В течение последних нескольких месяцев корпорация Microsoft проводила предварительное тестирование DNS over HTTPS (DoH) для DNS-сервера Windows, позиционируя это как фундаментальное обновление для корпоративных сетей с нулевым доверием (zero-trust). По сути, это вводит зашифрованный, аутентифицированный DNS для сетей вместо передачи DNS-трафика в открытом виде. Теперь компания объявила о начале общего доступа (GA) к этой функции.
Общий доступ к DoH побуждает организации внедрять это решение в производственных средах без необходимости развертывания новой архитектуры взаимодействия клиента с резолвером. DoH помогает повысить общую безопасность сети и снижает риск подмены благодаря своей конструкции с нулевым доверием. Это значительное изменение, поскольку практически любое взаимодействие с сетью требует задействования DNS.
DoH предлагает несколько преимуществ по сравнению со стандартным DNS-трафиком, таких как шифрование с использованием HTTPS, предотвращающее несанкционированный просмотр, атаки типа «человек посередине» (man-in-the-middle) и анализ трафика. Поскольку он использует TLS-сертификаты, позволяющие клиентам проверять подлинность DNS-сервера, он предотвращает подмену посредством этого механизма аутентификации. Кроме того, он построен на стандарте DoH, определенном Целевой группой по инженерным вопросам Интернета (IETF), что означает, что он должен работать с современными клиентами, соответствующими RFC 8484. Наконец, он бесшовно интегрируется в существующую сетевую архитектуру и может даже работать параллельно со стандартным DNS, позволяя клиентам переходить на новую технологию в собственном темпе.
Microsoft заявляет, что за последние несколько месяцев предварительного просмотра DoH стал более стабильным, и клиенты могут уверенно развертывать его в производственных средах при наличии надлежащих инструкций. Microsoft подчеркнула, что переход на DoH необходим для организаций, которые движутся к решениям DNS с нулевым доверием.
Клиенты Windows уже поддерживают DoH, но недавнее появление этой функции в Windows Server обеспечивает зашифрованный DNS для всех конечных точек. Компания также упомянула, что «хотя этот выпуск сосредоточен на шифровании связи между клиентом и резолвером, поддержка зашифрованной связи между DNS-сервером Windows и вышестоящими DNS-резолверами запланирована на будущее обновление». Вы можете следовать инструкциям Microsoft по развертыванию DoH здесь, но имейте в виду, что вам потребуется установка Windows Server 2025 с последними обновлениями Patch Tuesday.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
