Exigences relatives à la configuration pour la gestion des services de système de noms de domaine (DNS)
Dans cette page
1. Inscription
1.1 Tous les domaines et sous-domaines appartenant au gouvernement du Canada doivent être déclarés au service central de registre des domaines, y compris les coordonnées des ressources opérationnelles et techniques à jour.
1.2 On s’attend à ce que les ministères présentent des demandes pour de nouveaux domaines au Bureau de service de l’éditeur principal.
2. Configuration
2.1 Configurer le DNS pour interdire les transferts de zones vers des dispositifs non autorisés.
2.2 Activer la validation Domain Name System Security Extensions (DNSSEC) sur les résolveurs DNS organisationnels du GC.
2.3 Activer DNS sur HTTPS (DoH) et/ou DNS sur TLS (DoT) sur les résolveurs DNS organisationnels du GC.
2.4 Permettre la journalisation de toutes les requêtes et réponses DNS, y compris, au minimum, tous les enregistrements de domaines et de réponses demandés, et les renseignements sur le flux IP de l’hôte demandeur (adresses et ports IP source et de destination, et protocole de transport). Les journaux doivent être accessibles afin de permettre l’analyse des activités malveillantes.
2.5 Configurer les résolveurs DNS de manière à mettre en œuvre le pare-feu DNS en fonction d’une partie ou de l’ensemble des éléments suivants :
- 2.5.1 flux de renseignements de la zone de stratégie de réponse (RPZ) du Centre canadien pour la cybersécurité;
- 2.5.2 flux de renseignements sur les menaces commerciales;
- 2.5.3 résolveurs récursifs en amont qui mettent en œuvre le pare-feu DNS.
2.6 Configurer les services et les applications bureautiques de manière à utiliser les services de résolution DNS organisationnels du GC.
3. Gestion du système
3.1 L’authentification multifactorielle est utilisée pour authentifier tous les utilisateurs qui apportent des changements aux enregistrements DNS.
3.2 Utiliser des mesures de contrôle d’accès stricts à l’infrastructure hébergeant des fichiers de zone DNS ou fournissant des services DNS pour les domaines du GC.
3.3 Procéder à la mise en œuvre des processus robustes de contrôle des modifications pour gérer les modifications apportées aux fichiers de zone.
3.4 Tenir les logiciels et services DNS à jour et examiner régulièrement les recommandations du développeur concernant la configuration, car elles sont susceptibles de changer au fil du temps à mesure que de nouvelles menaces apparaissent.
3.5 Tenir à jour et renforcer le système d’exploitation du serveur.
4. Surveillance des systèmes
4.1 Examiner régulièrement la configuration des fichiers de zone DNS afin de veiller à ce qu’on soit en mesure de s’attendre à ce qui est présent.
4.2 Vérifier régulièrement les journaux d’achalandage réseau pour repérer les hôtes qui se comportent mal et qui tentent d’effectuer une résolution DNS en fonction de résolveurs DNS organisationnels autres que ceux du GC.
4.3 Fournir aux clients des vérifications régulières des enregistrements DNS publics sur tous les serveurs DNS autorisés et secondaires pour vérifier qu’ils se résolvent à l’emplacement prévu.
4.4 Surveiller et enregistrer l’accès à l’infrastructure essentielle hébergeant les services DNS.
Détails de la page
- Date de modification :