Amazon Route 53 Global Resolver(미리 보기)

Route 53은 고유한 목적을 가진 두 가지 리졸버 서비스를 제공합니다. 하나는 Global Resolver 애니캐스트 DNS Resolver로, 어디서나 인터넷을 통해 전 세계에 연결할 수 있고 암호화된 DNS 쿼리를 제공하며(DoH 또는 DoT를 통해), 프라이빗 도메인과 퍼블릭 도메인의 보안 확인이 필요한 온프레미스 클라이언트 및 다중 리전 배포를 위해 설계되었습니다. 반대로, VPC Resolver(이전의 Route 53 Resolver)는 모든 리전의 Amazon VPC에 대한 기본 재귀 리졸버로, VPC 호스팅 클라이언트에서 또는 Resolver 엔드포인트를 통한 VPN이나 Direct Connect와 같은 프라이빗 연결을 통해 액세스할 수 있습니다. DNS 암호화는 이러한 엔드포인트에 대한 하이브리드 쿼리에만 사용할 수 있습니다.

Route 53 Global Resolver는 인터넷을 통해 전 세계적으로 연결할 수 있는 DNS 리졸버이므로 퍼블릭 도메인과 프라이빗 도메인 모두의 트래픽을 쉽게 확인하고 전달할 수 있으므로 인터넷을 통한 쿼리의 보안과 신뢰성을 보장할 수 있습니다. Global Resolver는 글로벌 애니캐스트 IP를 통해 연결할 수 있는 통합 솔루션을 제공하여 기업이 온프레미스, 지사 및 원격 클라이언트에서 AWS에 호스팅된 Route 53 프라이빗 호스팅 영역과 관련된 퍼블릭 도메인 및 프라이빗 도메인으로 이루어진 쿼리를 간단하게 확인할 수 있도록 지원합니다. 또한 Global Resolver는 암호화된 DNS 연결 옵션(DNS-over-HTTPS/DNS-over-TLS 사용)과 잠재적으로 악의적이고 평판이 낮은 도메인에 대한 쿼리를 관리하고 차단하는 기능을 제공하여 클라이언트에 대한 DNS 쿼리의 보안을 유지하는 데 도움이 됩니다. 

Global Resolver는 클라이언트의 DNS 확인 및 연결을 관리하고 조직의 보안 요구 사항을 준수하는 DNS 필터링 정책을 적용하는 역할을 담당하는 네트워크 관리자가 사용해야 합니다. 또한 Global Resolver는 네트워크 관리자가 퍼블릭 도메인과 프라이빗 도메인으로 전달되는 DNS 트래픽을 전달하고 분할하는 데 사용되는 사용자 지정 DNS 전달자의 운영 비용을 절감할 수 있도록 도와줍니다.

Global Resolver는 고객에게 다음과 같은 세 가지 주요 이점을 제공합니다.

1. DNS 확인 간소화 – Global Resolver는 고객 전달 솔루션을 구성 및 유지 관리하는 데 필요한 관리, 비용 및 복잡성을 최소화하여 고객이 만든 쿼리를 인터넷상의 퍼블릭 도메인 및 고객이 호스팅하는 Route 53 프라이빗 호스팅 영역과 연결된 프라이빗 도메인으로 전달하는 작업을 간소화할 수 있도록 지원합니다.
2. 보안 태세 개선 – Global Resolver를 통해 관리자는 온프레미스, 지사에 호스팅되는 클라이언트 또는 원격 클라이언트에 대해 잠재적으로 악의적이거나 평판이 낮은 도메인에 대한 DNS 쿼리를 관리하고 필터링하는 정책을 일관되게 적용하여 조직의 전반적인 보안 태세를 개선할 수 있습니다. 또한 고객은 사용자 쿼리 로그에 지속적으로 액세스하여 쿼리 활동을 감사하고 보안 및 비즈니스 요구 사항을 준수하는 데 도움이 되는 세부 보고서를 생성할 수 있습니다. Global Resolver는 모든 클라이언트에 대한 정책을 구성, 감사 및 적용할 수 있는 하나의 장소를 제공하여 네트워킹 및 보안 팀의 보안 운영을 간소화합니다.
3. 글로벌 가용성 – 고객은 Global Resolver가 여러 AWS 리전에 위치하도록 구성하여 어디에서든 고객 쿼리에 응답하도록 지원하는 동시에 가장 가까운 지리적 위치와 지연 시간에 맞게 최적화할 수 있습니다.

