Guida NIST al deployment sicuro del DNS: best practice

Sintesi esecutiva: NIST ha pubblicato SP 800-81r3 il 19 marzo 2026, il suo primo aggiornamento alla Secure DNS Deployment Guide in 13 anni. Il nuovo documento è più breve (50 pagine, rispetto alle precedenti 120) e passa da consigli di configurazione specifici per piattaforma a un quadro strategico per la sicurezza DNS in ambito aziendale.

La guida suddivide la sicurezza DNS in tre pilastri. Primo, considerare DNS come componente dell’architettura di sicurezza centralizzando la risoluzione per abilitare il logging delle query (ai fini di indagini forensi e rilevamento minacce) e il filtraggio della risoluzione dei nomi (Protective DNS). Secondo, mettere in sicurezza i server ricorsivi fornendo un servizio ricorsivo interno crittografato, limitando l’accesso al DNS pubblico, utilizzando la minimizzazione QNAME e validando DNSSEC. Terzo, mettere in sicurezza i server autoritativi in cinque ambiti diversi: proteggere le interfacce di gestione, ridurre al minimo la fuga di informazioni, mantenere una corretta igiene DNS (i record NS/CNAME obsoleti sono un rischio di hijack), monitorare i domini simili e implementare DNSSEC per l’integrità crittografica.

Il 19 marzo 2026, NIST ha pubblicato un atteso aggiornamento della propria Secure DNS Deployment Guide (SP 800-81r3). La sicurezza DNS è un tema a cui tengo molto e volevo vedere le novità introdotte. La risposta breve è—tutto. Sorprendente? No, in realtà, perché la versione precedente di questo documento risale al 2013, ben 13 anni fa. Quel documento era figlio del suo tempo. Anche la versione 2026 lo è, ma oggi il panorama della sicurezza è molto diverso rispetto ad allora. Questo spiega le grandi differenze. Vediamole nel dettaglio.

Il principale cambiamento è concettuale. La versione precedente, di circa 120 pagine, era più lunga e dettagliata, con un focus sulle impostazioni di configurazione e sui dettagli delle singole piattaforme. La nuova versione è stata alleggerita a circa 50 pagine e si concentra soprattutto sulla strategia generale per mettere in sicurezza il DNS aziendale.

Infatti, oggi la sicurezza del DNS si suddivide in tre aspetti:

• DNS come parte dell’architettura di sicurezza
• Sicurezza dei server ricorsivi dell’organizzazione
• Sicurezza dei server autoritativi dell’organizzazione

Anche se inizialmente non è stato pensato come controllo di sicurezza, negli anni DNS è diventato una parte fondamentale dell’architettura di sicurezza di ogni organizzazione, in quanto ogni servizio di rete lo utilizza. La quasi totalità dei servizi devono risolvere nomi di dominio in indirizzi IP. Molte minacce sfruttano DNS come veicolo di consegna.

Dunque, se l’uso del DNS in un’organizzazione viene centralizzato, si ottengono due vantaggi principali:

• Logging delle query DNS fornisce registri delle risoluzioni DNS che sono molto utili sia per investigazioni digitali che per la risposta agli incidenti, attività fondamentali per una maggiore sicurezza e per la conformità alle normative. Il monitoraggio dei pattern di utilizzo del DNS è utile anche per rilevare esfiltrazioni di dati e reagire alle minacce in tempo reale.
• Filtraggio della risoluzione dei nomi consente di avere un vero e proprio firewall client che svolge molteplici funzioni. Innanzitutto garantisce l’applicazione uniforme delle politiche sui contenuti aziendali. Ma soprattutto protegge gli utenti da minacce come phishing e malware. Il concetto chiave in questo caso viene spesso indicato come Protective DNS.

Dopo aver integrato DNS nell’infrastruttura di sicurezza, il passo successivo è assicurare la corretta risoluzione DNS in tutto il proprio perimetro. Qui si complica, perché dovete garantire che tutti i dispositivi dell’organizzazione rispettino questa impostazione. Sono necessari due passi:

• Fornire un servizio ricorsivo ufficiale per l’uso interno. Un servizio centralizzato permette di implementare nel concreto le scelte di architettura di sicurezza della sezione precedente. Per i migliori risultati, il servizio ricorsivo dovrebbe essere cifrato, così da proteggere il traffico DNS potenzialmente sensibile da attori malevoli nella rete interna.
• Limitare l’accesso ai servizi DNS pubblici per assicurare che venga usato solo quello ufficiale. Di solito questo passaggio si gestisce attraverso una piattaforma MDM (Mobile Device Management), che consente di controllare le principali impostazioni di sistema operativo e applicazione. Bloccare alcune porte DNS è semplice: la porta 53 è usata dal DNS non cifrato e la porta 853 da DNS-over-TCP (DoT) e DNS-over-QUIC (DoQ). Bloccare DNS-over-HTTPS (DoH) è molto più complesso perché utilizza la porta 443, la stessa del traffico Web generale. Sebbene non sia un compito banale, in genere le organizzazioni si affidano ai propri fornitori per una soluzione.

