Directiva de seguridad de DNS

En este artículo se proporciona información general sobre la directiva de seguridad de DNS y la fuente de inteligencia sobre amenazas.

Para obtener más información sobre la configuración de la directiva de seguridad de DNS y la fuente de inteligencia sobre amenazas, consulte las siguientes guías paso a paso:

• Proteger y ver el tráfico DNS .

• Proteja su VNet con el feed de inteligencia sobre amenazas.

¿Qué es la directiva de seguridad de DNS?

La directiva de seguridad de DNS ofrece la capacidad de filtrar y registrar consultas DNS en el nivel de red virtual (VNet). La directiva se aplica al tráfico DNS público y privado dentro de una red virtual. Los registros DNS se pueden enviar a una cuenta de almacenamiento, al área de trabajo de Log Analytics o a Event Hubs. Puede optar por permitir, alertar o bloquear consultas DNS.

Con la directiva de seguridad de DNS, puede:

• Crear reglas para protegerse contra ataques basados en DNS bloqueando la resolución de nombres de dominios conocidos o malintencionados.
• Guardar y ver los registros de DNS detallados para obtener información del tráfico DNS.

Una directiva de seguridad DNS tiene los siguientes elementos y propiedades asociados:

• Ubicación: región de Azure donde se crea e implementa la directiva de seguridad.
• Reglas de tráfico DNS: reglas que permiten, bloquean o alertan en función de las listas de prioridad y dominio.
• Vínculos de red virtual: vínculo que asocia la directiva de seguridad a una red virtual.
• Listas de dominios DNS: listas basadas en ubicación de dominios DNS.

La directiva de seguridad de DNS se puede configurar mediante Azure PowerShell o Azure Portal.

¿Qué es la inteligencia de amenazas DNS?

La directiva de seguridad de Azure DNS con la fuente de inteligencia sobre amenazas permite la detección temprana y la prevención de incidentes de seguridad en redes virtuales de clientes en las que los dominios malintencionados conocidos procedentes del Centro de respuesta de seguridad de Microsoft (MSRC) se pueden bloquear desde la resolución de nombres.

Además de las características ya proporcionadas por la directiva de seguridad de DNS, la fuente está disponible como una lista de dominios administrados y permite la protección de las cargas de trabajo frente a dominios malintencionados conocidos con la propia fuente inteligente de amenazas administrada de Microsoft.

A continuación se muestran las ventajas de usar la directiva de seguridad de DNS con la fuente de inteligencia sobre amenazas:

• Protección inteligente:

  • Casi todos los ataques comienzan con una consulta DNS. La lista de dominios administrados de Inteligencia sobre amenazas permite la detección y prevención de incidentes de seguridad al principio.

• Actualizaciones continuas:

  • Microsoft actualiza automáticamente la fuente para protegerse frente a dominios malintencionados recién detectados.

• Supervisión y bloqueo de dominios malintencionados:

  • La flexibilidad para observar la actividad en modo solo de alerta o bloquear la actividad sospechosa en modo de bloqueo.

  • La habilitación del registro proporciona visibilidad sobre todo el tráfico DNS de la red virtual.

Casos de uso

• Configure Inteligencia de Amenazas como una lista de dominios administrados en las directivas de seguridad de DNS para una capa adicional de protección contra dominios malintencionados conocidos.

• Obtenga visibilidad de los hosts comprometidos que intentan resolver dominios malintencionados conocidos desde redes virtuales.

• Registre alertas y configúrelas cuando los dominios maliciosos se resuelvan en redes virtuales donde está configurada la fuente de inteligencia de amenazas.

• Integre perfectamente con redes virtuales y otros servicios, como zonas DNS privadas de Azure, resolución privada y otros servicios de la red virtual.

Ubicación

Una directiva de seguridad solo se puede aplicar a las redes virtuales de la misma región. En el ejemplo siguiente, se crean dos directivas en cada una de dos regiones diferentes (Este de EE. UU. y Centro de EE. UU.).

Reglas de tráfico DNS

Las reglas de tráfico DNS determinan la acción que se realiza para una consulta DNS.

Para mostrar las reglas de tráfico DNS en Azure Portal, seleccione una directiva de seguridad DNS y, después, en Configuración, seleccione Reglas de tráfico DNS. Observe el ejemplo siguiente:

• Las reglas se procesan en orden de Prioridad en el intervalo 100-65000. Los números más bajos tienen mayor prioridad.
  • Si un nombre de dominio está bloqueado en una regla de prioridad inferior y se permite el mismo dominio en una regla de prioridad más alta, se permite el nombre de dominio.
  • Las reglas siguen la jerarquía DNS. Si se permite contoso.com en una regla de prioridad más alta, se permite sub.contoso.com, incluso si sub.contoso.com está bloqueado en una regla de prioridad inferior.
  • Puede configurar una directiva en todos los dominios mediante la creación de una regla que se aplique al dominio ".". Tenga cuidado al bloquear dominios para que no bloquee los servicios de Azure necesarios.
• Puede agregar y eliminar reglas dinámicamente de la lista. Asegúrese de Guardar después de editar las reglas en el portal.
• Se permiten varias listas de dominios DNS por regla. Debe tener al menos una lista de dominios DNS.
• Cada regla está asociada a una de las tres acciones de tráfico: Permitir, Bloquear o Alertar.
  • Permitir: permite la consulta a las listas de dominios asociadas y registre la consulta.
  • Bloquear: bloquea la consulta a las listas de dominios asociadas y registre la acción de bloqueo.
  • Alertar: permite la consulta a las listas de dominios asociadas y registra una alerta.
• Las reglas se pueden habilitar o deshabilitar individualmente.

Vínculos de red virtual

Las directivas de seguridad de DNS solo se aplican a las redes virtuales vinculadas a la directiva de seguridad. Puede vincular una única directiva de seguridad a varias redes virtuales, pero una sola red virtual solo se puede vincular a una directiva de seguridad DNS.

En el ejemplo siguiente, se muestra una directiva de seguridad DNS vinculada a dos redes virtuales (myeastvnet-40, myeastvnet-50):

• Solo puede vincular redes virtuales que se encuentren en la misma región que la directiva de seguridad.
• Al vincular una red virtual a una directiva de seguridad DNS mediante un vínculo de red virtual, la directiva de seguridad DNS se aplica a todos los recursos dentro de la red virtual.

Listas de dominios DNS

Las listas de dominios DNS son listas de dominios DNS que se asocian a las reglas de tráfico.

Seleccione Listas de dominios DNS en Configuración de una directiva de seguridad DNS para ver las listas de dominios actuales asociadas a la directiva.

En el ejemplo siguiente, se muestran las listas de dominios DNS asociadas a la directiva de seguridad DNS myeast-secpol:

Puede asociar una lista de dominios a varias reglas de tráfico DNS en diferentes directivas de seguridad. Una directiva de seguridad debe contener al menos una lista de dominios. A continuación, se muestra un ejemplo de una lista de dominios DNS (blocklist-1) que contiene dos dominios (malicious.contoso.com, exploit.adatum.com):

• Una lista de dominios DNS debe contener al menos un dominio. Se permiten dominios comodín.

Al ver una lista de dominios DNS en Azure Portal, también puede seleccionar Configuración>Reglas de tráfico DNS asociadas para ver una lista de todas las reglas de tráfico y las directivas de seguridad DNS asociadas que hacen referencia a la lista de dominios DNS.

Requisitos y restricciones

Contenido relacionado

• Protección y visualización del tráfico DNS.