DNS是一種在考慮安全問題時常被人忽略的核心基礎設施組件。壞人常利用它來侵入企業網絡。

DNS安全常被認為是要么保護DNS架構和基礎設施不受各種攻擊侵擾，要么維護白名單黑名單來控制對惡意域名的訪問——雖然這確實是很重要的一個方面，但網絡安全人員利用DNS獲得的安全控制、情報和益處，真心比這要多得多。下面列出了內部和外部DNS能給企業在積極緩解已知和未知威脅上帶來的各種好處。

1. 內部和外部可見性

無論是IT基礎設施、企業服務器、桌面電腦、筆記本電腦、POS系統、連到來賓網絡的非受信設備甚或智能手機之類不受控設備，還是其他隨便什么聯網的“東西”，它們全都使用DNS來進行內部和外部通信。DNS的普遍性提供了對網絡的大量內部和外部可見性，有助于管理惡意內部人士和外部威脅帶來的日益增長的風險。

2. 揭示用戶或入網設備的意圖

DNS服務產生的大量數據，提供了知曉典型用戶/客戶端行為的機會，可用于識別客戶端或用戶開始偏離典型行為情況，或者客戶端超出企業設定風險容忍度的情況。舉個例子，如果某客戶端或用戶，在凌晨3點之類非正常工作時間，與剛產生的域建立了通信并傳輸幾GB的數據，那就是惡意行為的一個極佳指示器。

3. 實施策略

安全世界的一大挑戰，就是在企業范圍內的所有設備上實施策略。簡單來講，網絡上充斥著太多不同設備類型、操作系統和其他“東西”——其中一些甚至不是企業所有，因而控制代理不能安裝在這些上面。通過揭示每個設備試圖干些什么，DNS改變了這一模型，且由于DNS處于可允許或拒絕資源訪問的特殊位置上，基于已建立的標準設置允許或拒絕特定行為的策略就非常簡單了。比如說，使用DNS，可以設置一條規則，允許來賓無線設備訪問社交媒體，而公司內部資產不能訪問社交媒體。

4. 風險評估和打分

DNS作為安全平臺所能提供的一項能力，就是為指定請求帶來上下文環境。該上下文可被用于評估允許某行為的整體風險，然后就可基于公司設定的風險承受值予以放行或封鎖。比如說，如果某客戶端請求 www.yahooX.com ，DNS可被用于詢問關于該請求的一系列問題，給出一個風險評分。對這些問題的答案有助于測定風險，該風險值又決定了行動方案，比如封鎖該請求、重定向，或其他動作。

5. 強化安全態勢

深度防御戰略，以及支持該戰略每個層次的底層技術，都極其有價值。雖然每個層次都有自己的范圍和目的，DNS卻能在無需部署新基礎設施、重構網絡或中斷當前操作實踐的情況下，強化公司安全態勢，甚至成為其中新的一層。

6. 數據泄露鑒證

無處不在的DNS及其產生的數據，不僅僅對網絡上所有活動提供了可見性，還能產出可被拿來分析追蹤已識別數據泄露之根源的切實數據。這些實實在在的數據包括很多細節，比如發起設備、其類型、操作系統、設備上運行的應用或服務、訪問的域等等，是任何數據泄露鑒證都可用的信息金礦。