Il vostro servizio ricorsivo potrebbe far trapelare informazioni tramite il traffico che esce su Internet pubblica. Funzioni come crittografia del traffico DNS in uscita e minimizzazione QNAME sono opzioni da usare per migliorare la privacy. La validazione DNSSEC va integrata per assicurarsi che le informazioni ricevute non siano state alterate.

Anche i server ricorsivi possono essere oggetto di attacchi, come qualunque altra parte della vostra infrastruttura. Gli attacchi di DNS cache poisoning hanno registrato un ritorno tra il 2025 e il 2026 e rappresentano tutt’ora un vettore di minaccia da considerare.

L’ultimo passo per una solida igiene del DNS è mettere in sicurezza i server autoritativi. Dobbiamo muoverci in cinque aree distinte:

• Proteggere le interfacce di gestione. I server autoritativi devono essere raggiungibili su Internet pubblica per funzionare, ma le interfacce di gestione vanno tutelate. Funzionalità come zone transfers e dynamic updates non dovrebbero essere esposte al pubblico per ridurre la superficie d’attacco. Se delegate la gestione DNS a un provider, sarà lui ad occuparsi degli aspetti di sicurezza. Se mantenete il primario in casa, fatelo in modo che sia del tutto nascosto al pubblico, accessibile solo ai server secondari. Così riducete la probabilità di cadere vittima di un attacco DoS.
• Ridurre al minimo la fuga di informazioni. Per definizione, lo scopo del DNS è fornire informazioni al pubblico, ma spesso le zone DNS contengono dati non strettamente necessari, che possono essere sfruttati da malintenzionati. Rivedete periodicamente i contenuti presenti ed eliminate tutto ciò che non è essenziale per i vostri servizi. Con servizi come il passive DNS monitoring e la Certificate Transparency, i vostri sottodomini sono in realtà più esposti di quanto si pensi. Quando possibile, separate i domini pubblici da quelli interni, mantenendo privati questi ultimi.
• Mantenere l’igiene DNS. Al minimo, assicuratevi che il DNS sia operativo. Potrebbe funzionare, ma fornire informazioni obsolete, una condizione facilmente sfruttabile. Ad esempio, record NS obsoleti potrebbero essere sfruttati per dirottare un intero dominio; record CNAME non aggiornati per compromettere singoli servizi. Le fonti di problemi possono essere molte: configurazione errata, dati palesemente sbagliati oppure drift tra primario e secondari.
• Monitorare i domini simili. Nel cybercrimine, è comune registrare domini simili al vostro per attaccare dipendenti, clienti, fornitori e partner. Monitorare attivamente questi nomi e agire rapidamente per bloccarli è necessario per la sicurezza.
• Utilizzare DNSSEC per l’integrità. Il DNS, di per sé, non è sicuro. I pacchetti possono essere intercettati e modificati durante il transito in rete. Attacchi come il DNS cache poisoning possono introdurre dati invalidi nei server ricorsivi. Come visto, servono protocolli come DoT, DoH e DoQ per cifrare il traffico DNS. Ma per vera integrità crittografica, occorre DNSSEC.

In Red Sift siamo focalizzati sulla difesa informatica, e DNS è una parte fondamentale di questa attività. Forniamo discovery e monitoraggio continuo dell’infrastruttura all’interno del nostro prodotto Attack Surface Management, che offre funzionalità di monitoraggio per l’igiene DNS (o DNS Posture Management, se preferite). La nostra soluzione Brand Trust offre un monitoraggio completo dei domini simili. Contattateci per sapere come possiamo aiutarvi a migliorare la vostra postura di sicurezza.

1. Considerare DNS come parte dell’architettura di sicurezza

• Mantenere un log di audit DNS per forensics e rilevamento minacce
• Costruire uno strato protettivo tramite filtraggio della risoluzione dei nomi

2. Mettere in sicurezza i server ricorsivi

• Fornire un servizio ricorsivo interno
• Crittografare il traffico DNS in uscita
• Utilizzare la minimizzazione QNAME
• Validare DNSSEC
• Impedire l’accesso a servizi DNS pubblici

3. Mettere in sicurezza i server autoritativi

• Proteggere le interfacce di gestione
• Nacondere i name server primari
• Minimizzare la fuga di informazioni
• Mantenere l’igiene DNS
• Monitorare i domini simili
• Utilizzare DNSSEC per assicurare l’integrità