Route 53 Global Resolver의 주요 개념 및 구성 요소

Route 53 Global Resolver는 여러 주요 구성 요소를 함께 사용하여 트래픽 분할 DNS 확인, 글로벌 애니캐스트 아키텍처를 통한 고가용성, 조직에 대한 포괄적인 DNS 보안을 제공합니다. 이러한 Route 53 Global Resolver 개념을 이해하면 프라이빗 리소스와 퍼블릭 리소스 모두에 원활하게 액세스할 수 있고, 여러 리전에서 서비스 연속성을 보장하고, DNS 기반 위협으로부터 보호할 수 있는 솔루션을 설계하고 배포할 수 있습니다.

온프레미스 및 원격 위치의 클라이언트를 위한 DNS 해석기

분산 워크로드, 고객 위치 및 사용자에 대해 Route 53 Global Resolver를 배포하려면 다음 주요 구성 요소를 구성합니다.

글로벌 해석기

여러 AWS 리전에서 조직에 DNS 확인 및 필터링을 제공하는 기본 서비스 인스턴스입니다. 글로벌 해석기는 멀티캐스트 기술을 사용하여 DNS 쿼리를 사용 가능한 가장 가까운 리전으로 자동으로 라우팅하므로 위치에 관계없이 모든 클라이언트의 응답 시간이 빨라집니다.

애니캐스트 IP 주소

클라이언트 디바이스 및 네트워크 장비에서 구성하는 글로벌 해석기에 할당된 고유한 IPv4 또는 IPv6 주소 2개. 이러한 애니캐스트 IP 주소는 전 세계적으로 동일하므로 모든 위치에서 DNS 구성이 간소화됩니다. 애니캐스트 IP 주소 지정을 사용하면 가장 가까운 글로벌 해석기로 DNS 요청을 자동으로 라우팅하여 응답 시간을 최적화하고 서비스 신뢰성을 개선할 수 있습니다.

DNS 뷰

네트워크의 서로 다른 클라이언트 그룹에 서로 다른 DNS 정책을 적용할 수 있는 구성 템플릿입니다. DNS 뷰를 사용하여 분할 영역 DNS를 구현합니다. 예를 들어, IP 기반 액세스 및 지사에 대한 다양한 보안 정책을 사용하는 동안 원격 위치에 대해 엄격한 필터링 및 토큰 인증을 적용합니다.

DNS 클라이언트 인증

배포에 가장 적합한 인증 방법을 선택합니다.

토큰 기반 인증

DNS-over-HTTPS(DoH) 및 DNS-over-TLS(DoT)에 대해 암호화된 토큰을 사용하여 DNS 연결을 보호합니다.DoT 개별 클라이언트 또는 디바이스 그룹에 대해 고유한 액세스 토큰을 생성하고, 만료 기간을 설정하고, 필요에 따라 토큰을 취소할 수 있습니다.

소스 기반 인증 액세스

IP 주소 및 CIDR 범위 허용 목록을 사용하여 액세스를 제어합니다. 지사 퍼블릭 IP 주소 또는 네트워크 범위를 구성한 다음 보안 요구 사항에 따라 각 위치에서 사용할 수 있는 DNS 프로토콜(DNS-over-port-53, DoT 또는 DoH)을 지정할 수 있습니다.

DNS 프로토콜 선택

보안 및 호환성 요구 사항에 따라 적절한 DNS 프로토콜을 선택합니다.

• DNS-over-port-53(Do53) - 기존 네트워크 인프라와의 호환성을 극대화하는 데 사용

• DNS-over-TLS(DoT) - 네트워크 모니터링을 위한 전용 포트 분리 기능이 있는 암호화된 DNS가 필요한 경우 사용

• DNS-over-HTTPS(DoH) - 트래픽이 일반 HTTPS로 표시되므로 네트워크 제한을 우회해야 할 때 사용합니다.

트래픽 분할 DNS 확인

Route 53 Global Resolver를 사용하면 조직이 모든 위치에서 프라이빗 도메인과 퍼블릭 도메인을 모두 원활하게 해결할 수 있으므로 복잡한 VPN 구성 또는 리전별 DNS 설정이 필요하지 않습니다.

하이브리드 DNS 확인

하이브리드 DNS 확인을 통해 Route 53 Global Resolver는 온프레미스 사용자 및 애플리케이션의 쿼리를의 프라이빗 애플리케이션으로 동시에 해결할 수 있습니다 AWS.

글로벌 프라이빗 영역 액세스

글로벌 프라이빗 영역 액세스는 Amazon Route 53 프라이빗 호스팅 영역의 범위를 VPC 경계 이상으로 확장합니다. 인터넷의 모든 곳에서 승인된 클라이언트는 프라이빗 도메인 이름을 확인할 수 있으므로 분산된 팀이 기존 네트워크 연결 요구 사항 없이 내부 리소스에 액세스할 수 있습니다.

