外部DNSルックアップを無効にする-これはセキュリティにとって本当に非常に有益ですか？

ファイアウォールの場合正しく構成されている場合、DNSはネットワークに出入りする方法です。セキュリティレベルによっては、必要のない場所でDNSをブロックすると、強化に役立つ場合があります。

セキュリティコンサルタントとして、サーバー側のリクエストの偽造が制限されているシステムにいることは珍しくありません。その他のサーバー側の脆弱性。一部のお客様は、ファイアウォールを非常に適切に構成しているため、ファイアウォールを使用してさらに進んでいくことはできませんが、DNSを使用すると、通常はネットワークについて詳しく知ることができ、場合によっては便利なデータトンネルを設定できます。このような場合、DNSを無効にすることが棺桶の最後の釘になります。

問題が発生します

これがリスクです。DNSを無効にして誰かが必要とする場合（たとえば、apt update）、システム管理者が醜い回避策を使用するリスクがあります。ネットワークの安全性を高めるのではなく、安全性を低くします。適切に作業を行うことができない場合は、DNSを完全に無効にすることは正しい選択ではありません。

制限付きリゾルバーが解決策になるでしょうか？ローカルホストまたは専用システムで実行でき、ドメインのホワイトリストのみを解決するように構成できます。 「データとアプリケーションを他の人のコンピューター（「クラウド」）に移動する」とおっしゃっているので、会社が使用しているSaaS / * aaSサービスに属するドメインを解決するだけでよいようです。

*.cloudCorp.example.comのようなホワイトリストに登録すると、攻撃者がcloudCorpでVPSを購入し、一致するドメイン名を取得できる可能性があるという落とし穴があります。それは気をつけるべきことでしょう。ただし、これが避けられない場合でも（そして、それが与えられていない場合でも）、すべてのDNSクエリを許可するよりも優れています。

DNSは、どのシステムが外の世界の誰と話しているのかを可視化するための主要な手段であるため、セキュリティチームにとって重要です。そのため、セキュリティチームはすべてのルックアップを一元化し、リクエストの&応答をログに記録する必要があります。

DNSデータの漏えい、DNSトンネリングなどの攻撃手段はたくさんあります。 DNSポイズニング、およびコマンドと制御としてのDNS。セキュリティチームにとってDNSの制御は重要です。

ブロックされているものとブロックされていないものについては、特定のチームと協力して検討する必要があります。 / administratorsですがはいDNSセキュリティとロギングはすべての企業にとって重要です。