米国の国家安全保障局が、先週DoH(DNS over HTTPS)を推奨する発表を実施していました。
そのなかで、DoHのメリットとともに、この方式のデメリットというか注意点についても言及しています。
DoHはその名前解決の内容を暗号化で他者が見ることができなくするというメリットを提供しますが、それは同時にDNSで通信されている内容をセキュリティデバイスで検査できないというリスクも提供します。
企業の中でDoHを使用する場合にはこの点を考慮し、適切に運用されていることが確認できているDNSサーバだけをDoHとして使用してよい、などの方針で運用することを推奨しています。
この記事ではDNSの暗号化について触れられているわけですが、これはDNSに限った話ではないと思います。
いろいろな通信は暗号化で一見安全が手に入るかのように思えますが、正しく利用されていない場合には危険であることを認識して利用する必要があるのではないかと考えさせられます。
正しい設計と正しい運用、実現し継続していきたいものです。
参考記事(外部リンク):Adopting Encrypted DNS in Enterprise Environments
https://media.defense.gov/2021/Jan/14/2002564889/-1/-1/0/CSI_ADOPTING_ENCRYPTED_DNS_U_OO_102904_21.PDF
この記事をシェア |
---|