Exigences relatives à la configuration pour la gestion des services de système de noms de domaine (DNS)
1. Enregistrement des noms de domaine
1.1 Enregistrer tous les noms de domaine et sous-domaine appartenant au gouvernement du Canada (GC) auprès du Service central de registre des noms de domaine et inclure des coordonnées professionnelles et techniques à jour.
1.2 Soumettre des demandes pour de nouveaux noms de domaine de la manière suivante :
- 1.2.1 nouveaux sous-domaines de canada.ca : Bureau de service de l’Éditeur principal;
- 1.2.2 nouveaux sous-domaines de gc.ca : Service central de registre des noms de domaine;
- 1.2.3 tous les autres domaines : Service central de registre des noms de domaine.
1.3 Examiner les noms de domaine adjacents et, s’il y a lieu, les enregistrer, afin de réduire le risque d’hameçonnage ou de cybersquattage.
1.4 Veiller à ce que les domaines soient désenregistrés lorsqu’ils ne sont plus nécessaires.
2. Gestion des enregistrements de DNS
2.1 Utiliser des systèmes de gestion de DNS pour automatiser l’activation, la désactivation et la suppression des enregistrements DNS.
2.2 S’assurer que tous les enregistrements DNS renvoient à des ressources valides et actives du GC (par exemple, enregistrements de nom canonique [CNAME], d’adresse [A] et de pointeur [PTR]).
2.3 Désactiver ou purger les enregistrements DNS statiques pour les biens et services dans les 24 heures suivant leur mise hors service.
2.4 S’assurer de la synchronisation des purges des enregistrements DNS mis en cache et des signatures connexes.
2.5 Retirer les enregistrements de service dans les 30 jours suivant leur expiration ou leur publication.
- 2.5.1 Dans la mesure du possible, automatiser la suppression des enregistrements de service afin de préserver l’intégrité des biens.
3. Services DNS
3.1 Tirer parti des services DNS hébergés et approuvés par le GC qui :
- 3.1.1 interdisent les transferts de zones vers des appareils non autorisés;
- 3.1.2 utilisent la récursivité DNS;
- 3.1.3 fournissent une validation de la sécurité DNS (DNSSEC);
- 3.1.4 utilisent des résolveurs de DNS configurés à l’aide d’au moins une des mesures d’atténuation suivantes :
- 3.1.4.1 les services de protection DNS fournis par un tiers approuvé par le GC ou un service interne,
- 3.1.4.2 les flux de renseignements sur les menaces disponibles sur le marché,
- 3.1.4.3 des résolveurs récursifs en amont qui utilisent des pare-feu DNS (par exemple, pare-feu DNS de l’Autorité canadienne pour les enregistrements Internet [ACEI]);
- 3.1.5 chiffrent toutes les requêtes DNS sur les réseaux non fiables, tels que Internet ou d’autres réseaux externes à l’aide de DNS sur TLS (DoT), où DoT :
- 3.1.5.1 est configuré de manière à permettre l’authentification des serveurs DNS, conformément aux Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062),
- 3.1.5.2 désactive DNS sur HTTPS (DoH);
- 3.1.6 désactivent le chiffrement pour les requêtes DNS sur les réseaux internes du GC;
- 3.1.7 activent les pouvoirs de signature DNSSEC à l’aide d’algorithmes de chiffrement approuvés;
- 3.1.8 exigent la validation des signatures sur les résolveurs DNS intégrés du GC;
- 3.1.9 appliquent l’authentification mutuelle pour les échanges d’enregistrements DNS.
3.2 Veiller à ce que tous les services DNS hébergés dans les environnements infonuagiques publics soient configurés de façon à permettre le transfert des requêtes exclusivement vers les résolveurs DNS intégrés du GC.
4. Sécurité de l’infrastructure DNS
4.1 Bloquer le trafic DNS non autorisé aux limites du réseau et acheminer les demandes approuvées par l’intermédiaire de serveurs pangouvernementaux ou faisant autorité, désignés par le GC.
4.2 Mettre en place des contrôles d’accès pour s’assurer que seuls les clients DNS autorisés peuvent accéder aux services DNS du GC.
4.3 Utiliser des algorithmes cryptographiques approuvés par le GC, conformément au document du Centre canadien pour la cybersécurité intitulé Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B - ITSP.40.111.
5. Gestion du système
5.1 Mettre en place une authentification multifactorielle résistante à l’hameçonnage pour les utilisateurs qui ont la possibilité de modifier les enregistrements DNS.
5.2 Appliquer des contrôles d’accès stricts pour l’infrastructure qui héberge les fichiers de zone DNS ou fournit des services DNS pour les domaines du GC.
5.3 Mettre en œuvre des processus robustes de contrôle des modifications pour gérer les modifications apportées aux fichiers de zone.
5.4 Tenir les logiciels et services DNS à jour et examiner régulièrement les recommandations du développeur concernant la configuration, car elles sont susceptibles de changer au fil du temps à mesure que de nouvelles menaces apparaissent.
5.5 Tenir à jour et renforcer le système d’exploitation du serveur.
6. Surveillance
6.1 Examiner et auditer régulièrement :
- 6.1.1 la configuration des fichiers de zone DNS pour détecter tout signe de violation;
- 6.1.2 les journaux de trafic réseau pour repérer les hôtes malveillants et qui tentent d’effectuer une résolution de DNS sur des résolveurs DNS n’appartenant pas au GC;
- 6.1.3 les clients des enregistrements DNS publics sur tous les serveurs DNS faisant autorité et les serveurs DNS secondaires pour vérifier s’ils effectuent la résolution vers l’emplacement prévu;
- 6.1.4 l’accès aux infrastructures essentielles hébergeant les services DNS.
6.2 Configurer la journalisation de toutes les requêtes et réponses DNS au niveau des résolveurs récursifs internes, y compris, au minimum, tous les domaines interrogés et les enregistrements de réponse, conformément au Guide sur la consignation d’événements du GC.
6.3 Transférer les journaux d’événements protégés contre toute modification ou suppression non autorisée à l’aide des mesures de protection cryptographiques approuvées par le Centre canadien pour la cybersécurité à un dispositif de journalisation central pour traitement, stockage, surveillance et analyse.