Amazon Web Services 한국 블로그
Amazon Route 53 Global Resolver, 안전한 애니캐스트 DNS 해석 지원 (미리보기)
오늘은 어디서든 쿼리에 대해 안전하고 신뢰할 수 있는 DNS 해석을 제공하는 새로운 Amazon Route 53 서비스인 Amazon Route 53 Global Resolver를 발표합니다(미리 보기). Global Resolver를 사용하여 인터넷의 퍼블릭 도메인 및 Route 53 프라이빗 호스팅 영역과 연결된 프라이빗 도메인에 대한 DNS 쿼리를 처리할 수 있습니다. Route 53 Global Resolver는 네트워크 관리자에게 전 세계에 분산된 애니캐스트 IP 주소를 통해 온프레미스 데이터 센터, 지사 및 원격 위치에 위치한 인증된 클라이언트 및 소스의 쿼리를 처리할 수 있는 통합 솔루션을 제공합니다. 이 서비스에는 DNS 트래픽 필터링, 암호화된 쿼리 지원, 중앙 집중식 로깅을 비롯한 보안 제어 기능이 내장되어 있어 조직이 보안 요구 사항을 준수하면서 운영 오버헤드를 줄일 수 있습니다.
하이브리드 배포를 사용하는 조직은 분산 환경 전반에서 DNS 해석을 관리할 때 운영 복잡성에 직면합니다. 공용 인터넷 도메인과 개인 응용 프로그램 도메인을 해석하려면 분할 DNS 인프라를 유지 관리해야 하는 경우가 많은데, 이로 인해 특히 여러 위치에 구성을 복제할 때 비용과 관리 부담이 증가합니다. 네트워크 관리자는 사용자 지정 포워딩(질의 전달) 솔루션을 구성하고, 프라이빗 도메인 해석을 위해 Route 53 Resolver 엔드포인트를 배포하고, 여러 위치에 별도의 보안 제어를 구현해야 합니다. 또한 Route 53 Resolver 엔드포인트에 대한 다중 리전 장애 조치 전략을 구성 및 유지 관리하고 장애 조치 시나리오를 테스트하는 동안 모든 리전에 일관된 보안 정책 적용을 제공해야 합니다.
Route 53 Global Resolver는 이러한 문제를 해결하는 주요 기능을 갖추고 있습니다. 이 서비스는 퍼블릭 인터넷 도메인과 Route 53 프라이빗 호스팅 영역을 모두 처리하므로 별도의 분할 DNS 포워딩이 필요하지 않습니다. Global Resolver는 UDP를 통한 DNS(DNS over UDP, Do53), HTTPS를 통한 DNS(DNS-over-HTTPS, DoH) 및 TLS를 통한 DNS(DNS-over-TLS, DoT)를 비롯한 여러 프로토콜을 통해 DNS 해석을 제공합니다. 각 배포는 쿼리를 가장 가까운 AWS 리전으로 라우팅하는 공통 IPv4 및 IPv6 애니캐스트 IP 주소의 단일 세트를 제공하여 분산된 클라이언트 집단의 지연 시간을 줄입니다.
Route 53 Global Resolver는 Route 53 Resolver DNS 방화벽과 동일한 통합 보안 기능을 제공합니다. 관리자는 작업하기에 안전하지 않을 수 있는 DNS 위협(멀웨어, 스팸, 피싱) 또는 웹 콘텐츠(성인 사이트, 도박, 소셜 네트워킹)로 분류된 목록을 통해 유연한 제어를 제공하는 AWS 관리형 도메인 목록을 사용하여 필터링 규칙을 구성하거나 파일에서 도메인을 가져와서 사용자 지정 도메인 목록을 생성할 수 있습니다. 고급 위협 보호는 도메인 생성 알고리즘(Domain Generation Algorithm, DGA) 패턴과 DNS 터널링 시도를 탐지하고 차단합니다. 암호화된 DNS 트래픽의 경우, Route 53 Global Resolver는 DoH 및 DoT 프로토콜을 지원하여 전송 중 무단 액세스로부터 쿼리를 보호합니다.
