概要
Zero Trust DNS (ZTDNS) は、エンタープライズ IT 管理者が Windows エンドポイントでドメイン名ベースのネットワーク アクセス制御をネイティブに適用できるようにするセキュリティ機能です。 これは、エンタープライズ Windows デバイスが信頼されたネットワークの宛先とのみ通信し、マルウェア通信からデータ流出まで、さまざまなネットワーク攻撃のリスクを軽減するための重要なニーズに対処します。
ZTDNS は、Windows デバイスからの送信 IP トラフィックをすべて既定でブロックし、信頼された DNS サーバーによって解決された宛先またはエンタープライズ IT 管理者によって明示的に承認された宛先への IP トラフィックのみを許可する Windows DNS クライアントの機能強化です。 ポリシー対応の保護 DNS (PDNS) サーバーとペアリングすると、ZTDNS は Windows デバイスのポリシー適用ポイントとして機能します。 この方法により、送信トラフィックに関連付けられているドメイン名を特定しようとするときに、プレーンテキスト DNS やサーバー名表示 (SNI) などの安全でない信号に対する深いパケット検査や依存の必要性が軽減されます。 ZTDNS は、ゼロ トラスト原則に沿って、"既定で拒否し、限られた時間は例外で許可する" アプローチに従います。
Zero Trust DNSのしくみ
ZTDNS は、Windows DNS クライアントと Windows フィルタリング プラットフォーム (WFP) を統合して、ドメイン名ベースのネットワーク ロックダウンを有効にすることで動作します。 HTTPS 経由の DNS (DoH) または DNS over TLS (DoT) をサポートする PDNS サーバーを使用するように Windows デバイスで ZTDNS を構成すると、システムは次のことを保証します。
- 暗号化された DNS の適用: Windows DNS クライアントは、暗号化された DNS の使用を強制し、構成された PDNS サーバーにのみクエリを送信します
- 承認済みトラフィックのみ: 送信トラフィックは、これらの信頼された PDNS サーバーによって解決された IP アドレス、またはエンタープライズ IT 管理者によって手動例外が構成された IP 範囲にのみ許可されます
- 既定の拒否: その他のすべての IPv4 および IPv6 送信トラフィックは既定でブロックされ、ゼロ トラストの "既定で拒否" 原則に従います
- 接続ログ: デバイスは、監視とトラブルシューティングのために試行された送信接続の包括的なログを保持します
Windows デバイスで ZTDNS が構成されている場合のトラフィック フロー プロセス
初期ロックダウン: Windows は、構成された保護 DNS サーバーへの接続、明示的に許可された IP 範囲、および重要なネットワーク検出トラフィック (DHCP、DHCPv6、NDP) を除く、すべての送信 IPv4 および IPv6 トラフィックをブロックします。
DNS 解決: アプリケーションが宛先に接続する必要がある場合、暗号化されたチャネル (DoH または DoT) を介して信頼された PDNS サーバーにクエリを実行します
動的許可リスト: IP アドレス解決を含む PDNS サーバーからの DNS 応答によって、指定された時間に対する特定の IP アドレスに対する送信許可例外がトリガーされます
トラフィックの適用: アプリケーションは解決された IP アドレスに接続でき、他の IP アドレスへの接続は手動例外リストに含まれていない限りブロックされます
セキュリティ上のメリット
ZTDNS は、さまざまなネットワーク ベースの脅威に対処することで、重要なセキュリティ上の利点を提供します。
DNS 乗っ取り保護
信頼された PDNS サーバーからの DNS 解決のみが使用されるようにすることで、ZTDNS は、悪意のあるアクターが DNS 乗っ取り攻撃を通じて悪意のあるサイトにトラフィックをリダイレクトするのを防ぐのに役立ちます。
悪意のある通信防止
信頼された DNS クエリを通じて解決された IP アドレスへの送信接続のみを許可すると、フィッシング詐欺の試行が中断され、管理者以外のマルウェア のステージング機能やビーコンがコマンド サーバーや制御サーバーと通信するのを防ぐことができます。
データ流出の軽減策
承認されたドメインへの送信トラフィックを制限すると、ドメイン名解決パターンの分析を必要とせずに、機密データが未承認の宛先に送信されるリスクが軽減されます。
エンドツーエンドの暗号化をサポート
プレーンテキスト信号やディープ パケット検査に依存する従来のネットワーク フィルタリングとは異なり、ZTDNS は DNS トラフィックと SNI が暗号化されている場合でも有効であり、将来のセキュリティ制御を提供します。
Windows エディションとライセンスに関する要件
次の表に、Zero Trust DNS (ZTDNS) をサポートする Windows エディションを示します。
| Windows 11 Home | Windows 11 Pro | Windows 11 Enterprise | Windows 11 Education |
|---|---|---|---|
| なし | なし | はい | はい |
Zero Trust DNS (ZTDNS) ライセンスエンタイトルメントは、次のライセンスによって付与されます。
| Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|
| はい | はい | はい | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。