원활한 장애 조치

원활한 장애 조치를 통해 개별 AWS 리전을 사용할 수 없게 되더라도 프라이빗 리소스와 퍼블릭 리소스 모두에 지속적으로 액세스할 수 있습니다. 애니캐스트 아키텍처는 일관된 해결 동작을 유지하면서 쿼리를 정상 리전으로 자동으로 라우팅합니다.

고가용성 및 글로벌 입지

Route 53 Global Resolver는 분산 아키텍처 및 자동 장애 조치 기능을 통해 엔터프라이즈급 가용성을 제공합니다.

다중 리전 배포

다중 리전 배포는 최소 2개 AWS 리전에 Route 53 Global Resolver 인스턴스를 배포하여 고가용성을 보장하고 서비스 중단 시 장애 조치를 허용합니다. 지리적 요구 사항 및 규정 준수 요구 사항에 따라 특정 리전을 선택할 수 있습니다.

자동 지리적 최적화

자동 지리적 최적화는 네트워크 토폴로지 및 지연 시간에 따라 사용 가능한 가장 가까운 AWS 리전으로 DNS 쿼리를 라우팅합니다. 이렇게 하면 응답 시간이 단축되고 전 세계에 분산된 조직의 사용자 경험이 향상됩니다.

기본 제공 중복성

기본 중복은 기본 리전을 사용할 수 없을 때 대체 리전으로 자동 장애 조치를 통해 서비스 연속성을 보장합니다. 트래픽이 투명하게 다시 라우팅되는 동안 클라이언트는 동일한 애니캐스트 IP 주소를 계속 사용합니다.

DNS 확인 및 전달

프라이빗 호스팅 영역 확인

프라이빗 호스팅 영역 확인을 통해 Route 53 Global Resolver는 AWS 리전 간에 Route 53 프라이빗 호스팅 영역에 대한 DNS 쿼리를 확인할 수 있습니다. 이렇게 하면 권한 있는 클라이언트가 인터넷상의 어디에서나 Route 53에서 호스팅하는 애플리케이션 및 리소스의 도메인을 확인할 수 있습니다.

분할 영역 DNS

분할 영역 DNS는 쿼리를 수행하는 클라이언트에 따라 다른 DNS 응답을 제공합니다. Route 53 Global Resolver는 인터넷에서 퍼블릭 도메인을 확인하면서 동시에 프라이빗 도메인을 확인하여 퍼블릭 리소스와 프라이빗 리소스 모두에 원활하게 액세스할 수 있습니다.

DNSSEC 검증

DNSSEC 검증은 DNSSEC 서명 도메인에 대한 퍼블릭 네임서버의 DNS 응답의 신뢰성과 무결성을 확인합니다. 이 검증은 전송 중에 DNS 응답이 변조되지 않도록 하여 DNS 스푸핑 및 캐시 중독 공격으로부터 보호합니다.

EDNS 클라이언트 서브넷(ECS)

EDNS 클라이언트 서브넷은 DNS 쿼리의 클라이언트 서브넷 정보를 신뢰할 수 있는 이름 서버에 전달하는 선택적 기능입니다. 이렇게 하면 보다 정확한 지리적 기반 DNS 응답이 가능하므로 클라이언트를 더 가까운 콘텐츠 전송 네트워크 또는 서버로 전달하여 지연 시간을 줄일 수 있습니다. DNS-over-TLS(DoT) 및 DNS-over-HTTPS(DoH) 연결의 경우 EDNS0을 사용하여 클라이언트 IP 주소 정보를 전달할 수 있습니다. Global Resolver에서 ECS가 활성화되면 쿼리에 제공되지 않은 경우 서비스가 클라이언트 IP를 자동으로 주입합니다.

DNS 필터링 및 도메인 목록

Route 53 Global Resolver는에서 관리하는 도메인 목록을 사용하여 도메인 기반 필터링 AWS 을 제공하여 특정 도메인을 차단하거나 허용합니다.

DNS 필터링 규칙

DNS 필터링 규칙은 Route 53 Global Resolver가 도메인 일치 기준에 따라 DNS 쿼리를 처리하는 방법을 정의합니다. 규칙은 우선 순위에 따라 평가되며 특정 도메인 또는 도메인 범주에 대한 쿼리에 대한 작업(ALLOW, BLOCK 또는 ALERT)을 지정할 수 있습니다.

도메인 목록

도메인 목록은 필터링 규칙에 사용되는 도메인 모음입니다. 다음과 같을 수 있습니다.

