Büyük resim: Alan adı arama işlemi, ağ güvenliğindeki en önemli açıklardan biridir. İnsan dostu web adreslerini bilgisayarların anlayabileceği IP numaralarına çevirmek açısından çok önemli olmasına rağmen, DNS fazlasıyla “açık”tır. Tarayıcınızdan uygulamalara ve işletim sistemi bileşenlerine kadar her şey, DNS isteklerini açık bir şekilde yayınlayarak onları gözetleme ve ele geçirme saldırılarına karşı savunmasız hale getirir.
Microsoft nihayet bu DNS güvenlik açığıyla ilgili bir şeyler yapıyor. Şirket yakın zamanda Windows DNS trafiğini güvence altına almak için yeni “Sıfır Güven DNS” (ZTDNS) çerçevesinin bir önizlemesini yayınladı. Gördüğümüz kadarıyla bu oldukça kapsamlı bir güvenlik revizyonu.
ZTDNS’nin arkasındaki temel konsept tam olarak göründüğü gibidir; tamamen doğrulanana kadar hiçbir alan adı çözümleme isteğine asla otomatik olarak güvenmeyin. Bu modelde, Sıfır Güven DNS için yapılandırılmış Windows PC’ler, etki alanı adı açıkça onaylanmadıkça ve DNS araması şifrelenip kimlik doğrulaması yapılmadıkça herhangi bir sunucuya bağlanmayı kesin olarak reddedecektir.
Microsoft, “[Sıfır Güven DNS], sabit kodlu IP adreslerinin veya onaylanmamış şifreli DNS sunucularının kullanımını, TLS sonlandırmasına gerek kalmadan ve uçtan uca şifrelemenin güvenlik avantajlarını kaçırmadan anlamsız hale getiriyor.” diye açıklıyor Microsoft.
Sıfır Güven DNS, mevcut iki Windows teknolojisini kullanır: aramaları işlemek için DNS istemcisi ve ağ ilkelerini uygulamak için Windows Filtreleme Platformu. Etkinleştirildiğinde, ZTDNS, onaylanmış DNS sunucuları ve ağ keşfi için gereken temel bilgiler hariç, varsayılan olarak tüm giden IPv4 ve IPv6 trafiğini engeller. Dolayısıyla, bir IP adresi içeren herhangi bir DNS yanıtı, söz konusu hedef için bir istisnanın kilidini açarak ilgili uygulamanın veya hizmetin bağlanmasına olanak tanır. Bunun aksine, onaylanmamış bir IP’ye erişme girişimleri anında engellenir.
Microsoft, Sıfır Güven DNS’nin yaygın şekilde benimsenmesinin, doğrulanmamış alan adlarını kullanan potansiyel olarak kötü amaçlı trafiğin engellenmesine yardımcı olacağını umuyor. Çerçeve, işletmeler ve yüksek riskli ortamlar için tüm DNS tabanlı saldırı kategorilerini ve veri sızıntılarını ortadan kaldırabilir.
Elbette özellik hala erken ön izleme aşamasında ve kararlı bir sürüm için kesin bir zaman çizelgesi yok. Ancak Microsoft, daha geniş kapsamlı testler için yakında Windows Insider’lara sunmayı taahhüt etti.
Microsoft, ABD Siber Güvenlik İnceleme Kurulu’nun geçmiş güvenlik uygulamalarını “yetersiz” olarak eleştirmesinin ardından bir koruma revizyonundan geçiyor. Kurulun endişeleri, Exchange Online saldırısı gibi büyük olaylardan sonra ortaya çıktı. İnceleme, CEO Satya Nadella’yı harekete geçmeye sevk etti. Bu haftanın başlarında şirket geneline, çalışanlara güvenliğe her şeyden daha fazla öncelik vermeleri talimatını veren bir not gönderdi.
Microsoft’un yenilenen odağı, potansiyel olarak sarsıntıya karşılık gelen ilk değişikliklerden biri olan ZTDNS çerçevesinin açıklanmasını açıklıyor.