • SASE/SSE çözümlerini, tüm cihaz DNS sorgularını şifreli protokoller aracılığıyla gönderecek şekilde yapılandırma.
  • Şirket içi ve dolaşımdaki uç noktaların yetkili DNS yapılandırmalarını kullanmasını sağlamak.

Aşamalı Uygulama

Şifreli DNS’ye geçişin karmaşıklığı göz önüne alındığında, kılavuz aşamalı bir yaklaşım önermektedir:

  1. Koruyucu DNS Kullan: Dahili DNS altyapısını Koruyucu DNS kullanacak şekilde yapılandırın.
  2. Yetkisiz DNS Trafiğini Engelleyin: Yetkisiz DNS trafiğini engellemek için ağları yapılandırın.
  3. DNS Trafiğini Koruyucu DNS ile Şifreleyin: Koruyucu DNS ile iletişim kurarken şifreli DNS kullanın.
  4. Dolaşım ve Göçebe Uç Noktalar için DNS’yi Şifreleyin: DNS istekleri için SASE/SSE çözümlerini kullanacak şekilde uç noktaları yapılandırın.
  5. Bulut Dağıtımlarında DNS Trafiğini Şifreleyin: Bulut dağıtımlarını şifrelenmiş DNS kullanacak şekilde yapılandırın.
  6. Şirket İçi Uç Noktalar için DNS Trafiğini Şifreleyin: Şirket içi uç noktalar için şifrelenmiş DNS protokollerini destekleyin.

Belgede, CISA’nın Koruyucu DNS hizmetinin nasıl kullanılacağı ve DNS’nin nasıl şifreleneceği hakkında kapsamlı teknik talimatlar verilmektedir. BT

DNS-over-HTTPS, DNS-over-TLS ve DNS-over-QUIC gibi DNS verilerini şifrelemenin yollarından bahsediyor.

Ayrıca, uç noktaların kötü amaçlı adları çözmesini engellemek için Koruyucu DNS’nin nasıl kullanılabileceğinden de bahsediliyor.

Koruyucu DNS Kullanma Yöntemleri
Koruyucu DNS Kullanma Yöntemleri

Satıcıya Göre Uygulama Önerileri

Her satıcıya özel olan web tarayıcıları, işletim sistemleri ve DNS sunucuları için uygulama önerileri Ek A’da yer almaktadır.

Şifreli DNS protokollerini işleyebilmeleri için Firefox, Chrome, Safari, Microsoft Windows, macOS, iOS/ıpados, BIND DNS Sunucusu, Microsoft DNS Sunucusu, Azure Özel DNS Sunucusu ve Infoblox DNS Aracını tam olarak nasıl kuracağınızı anlatır.

CISA’nın “Şifreli DNS Uygulama Kılavuzu”, şifreli DNS protokollerini kullanarak güvenliklerini artırmak isteyen devlet kurumları için çok önemlidir.

Çoğunlukla FCEB ajansları için olsa da diğer gruplar bunu sıfır güven girişimleri için faydalı bulabilir. Kılavuz kağıdı herkesin görebilmesi ve sorunsuzca paylaşabilmesi için işaretlenmiştir.

Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers



Source link