Route 53 Global Resolver의 DNS 보안 및 분할 기간 사용 사례

인터넷에서 퍼블릭 도메인을 확인하면서 모든 위치에서 Amazon Route 53의 프라이빗 호스팅 영역(PHZs)에 대한 글로벌 액세스를 활성화합니다. 원격 위치 및 지사가 복잡한 VPN 구성 또는 리전별 전달 없이 내부 애플리케이션 이름을 확인할 수 있도록 허용합니다. 분할 영역 DNS를 구현하여 쿼리를 수행하는 클라이언트에 따라 다양한 DNS 응답을 제공하여 원격 클라이언트가 프라이빗 및 퍼블릭 도메인에 대한 쿼리를 해결할 수 있도록 지원합니다.

쿼리를 악성 도메인으로 필터링하여 DNS 기반 데이터 유출 공격으로부터 원격 위치 및 지사를 보호합니다. 승인된 클라이언트만 DNS 서비스에 액세스할 수 있도록 DNS-over-HTTPS(DoH) 및 DNS-over-TLS(DoT)를 사용하여 전송 중인 DNS 트래픽을 암호화하여 개인 정보 보호를 개선합니다. 보안 정책을 적용하여 DNS 터널링 및 도메인 생성 알고리즘(DGAs. DNSSEC 서명 도메인에 대해 DNSSEC(도메인 이름 시스템 보안 확장)를 사용하여 DNS 응답 신뢰성을 검증하여 DNS 스푸핑 및 캐시 독극 공격으로부터 보호합니다.

글로벌 배포를 통해 고가용성을 달성하고 단일 관리 인터페이스에서 전 세계에 일관된 DNS 구성을 유지합니다. Route 53 Global Resolver는 최적의 성능과 안정성을 위해 쿼리를 사용 가능한 가장 가까운 리전으로 자동으로 라우팅하는 멀티캐스트 IP 주소를 사용하여 AWS 리전 선택한에서 실행됩니다. 글로벌 엔터프라이즈는 DNS 정책을 중앙에서 구성하고 관리하는 동시에 자동 지리적 최적화를 통해 전 세계적으로 작동하는 단일 IP 주소 집합을 클라이언트에 제공할 수 있습니다. 기본 제공 중복성은 개별 리전을 사용할 수 없게 되더라도 서비스 연속성을 보장합니다.

사용자 지정 도메인 목록을 생성하거나 AWS 관리형 도메인 목록을 사용하여 여러 위치에서 인터넷 액세스를 제어합니다. 필요에 따라 필터링 및 콘텐츠 정책을 구현하는 데 도움이 되도록 관리형 도메인 목록에는 여러 도메인을 포함하는 여러 범주의 DNS 위협이 포함됩니다. IP 허용 목록 또는 액세스 토큰을 사용하여 액세스 소스를 구성하고 서로 다른 사무실 위치 또는 클라이언트 그룹에 대해 서로 다른 필터링 정책을 설정합니다.

배포에 가장 적합한 인증 방법인 토큰 기반 인증 또는 소스 CIDR 범위 허용 목록을 사용한 IP 기반 인증을 선택합니다.

Amazon CloudWatch, Firehose 또는 Amazon Simple Storage Service에 로그를 전송하여 조직 전체의 DNS 활동을 모니터링합니다. 중앙 집중식 로그 스토리지를 위한 단일 대상 리전을 선택하여 보안 감사, 규정 준수 요구 사항 및 위협 조사를 지원합니다.