Route 53 Global Resolver는 Resolver로 인증해야 하는 알려진 클라이언트의 트래픽만 받아들입니다. Do53, DoT 및 DoH 연결의 경우, 관리자는 IP 및 CIDR 허용 목록을 구성할 수 있습니다. DoH 및 DoT 연결의 경우, 토큰 기반 인증은 만료 기간 및 해지 기능을 사용자 지정할 수 있는 세분화된 액세스 제어를 제공합니다. 관리자는 조직 요구 사항에 따라 특정 클라이언트 그룹 또는 개별 장치에 토큰을 할당할 수 있습니다.
Route 53 Global Resolver는 DNSSEC 검증을 지원하여 퍼블릭 네임서버의 DNS 응답의 인증 및 무결성을 확인합니다. 또한 EDNS Client Subnet 지원도 포함되어 있습니다. EDNS Client Subnet 지원은 클라이언트 서브넷 정보를 전달하여 콘텐츠 전송 네트워크로부터 보다 정확한 사용자 위치 기반 DNS 응답을 가능하게 합니다.
Route 53 Global Resolver 시작하기
이 안내에서는 미국 동부 및 서부 해안에 사무실을 두고 있으며 퍼블릭 도메인과 Route 53 프라이빗 호스팅 영역에서 호스팅되는 프라이빗 애플리케이션을 모두 해석해야 하는 조직을 위해 Route 53 Global Resolver를 구성하는 방법을 보여줍니다. Route 53 Global Resolver를 구성하려면 AWS Management Console로 이동하여 탐색 창에서 글로벌 해석기를 선택하고 글로벌 해석기 생성을 선택합니다.
해석기 세부 정보 섹션에서 corporate-dns-resolver와 같은 해석기 이름을 입력합니다. 회사 사무실 및 원격 클라이언트를 위한 DNS 해석기와 같은 설명을 선택적으로 추가합니다. 리전 섹션에서 미국 동부(버지니아 북부) 및 미국 서부(오레곤)와 같이 해석기를 운영할 AWS 리전을 선택합니다. 애니캐스트 아키텍처는 클라이언트의 DNS 쿼리를 가장 가까운 선택된 리전으로 라우팅합니다.
해석기가 생성되면 콘솔에 DNS 쿼리에 사용할 애니캐스트 IPv4 및 IPv6 주소를 비롯한 해석기 세부 정보가 표시됩니다. 계속해서 DNS 보기 생성을 선택하여 클라이언트 인증 및 DNS 쿼리 해석 설정을 구성할 수 있습니다.
DNS 보기 생성 섹션에서 primary-view와 같은 DNS 보기 이름을 입력하고 회사 사무실을 위한 DNS 보기와 같은 설명을 선택적으로 추가합니다. DNS 보기를 사용하면 클라이언트와 소스에 대해 서로 다른 논리적 그룹을 만들고 해당 그룹의 DNS 해석을 결정할 수 있습니다. 이를 통해 조직의 여러 클라이언트에 대해 서로 다른 DNS 필터링 규칙과 프라이빗 호스팅 영역 해석 정책을 유지할 수 있습니다.
DNSSEC 검증의 경우, 활성화를 선택하여 공용 DNS 서버의 DNS 응답이 인증되었는지 확인합니다. 방화벽 규칙 기본 허용 동작의 경우, 방화벽 규칙을 평가할 수 없을 때 DNS 쿼리를 차단하려면 비활성화를 선택하면 보안이 강화됩니다. EDNS 클라이언트 서브넷의 경우, 활성화를 선택한 상태로 유지하여 클라이언트 위치 정보를 DNS 서버로 전달하면 콘텐츠 전송 네트워크가 보다 정확한 지리적 응답을 제공할 수 있습니다. DNS 보기 생성이 작동하려면 몇 분 정도 걸릴 수 있습니다.
