Amazon Web Services 한국 블로그
Amazon Route 53 Resolver – DNS over HTTPS 기능 지원
Amazon Route 53 Resolver가 인바운드 및 아웃바운드 리졸버 엔드포인트 모두에 대해 DNS over HTTPS (DoH) 프로토콜 사용을 지원합니다. 이름에서 알 수 있듯이 DoH는 도메인 이름 시스템(DNS) 확인을 위해 교환되는 데이터를 암호화하기 위해 TLS를 통한 HTTP 또는 HTTP/2를 지원합니다.
TLS 암호화를 사용하는 DoH는 DoH 클라이언트와 DoH 기반 DNS 리졸버 간에 교환되는 DNS 데이터의 도청 및 조작을 방지하여 개인 정보 보호 및 보안을 강화합니다.
이를 통해 보안 경계 외부 또는 내부에서 작동하는 어떠한 행위자, 시스템, 네트워크, 서비스도 신뢰할 수 없고 모든 네트워크 트래픽이 암호화되는 제로 트러스트 아키텍처를 구현할 수 있습니다. DoH를 사용하면 이러한 미국 예산관리국(OMB)의 의견서에 설명된 것과 같은 권장 사항을 따르는 데도 도움이 됩니다.
Amazon Route 53 Resolver에서 DNS over HTTPS 지원
Amazon Route 53 Resolver를 사용하여 하이브리드 클라우드 환경에서 DNS 쿼리를 확인할 수 있습니다. 예를 들어, 하이브리드 네트워크 내 어디에서나 DNS 요청에 대한 AWS 서비스 액세스를 허용합니다. 이를 위해 인바운드 및 아웃바운드 리졸버 엔드포인트를 설정할 수 있습니다:
- 인바운드 리졸버 엔드포인트는 온프레미스 네트워크 또는 다른 VPC에서 VPC로 DNS 쿼리를 허용합니다.
- 아웃바운드 리졸버 엔드포인트는 VPC에서 온프레미스 네트워크 또는 다른 VPC로 DNS 쿼리를 허용합니다.
리졸버 엔드포인트를 구성한 후에는 VPC에서 온프레미스 DNS 리졸버로(아웃바운드), 온프레미스에서 VPC로(인바운드) DNS 쿼리를 전달할 도메인의 이름을 지정하는 규칙을 설정할 수 있습니다.
이제 인바운드 또는 아웃바운드 리졸버 엔드포인트를 만들거나 업데이트할 때 사용할 프로토콜을 지정할 수 있습니다:
- 포트 53을 통한 DNS(Do53)는 패킷을 전송하는 데 UDP 또는 TCP를 사용합니다.
- TLS를 사용하여 데이터를 암호화하는 DNS over HTTPS(DoH)입니다.
- DNS 클라이언트에서 어떤 것을 사용하느냐에 따라 둘 다 사용할 수 있습니다.
- FIPS 규정 준수를 위해 인바운드 엔드포인트에 대한 특정 구현(DoH-FIPS)이 있습니다.
이제 실제로 어떻게 작동하는지 알아보겠습니다.
Amazon Route 53 Resolver로 DNS over HTTPS 사용
Route 53 콘솔의 탐색 창의 리졸버 섹션에서 인바운드 엔드포인트를 선택합니다. 여기에서 인바운드 엔드포인트 생성을 선택합니다.
엔드포인트의 이름을 입력하고, VPC, 보안 그룹, 엔드포인트 유형(IPv4, IPv6 또는 듀얼 스택)을 선택합니다. 암호화 및 비암호화 DNS 확인을 모두 사용할 수 있도록 하려면 이 엔드포인트의 프로토콜 옵션에서 Do53, DoH, 및 DoH-FIPS를 선택합니다.
그런 다음 DNS 쿼리에 대한 IP 주소를 구성합니다. 두 개의 가용 영역과 각각에 대해 서브넷을 선택합니다. 이 설정에서는 서브넷에서 사용 가능한 IP 주소 중에서 자동으로 선택하도록 하는 옵션을 사용합니다.
인바운드 엔드포인트 생성을 완료한 후, 네트워크의 DNS 서버가 amazonaws.com
도메인(AWS 서비스 엔드포인트에서 사용)에 대한 요청을 인바운드 엔드포인트 IP 주소로 전달하도록 구성합니다.
마찬가지로 아웃바운드 리졸버 엔드포인트를 생성하고 프로토콜로 Do53 및 DoH를 모두 선택합니다. 그런 다음 아웃바운드 리졸버 엔드포인트가 내 네트워크의 DNS 서버에 요청을 전달해야 하는 도메인을 지정하는 전달 규칙을 만듭니다.
이제 하이브리드 환경의 DNS 클라이언트가 요청에 DNS over HTTPS를 사용할 때 DNS 확인이 암호화됩니다. 선택적으로 암호화를 적용하고 인바운드 및 아웃바운드 엔드포인트 구성에서 DoH만 선택할 수 있습니다.
알아야 할 사항
Amazon Route 53 Resolver에 대한 DNS over HTTPS 지원은 현재 GovCloud 리전 및 중국 기반 리전을 포함하여 Route 53 리졸버가 제공되는 모든 AWS 리전에서 사용할 수 있습니다.
포트 53을 통한 DNS는 인바운드 또는 아웃바운드 리졸버 엔드포인트에 대한 기본값으로 계속 사용됩니다. 이렇게 하면 DNS over HTTPS를 채택하지 않는 한 기존 자동화 툴을 업데이트할 필요가 없습니다.
리졸버 엔드포인트에서 DNS over HTTPS를 사용하는 데는 추가 비용이 들지 않습니다. 자세한 내용은 Route 53 요금을 참조하세요.
하이브리드 클라우드 환경의 개인 정보 보호 및 보안을 강화하기 위해 Amazon Route 53 Resolver와 함께 DNS over HTTPS 사용을 시작하세요.
— Danilo