• 사용자 지정 도메인 목록 - 생성 및 유지 관리하는 도메인 컬렉션

• AWS 관리형 도메인 목록 - 위협 인텔리전스를 활용하여 악성 도메인을 식별하는 AWS 에서 유지 관리하는 사전 구성된 위협 목록 및 콘텐츠 범주입니다. 사용 가능한 위협 목록은 다음과 같습니다.

  • 맬웨어 도메인 - 맬웨어를 호스팅하거나 배포하는 것으로 알려진 도메인

  • Botnet 명령 및 제어 - 봇넷이 명령 및 제어 통신에 사용하는 도메인

  • 스팸 - 스팸 및 원치 않는 이메일 캠페인과 연결된 도메인

  • 피싱 - 피싱 공격에서 자격 증명과 개인 정보를 도용하는 데 사용되는 도메인

  • Amazon GuardDuty 위협 목록 - GuardDuty 위협 인텔리전스로 식별된 도메인

  사용 가능한 콘텐츠 범주에는 소셜 미디어, 도박 및 조직이 특정 유형의 콘텐츠에 대한 액세스를 제어하는 데 도움이 되는 기타 범주가 포함됩니다.

  관리형 목록의 개별 도메인 사양은 지적 재산을 보호하고 보안 효과를 유지하기 위해 보거나 편집할 수 없습니다.

고급 DNS 위협 탐지

Route 53 Global Resolver는 동적 알고리즘 분석을 사용하여 DNS 터널링 및 도메인 생성 알고리즘과 같은 고급 DNS 위협을 탐지합니다. 알려진 잘못된 도메인과 일치하는 도메인 목록과 달리 알고리즘 감지는 DNS 쿼리 패턴을 실시간으로 분석하여 의심스러운 동작을 식별합니다.

DNS 터널링 감지

DNS 터널링은 공격자가 클라이언트에 네트워크를 연결하지 않은 상태에서 DNS 터널을 사용하여 클라이언트에서 데이터를 유출하는 데 사용됩니다.

도메인 생성 알고리즘(DGA) 감지

도메인 생성 알고리즘(DGAs)은 공격자가 command-and-control 서버에 대해 많은 수의 도메인 이름을 생성하는 데 사용됩니다.

신뢰도 임계값

각 감지 알고리즘은 규칙 트리거를 결정하는 신뢰도 점수를 출력합니다. 신뢰도 임계값이 높을수록 오탐지가 줄어들지만 정교한 공격을 놓칠 수 있습니다. 임계값이 낮을수록 탐지 민감도가 증가하지만 거짓 긍정을 필터링하려면 추가 알림 분석이 필요합니다.

작업 제한 사항

고급 위협 방지 규칙은 ALERT 및 BLOCK 작업만 지원합니다. 알고리즘 감지는 양성 트래픽을 명확하게 분류할 수 없고 잠재적으로 악의적인 패턴만 식별하므로 ALLOW 작업은 지원되지 않습니다.

모니터링 및 로깅

로그 쿼리

쿼리 로그는 소스 IP, 쿼리된 도메인, 응답 코드, 수행된 정책 작업 및 타임스탬프를 포함하여 Route 53 Global Resolver에서 처리하는 DNS 쿼리에 대한 자세한 정보를 제공합니다. 분석 및 규정 준수 보고를 위해 Amazon CloudWatch, Amazon Data Firehose 또는 Amazon Simple Storage Service에 로그를 전송할 수 있습니다.

OCSF 형식

Open Cybersecurity Schema Framework(OCSF) 형식은 Route 53 Global Resolver에서 DNS 쿼리 로그에 사용하는 표준화된 로깅 형식입니다. 이 형식은 보안 정보 및 이벤트 관리(SIEM) 시스템 및 기타 보안 도구와 쉽게 통합되는 일관되고 구조화된 데이터를 제공합니다.

로그 대상

로그 대상은 DNS 쿼리 로그가 전달되는 위치를 결정하며, 각 로그는 서로 다른 특성을 갖습니다.

• Amazon Simple Storage Service - 규정 준수 및 배치 분석에 이상적인 비용 효율적인 장기 스토리지입니다. Amazon Athena 및 Amazon EMR과 같은 분석 도구와 통합합니다.

• Amazon CloudWatch Logs - Amazon CloudWatch 경보 및 대시보드와의 통합을 통한 실시간 모니터링 및 알림. 임시 쿼리에 대한 로그 인사이트를 지원합니다.

• Amazon Data Firehose - 데이터 변환 기능이 내장된 외부 시스템으로 실시간 스트리밍. 자동 조정 및 버퍼링을 지원합니다.

관찰성 리전

관찰성 리전은 DNS 쿼리 로그가 전달되는 위치를 결정합니다.