DNS 보기가 생성되어 작동한 후 규칙 생성을 선택하여 네트워크 트래픽을 필터링하도록 DNS 방화벽 규칙을 구성합니다. DNS 방화벽 규칙 생성 섹션에서 block-malware-domains과 같은 규칙 이름을 입력하고 설명을 선택적으로 추가합니다. 규칙 구성 유형의 경우, 고객 관리형 도메인 목록, AWS에서 제공하는 AWS 관리형 도메인 목록 또는 DNS 방화벽 고급 보호를 선택할 수 있습니다.
이 안내에서는 AWS 관리형 도메인 목록을 선택합니다. 도메인 목록 드롭다운에서 알려진 악성 도메인을 차단할 하나 이상의 AWS 관리 목록(예: 위협 – 맬웨어)을 선택합니다. 모든 DNS 쿼리 유형에 규칙을 적용하려면 쿼리 유형을 비워 둘 수 있습니다. 이 예에서는 A를 선택하여 IPv4 주소 쿼리에만 이 규칙을 적용합니다. 규칙 조치 섹션에서 차단을 선택하여 선택한 목록과 일치하는 도메인에 대한 DNS 해석을 방지합니다. 차단 작업에 대해 전송할 응답에서 NODATA를 선택한 상태로 유지하여 쿼리가 성공했지만 응답이 없음을 나타낸 다음 규칙 생성을 선택합니다.
다음 단계는 액세스 소스를 구성하여 해석기에게 DNS 쿼리를 보낼 수 있는 IP 주소 또는 CIDR 블록을 지정하는 것입니다. DNS 보기에서 액세스 소스 탭으로 이동한 다음 액세스 소스 생성을 선택합니다.
액세스 소스 세부 정보 섹션에서 액세스 소스를 식별하는 규칙 이름(예: office-networks)을 입력합니다. CIDR 블록 필드에 해당 네트워크에서 쿼리를 허용할 사무실의 IP 주소 범위를 입력합니다. 프로토콜의 경우, UDP를 통한 표준 DNS 쿼리에 대해 Do53을 선택하고, 클라이언트로부터 암호화된 DNS 연결을 요구하려면 DoH 또는 DoT를 선택합니다. 이러한 설정을 구성한 후 액세스 소스 생성을 선택하여 지정된 네트워크가 해석기에게 DNS 쿼리를 보낼 수 있도록 합니다.
다음으로 DNS 보기의 액세스 토큰 탭으로 이동하여 클라이언트에 대한 토큰 기반 인증을 생성하고 액세스 토큰 생성을 선택합니다. 액세스 토큰 세부 정보 섹션에서 remote-clients-token과 같은 토큰 이름을 입력합니다. 토큰 만료의 경우, 보안 요구 사항에 따라 드롭다운에서 만료 기간을 선택합니다(예: 장기 클라이언트 액세스의 경우 365일, 엄격한 액세스 제어를 위해서는 30일 또는 90일과 같이 더 짧은 기간을 선택하세요.) 이러한 설정을 구성한 후 액세스 토큰 생성을 선택하여 클라이언트가 해석기에 대한 DoH 및 DoT 연결을 인증하는 데 사용할 수 있는 토큰을 생성합니다.
액세스 토큰이 생성된 후, 해석기가 프라이빗 애플리케이션 도메인에 대한 쿼리를 처리할 수 있도록 DNS 보기의 프라이빗 호스팅 영역 탭으로 이동하여 Route 53 프라이빗 호스팅 영역을 DNS 보기와 연결합니다. 프라이빗 호스팅 영역 연결을 선택하고 프라이빗 호스팅 영역 섹션에서 목록에서 해석기가 처리하도록 하려는 프라이빗 호스팅 영역을 선택합니다. 영역을 선택한 후 연결을 선택하여 해석기가 구성된 액세스 소스에서 오는 이러한 프라이빗 도메인에 대한 DNS 쿼리에 응답할 수 있도록 합니다.
