Route 53 Resolver DNS Firewall Advanced - Amazon Route 53

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Route 53 Resolver DNS Firewall Advanced

DNS Firewall Advanced는 DNS 쿼리에서 알려진 위협 서명을 기반으로 의심스러운 DNS 쿼리를 탐지합니다. 규칙 그룹 내에서, DNS Firewall 규칙에 사용하는 규칙의 위협 유형을 지정할 수 있습니다. 규칙 그룹을 VPC와 연결하면 DNS Firewall은 규칙에서 플래그가 지정된 도메인 목록과 DNS 쿼리를 비교합니다. 일치하는 항목을 찾으면 일치 규칙의 작업에 따라 DNS 쿼리를 처리합니다.

DNS Firewall Advanced는 요청의 타임스탬프, 요청 및 응답 빈도, DNS 쿼리 문자열, 아웃바운드 및 인바운드 DNS 쿼리의 길이, 유형 또는 크기를 포함한 DNS 페이로드의 다양한 키 식별자를 검사하여 의심스러운 DNS 위협 서명을 식별하는 방식으로 작동합니다. 위협 서명의 유형에 따라 차단하는 정책을 구성하거나 단순히 쿼리를 로깅하고 알릴 수 있습니다. 확장된 위협 식별자 세트를 사용하면 더 광범위한 보안 커뮤니티에서 유지 관리하는 위협 인텔리전스 피드를 통해 아직 분류되지 않았을 수 있는 도메인 소스의 DNS 위협을 방지할 수 있습니다.

현재 DNS Firewall Advanced는 다음에 대한 보호를 제공합니다.

  • 도메인 생성 알고리즘(DGA)

    DGA는 공격자가 맬웨어 공격을 시작하기 위해 많은 수의 도메인을 생성하는 데 사용됩니다.

  • DNS 터널링

    DNS 터널링은 공격자가 클라이언트에 네트워크를 연결하지 않은 상태에서 DNS 터널을 사용하여 클라이언트에서 데이터를 유출하는 데 사용됩니다.

  • 사전 DGA

    공격자는 사전 DGAs를 사용하여 맬웨어 command-and-control 통신에서 탐지를 회피하는 사전 단어를 사용하여 도메인을 생성합니다.

규칙 생성 방법을 알아보려면 규칙 그룹 및 규칙 생성DNS 방화벽의 규칙 설정 섹션을 참조하세요.

거짓 긍정 시나리오 완화

DNS Firewall Advanced를 사용하여 쿼리를 차단하는 규칙에서 오탐지 시나리오가 발생하는 경우 다음 단계를 수행합니다.

  1. Resolver 로그에서 오탐지를 일으키는 규칙 그룹 및 DNS Firewall Advanced 보호를 식별합니다. 이렇게 하려면 DNS 방화벽이 차단하고 있지만 허용하려는 쿼리에 대한 로그를 찾습니다. 로그 레코드에는 규칙 그룹, 규칙 작업, DNS Firewall Advanced 보호가 나열됩니다. 로그에 대한 자세한 내용은 Resolver 쿼리 로그에 표시되는 값 섹션을 참조하세요.

  2. 차단된 쿼리를 명시적으로 허용하는 규칙 그룹에 새 규칙을 생성합니다. 규칙을 만들 때 허용하려는 도메인 사양만 사용하여 자체 도메인 목록을 정의할 수 있습니다. 규칙 그룹 및 규칙 생성에 있는 규칙 그룹 및 규칙 관리에 대한 지침을 따르세요.

  3. 관리형 목록을 사용하는 규칙보다 먼저 실행되도록 규칙 그룹 내에서 새 규칙의 우선 순위를 지정합니다. 이렇게 하려면 새 규칙에 더 낮은 숫자의 우선 순위 설정을 부여합니다.

규칙 그룹을 업데이트하면 새 규칙은 차단 규칙이 실행되기 전에 허용할 도메인 이름을 명시적으로 허용합니다.