게시된 날짜: Mar 31, 2021
오늘 AWS는 고객이 알려진 악성 도메인에 대한 DNS 쿼리를 차단하고 신뢰할 수 있는 도메인에 대한 쿼리를 허용할 수 있게 하는 관리형 방화벽인 Amazon Route 53 Resolver DNS Firewall의 출시를 발표했습니다. DNS Firewall은 Amazon Virtual Private Cloud(VPC) 내 리소스의 DNS 쿼리 동작을 보다 세부적으로 제어합니다.
Route 53 Resolver는 모든 Amazon VPC에서 기본 제공되는 DNS 서버(“AmazonProvidedDNS” 또는 “.2 resolver”라고도 함)입니다. Route 53 Resolver는 퍼블릭 DNS 레코드, VPC별 도메인 이름 및 Route 53 프라이빗 호스팅 영역에 대한 VPC 내 AWS 리소스의 DNS 쿼리에 응답합니다. 고객은 VPC 내의 리소스가 수행할 수 있는 DNS 쿼리에 대한 보다 세밀한 제어를 요청했습니다. 이러한 고객은 DNS 유출(악의적인 행위자가 DNS 쿼리를 사용하여 네트워크 외부로 민감한 데이터 밀반출)에 대해 우려하거나 단순히 조직 내 사용자가 액세스할 수 있는 사이트에 대해 더 많은 제어 권한을 행사하고자 할 수 있습니다.
Route 53 Resolver DNS Firewall을 사용하면 VPC 리소스가 DNS를 통해 통신하는 것을 원하지 않는 도메인에 대한 "차단 목록"을 생성할 수 있습니다. 또한 지정한 도메인에 대해서만 아웃바운드 DNS 쿼리를 허용하는 "허용 목록"을 생성하여 보다 엄격한 "제한적 인터넷 환경" 접근 방식을 취할 수 있습니다. 또한 아웃바운드 DNS 쿼리가 특정 방화벽 규칙과 일치할 때 알림을 생성하여 프로덕션 트래픽에 배포하기 전에 규칙을 테스트할 수 있습니다. Route 53 Resolver DNS Firewall은 맬웨어 도메인과 봇넷 명령 및 제어 도메인의 두 가지 관리형 도메인 목록을 제공하므로 일반적인 위협에 대한 관리형 보호를 빠르게 시작할 수 있습니다.
AWS Organizations를 사용하여 여러 AWS 계정을 관리하는 경우 AWS Firewall Manager를 사용하여 단일 관리자 계정에서 여러 계정과 VPC에 Route 53 Resolver DNS Firewall 규칙을 배포할 수 있습니다. Firewall Manager는 보안 관리자에게 조직의 다양한 방화벽 규칙 집합을 중앙에서 구성하고 관리할 수 있는 단일 위치를 제공하며, 새 계정과 리소스를 자동으로 감지하여 조직의 보안 규칙 집합을 준수하도록 합니다. Route 53 Resolver DNS Firewall을 사용하면 고객은 조직의 계정, 조직 단위(OU) 및 VPC에 DNS 방화벽 규칙을 중앙에서 배포할 수 있습니다. 또한 고객은 AWS Resource Access Manager(RAM)를 사용하여 자신의 계정에서 방화벽 규칙을 직접 공유하도록 선택할 수도 있습니다. AWS Resource Access Manager를 사용하면 고객이 다양한 AWS 서비스의 AWS 리소스를 다른 AWS 계정과 중앙에서 공유할 수 있습니다. Amazon CloudWatch 지표를 활용하여 방화벽에서 차단하거나 허용하는 DNS 쿼리 수를 규칙 수준까지 파악할 수 있습니다. 또한 Route 53 Resolver 쿼리 로그로 로깅을 활성화하여 VPC 리소스마다 차단 및 허용된 쿼리에 대한 인스턴스 수준 정보를 얻을 수 있습니다. CloudWatch 로그 그룹에 로그를 저장하기로 선택하는 경우 CloudWatch Contributor Insights로 규칙을 생성하여 방화벽에 의해 차단되는 대부분의 쿼리를 만드는 상위 리소스와 같은 높은 카디널리티 데이터를 생성할 수 있습니다.
이제 미국 동부(버지니아 북부), EU(아일랜드), 아시아 태평양(뭄바이) 및 미국 서부(오레곤)와 향후 며칠에 걸쳐 출시될 예정인 다른 모든 AWS 상용 리전 및 AWS GovCloud(미국) 리전에서 Amazon Route 53 Resolver DNS Firewall을 사용할 수 있습니다. 이 기능을 시작하려면 Route 53 설명서 및 AWS 뉴스 블로그의 Route 53 Resolver DNS Firewall 발표를 참조하세요. 요금에 대해 알아보려면 Route 53 요금 페이지를 참조하세요.