게시된 날짜: Apr 7, 2021
지난 주 AWS는 고객이 알려진 악성 도메인에 대한 DNS 쿼리를 차단하고 신뢰할 수 있는 도메인에 대한 쿼리를 허용할 수 있게 하는 관리형 방화벽인 Amazon Route 53 Resolver DNS 방화벽을 발표했습니다. DNS 방화벽은 Amazon Virtual Private Cloud(VPC) 내 리소스의 DNS 쿼리 동작을 보다 세부적으로 제어합니다.
Route 53 Resolver DNS 방화벽을 사용하면 VPC 리소스가 DNS를 통해 통신하는 것을 원하지 않는 도메인에 대한 "차단 목록"을 생성할 수 있습니다. 또한 지정한 도메인에 대해서만 아웃바운드 DNS 쿼리를 허용하는 "허용 목록"을 생성하여 보다 엄격한 "제한적 인터넷 환경" 접근 방식을 취할 수 있습니다. 또한 아웃바운드 DNS 쿼리가 특정 방화벽 규칙과 일치할 때 알림을 생성하여 프로덕션 트래픽에 배포하기 전에 규칙을 테스트할 수 있습니다. Route 53 Resolver DNS 방화벽은 맬웨어 도메인과 봇넷 명령 및 제어 도메인의 두 가지 관리형 도메인 목록을 제공하므로 일반적인 위협에 대한 관리형 보호를 빠르게 시작할 수 있습니다.
Route 53 Resolver DNS 방화벽은 AWS Firewall Manager에 통합되며, 이를 통해 단일 관리자 계정에서 여러 계정 및 VPC에 규칙을 푸시할 수 있습니다. 또한, 고객은 AWS Resource Access Manager(RAM)를 사용하여 자신의 계정에서 방화벽 규칙을 직접 공유하도록 선택할 수도 있습니다. Route 53 Resolver 쿼리 로그를 사용하여 VPC 리소스마다 차단 및 허용된 쿼리와 같은 방화벽에 대한 인스턴스 수준 정보의 로그를 얻을 수 있습니다. CloudWatch 로그 그룹에 로그를 저장하기로 선택하는 경우 CloudWatch Contributor Insights로 규칙을 생성하여 방화벽에 의해 차단되는 대부분의 쿼리를 만드는 상위 리소스와 같은 높은 카디널리티 데이터를 생성할 수 있습니다.
Amazon Route 53 Resolver DNS 방화벽은 현재 모든 AWS 상용 리전과 AWS GovCloud(미국) 리전에서 정식 출시되었습니다. 이 기능을 시작하려면 Route 53 설명서를 참조하세요. 요금에 대해 알아보려면 Route 53 요금 페이지를 참조하세요.