고객은 다음과 같은 5가지 간단한 단계를 통해 Global Resolver를 시작할 수 있습니다.

1. Global Resolver를 인스턴스화할 AWS 리전을 선택합니다. 
2. 인증 메커니즘으로는 액세스 소스(IP ACL) 및 액세스 토큰이 있으며, 이 중 하나 또는 둘 다 선택하여 클라이언트를 식별하고 인증합니다. 두 인증 옵션 모두에 대해 고객은 프로토콜 유형(Do53, DoH 또는 DoT)도 선택해야 합니다. 고객은 다양한 IP 범위 세트에 대해 하나 이상의 프로토콜을 선택할 수 있습니다. 
3. 작업(허용, 차단, 경고) 및 규칙 우선 순위와 함께 적용할 도메인 목록 및 고급 DNS 보호를 지정하여 DNS 필터링 규칙을 구성합니다. 
4. 트래픽을 전달할 Route 53 프라이빗 호스팅 영역을 식별합니다. 
5. (선택 사항): 로깅 옵션(Amazon S3, Amazon Data Firehose, Amazon CloudWatch)과 로그가 저장될 AWS 리전을 지정하여 로깅을 구성합니다.

예. Global Resolver는 VPN 및 기업 네트워크를 사용하는 고객이 사용할 수 있습니다.

예. 고객은 두 개 이상의 AWS 리전 또는 사용 가능한 모든 리전에서 서비스를 인스턴스화할 수 있습니다. 고객이 인스턴스화한 리전 중 지리적으로 가장 가까운 리전에서 쿼리를 확인합니다. Global Resolver는 인증된 고객의 디바이스에서 DNS-over-UDP, DNS-over-HTTPS 또는 DNS-over-TLS 연결을 통해 IPv4 고객별, 퍼블릭 라우팅 가능한, 글로벌 애니캐스트 IP 주소 세트에 액세스할 수 있습니다.

Global Resolver는 두 가지 인증 메커니즘을 지원합니다. 1.) DoH 및 DoT를 위한 토큰 기반 인증 및 2.) Do53, DoT 또는 DoH에 대한 ACL 기반 IP 및 CIDR 허용 목록.

관리자는 Global Resolver 인스턴스를 설정하고 조직의 다양한 클라이언트에 대한 고유한 액세스 토큰을 생성할 수 있습니다. 이러한 토큰은 사용자 지정 가능한 만료 기간과 공유 또는 개별 토큰 중에서 선택할 수 있는 등 유연한 관리 옵션을 제공합니다. 관리자는 새 토큰을 쉽게 만들거나 필요에 따라 특정 토큰을 취소할 수 있습니다. Global Resolver는 강력한 인증 프로세스를 사용하여 DNS 쿼리를 처리하기 전에 각 토큰 클레임을 검증합니다.

유효한 토큰이 포함된 요청은 허용되지만 유효하지 않은 클레임이 있는 요청은 즉시 거부되므로 DNS 확인 서비스에 대한 안전하고 통제된 액세스를 보장하는 데 도움이 됩니다.

ACL 기반 허용 목록 지정을 통해 관리자는 서비스를 사용할 수 있는 소스 IP 주소 또는 CIDR 범위를 정의하여 Global Resolver에 대한 액세스를 제어할 수 있습니다. 허용 목록에 있는 각 항목에 대해 관리자는 허용되는 DNS 프로토콜(Do53, DoT 또는 DoH)을 지정할 수 있습니다. 네트워크 액세스 요구 사항이 변경되면 관리자는 IP 주소 및 CIDR 범위를 허용 목록에서 쉽게 업데이트하거나 제거하여 보안을 유지할 수 있습니다.

Global Resolver의 DNS 필터링 기능은 Route 53 Resolver DNS 방화벽과 동일한 검증된 기능을 활용합니다. 관리자는 순서가 지정된 규칙 목록을 포함하는 DNS 필터링 규칙을 생성합니다. 각 규칙은 작업(ALLOW, BLOCK 또는 ALERT)과 도메인과 일치하는 일치 기준을 지정합니다. DNS 쿼리가 도착하면 Global Resolver는 일치하는 항목을 찾을 때까지 우선 순위에 따라 규칙과 비교하여 쿼리를 평가합니다. 각 규칙은 알려진 위협, 관리자가 생성한 사용자 지정 도메인 목록 또는 지능형 위협 방지에 대한 Route 53 관리 도메인 목록을 참조할 수 있습니다. 관리형 도메인 목록의 경우 관리자는 웹 콘텐츠(예: 게임, 소셜 미디어) 및 멀웨어, 스팸 또는 피싱과 같은 DNS 위협으로 분류된 도메인 목록을 기반으로 필터링할 수 있습니다. BLOCK 작업의 경우 관리자는 NXDOMAIN, NODATA 또는 특정 DNS 응답을 반환하는 사용자 지정 응답을 구성할 수 있습니다. ALERT 작업은 보안 검토를 위해 로깅하는 동안 쿼리를 통과하도록 허용합니다.