DNS 보기가 구성되고, 방화벽 규칙이 생성되고, 액세스 소스 및 토큰이 정의되고, 프라이빗 호스팅 영역이 연결되면 Route 53 Global Resolver 설정이 완료되어 구성된 클라이언트의 DNS 쿼리를 처리할 수 있습니다.
Route 53 Global Resolver를 생성한 후에는 해석기의 애니캐스트 IP 주소로 쿼리를 전송하도록 DNS 클라이언트를 구성해야 합니다. 구성 방법은 DNS 보기에서 구성한 액세스 제어에 따라 달라집니다.
- IP 기반 액세스 소스(CIDR 블록)의 경우 – DNS 트래픽이 해석기 세부 정보에 제공된 Route 53 Global Resolver 애니캐스트 IP 주소를 가리키도록 소스 클라이언트를 구성합니다. Global Resolver는 액세스 소스에서 지정한 허용 목록에 있는 IP에서만 액세스를 허용합니다. 또한 액세스 소스를 여러 DNS 보기에 연결하여 여러 IP 집합에 대해 보다 세분화된 DNS 해석 보기를 제공할 수 있습니다.
- 액세스 토큰 기반 인증의 경우 – 클라이언트에 토큰을 배포하여 Route 53 Global Resolver를 통해 DoH 및 DoT 연결을 인증합니다. 또한 DNS 트래픽이 해석기 세부 정보에 제공된 Route 53 Global Resolver 애니캐스트 IP 주소를 가리키도록 클라이언트를 구성해야 합니다.
특정 운영 체제 및 프로토콜에 대한 자세한 구성 지침은 기술 문서를 참조하세요.
추가 정보
기존 Route 53 Resolver의 이름이 Route 53 VPC Resolver로 변경됩니다. 이번 이름 변경은 두 서비스 간의 구조적 차이를 명확히 합니다. VPC Resolver는 VPC 내에서 리전 단위로 작동하여 Amazon VPC 환경의 리소스에 대한 DNS 해석을 제공합니다. VPC Resolver는 특정 AWS 리전 내의 하이브리드 DNS 아키텍처에 대한 인바운드 및 아웃바운드 해석기 엔드포인트를 계속 지원합니다.
Route 53 Global Resolver는 VPC 배포 또는 프라이빗 연결 없이 온프레미스 및 원격 클라이언트에 인터넷 연결이 가능한 글로벌 및 프라이빗 DNS 해석을 제공함으로써 Route 53 VPC Resolver를 보완합니다.
기존 VPC Resolver 구성은 변경되지 않고 구성된 대로 계속 작동합니다. 이름 변경은 AWS Management Console 및 설명서의 서비스 이름에 영향을 주지만 API 작업 이름은 변경되지 않습니다. 아키텍처에 VPC 내 리소스에 대한 DNS 해석이 필요한 경우, VPC Resolver를 계속 사용하세요.
미리보기 사용해 보기
Route 53 Global Resolver는 단일 관리 서비스를 통해 퍼블릭 및 프라이빗 도메인에 대한 통합 DNS 처리를 제공하여 운영 오버헤드를 줄입니다. 글로벌 애니캐스트 아키텍처는 분산 클라이언트의 안정성을 개선하고 지연 시간을 줄입니다. 통합된 보안 제어 및 중앙 집중식 로깅을 통해 조직은 규정 준수 요구 사항을 충족하는 동시에 모든 위치에서 일관된 보안 정책을 유지할 수 있습니다.
Amazon Route 53 Global Resolver에 대해 자세히 알아보려면 Amazon Route 53 설명서를 참조하세요.
미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(캘리포니아 북부), 미국 서부(오레곤), 유럽(프랑크푸르트), 유럽(아일랜드), 유럽(런던), 아시아 태평양(뭄바이), 아시아 태평양(싱가포르), 아시아 태평양(도쿄) 및 아시아 태평양(시드니) 리전에서 AWS Management Console을 통해 Route 53 Global Resolver를 사용할 수 있습니다.