관리형 도메인 목록에는 악의적인 활동과 관련된 도메인 이름이나 작업하기에 안전하지 않은 기타 도메인이 포함됩니다. AWS는 Route 53 Global Resolver 고객이 아웃바운드 DNS 쿼리가 이러한 위협을 피할 수 있도록 이러한 목록을 유지 관리합니다. 관리형 도메인 목록은 웹 콘텐츠(예: 소셜 미디어, 게임, 성인 사이트, 도박 등) 및 DNS 위협(예: 멀웨어, 피싱, 스팸, 봇넷 등)별로 분류됩니다.

예. Global Resolver는 정교한 DNS 기반 위협에 대한 고급 보호 기능을 제공합니다. 특정 보안 기능에는 다음이 포함됩니다. 1) 도메인 생성 알고리즘(DGA) 탐지: Global Resolver는 멀웨어가 탐지를 회피하고 명령 및 제어 서버와의 통신을 유지하기 위해 일반적으로 사용하는 DGA에 의해 생성되었을 가능성이 있는 도메인에 대한 쿼리를 식별하고 차단할 수 있습니다. 2) DNS 터널링 탐지: 이 서비스는 DNS를 데이터 유출 또는 명령 및 제어 통신을 위한 은밀한 채널로 사용하려는 시도를 탐지하고 차단할 수 있습니다. 이러한 고급 보호 기능은 DNS 방화벽 규칙을 구성할 때 옵트인 옵션으로 제공됩니다. 이러한 보호 기능을 사용하면 조직은 기존의 도메인 차단 목록과 콘텐츠 필터링을 보완하면서 진화하는 복잡한 DNS 기반 위협에 대한 방어를 크게 강화할 수 있습니다.

예. Global Resolver로 인증한 고객은 AWS 리전 전체에서 PHZ를 확인할 수 있습니다.

예, Global Resolver는 도메인 이름 시스템 보안 확장(DNSSEC) 검증을 지원합니다. 활성화되면 DNSSEC 할당 도메인에 대한 퍼블릭 네임서버의 DNS 응답의 인증 및 무결성을 확인합니다. 이 검증을 통해 전송 중에 DNS 응답이 변조되지 않도록 하여 DNS 스푸핑 및 캐시 포이즈닝 공격에 대한 추가 보안 계층을 제공합니다. 관리자는 DNS 뷰별로 DNSSEC 검증을 활성화하거나 비활성화할 수 있으므로 유연한 보안 구성이 가능합니다. 

Global Resolver는 미리 보기 기간 동안 11개의 상업 리전에서 사용할 수 있습니다. 고객은 이러한 모든 리전에서 Global Resolver를 사용할 수 있도록 선택하거나 특정 리전을 선택할 수 있습니다.

예. Global Resolver는 클라이언트에서 사용 가능한 클라이언트 서브넷 정보를 전달하는 옵트인 기능을 통해 EDNS 클라이언트 서브넷을 지원합니다. 이 기능을 사용하면 보다 정확한 리전 기반 DNS 응답이 가능하므로 고객 DNS 쿼리를 더 가까운 콘텐츠 전송 네트워크 또는 서버로 안내하여 지연 시간을 줄일 수 있습니다.

Global Resolver는 DDoS 위협을 완화하기 위한 여러 메커니즘을 갖추고 있습니다. 1) Global Resolver는 AWS Shield를 사용하여 DDoS 공격으로부터 보호합니다. 2) Global Resolver는 또한 영향 발생 시 Route53 서비스 팀에서 업데이트한 동적 규칙을 기반으로 탑 토커 메트릭과 속도 제한을 사용하는 맞춤형 동적 DDoS 구현을 제공합니다. 이를 통해 Global Resolver는 특정 소스 IP의 볼륨이나 장애 발생률이 높은 경우 신속하게 대응할 수 있습니다. 또한 기본 스로틀링 및 로드 셰딩도 빌드합니다.

예. 고객은 프라이빗 호스팅 영역(PHZ)을 통해 온보딩해야 합니다.