기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Route 53 Global Resolver에서 DNS 뷰에 대한 설정 구성
Route 53 Global Resolver를 사용하면 보안 요구 사항 및 액세스 요구 사항에 따라 다양한 클라이언트 디바이스 그룹에 대해 다양한 DNS 정책 및 액세스 제어를 구성할 수 있습니다. Route 53 Global Resolver에서 보안 요구 사항 및 액세스 요구 사항에 따라 다양한 클라이언트 디바이스 그룹에 대한 DNS 정책 및 액세스 제어를 설정합니다.
클라이언트 그룹에 대한 DNS 설정 구성
각 DNS 뷰에는 서로 다른 클라이언트 디바이스 그룹에 대해 DNS 쿼리를 처리하고 해결하는 방법을 제어하는 몇 가지 설정이 있습니다.
DNSSEC 검증
DNSSEC 검증은 퍼블릭 도메인에 대한 DNS 응답이 신뢰할 수 있고 변조되지 않았는지 확인하는 데 도움이 됩니다. DNSSEC 검증을 활성화하면 Route 53 Global Resolver는 DNSSEC 서명을 확인하고 잘못된 서명이 있는 도메인에 대해 SERVFAIL을 반환합니다.
다음과 같은 경우 DNSSEC 검증을 활성화하는 것이 좋습니다.
-
조직에서 DNS 응답의 암호화 확인 필요
-
DNS 스푸핑 및 캐시 중독 공격으로부터 보호하려는 경우
-
DNSSEC 검증이 필요한 규정 준수 요구 사항이 있는 경우
참고
DNSSEC 검증은 퍼블릭 도메인에만 적용됩니다. 프라이빗 호스팅 영역은 자체 인증 메커니즘을 사용합니다.
EDNS 클라이언트 서브넷(ECS)
EDNS 클라이언트 서브넷에는 신뢰할 수 있는 서버로 전송된 DNS 쿼리에 클라이언트의 네트워크 위치에 대한 정보가 포함됩니다. 이를 통해 콘텐츠 전송 네트워크와 지리적으로 분산된 서비스가 위치에 적합한 응답을 제공할 수 있습니다.
ECS는 다음과 같은 도움을 줄 수 있습니다.
-
지리적으로 분산된 서비스에서 성능 향상
-
콘텐츠 전송 네트워크 라우팅 정확도 개선
-
리전별 콘텐츠 제한 사항 준수 개선
개인 정보 보호 고려 사항:
-
ECS는 신뢰할 수 있는 서버에 부분 클라이언트 IP 정보를 공개합니다(IPv4의 경우 최대 /2IPv4IPv6의 경우 /48).
-
활성화하기 전에 조직의 개인 정보 보호 요구 사항을 고려하세요.
방화벽 페일 오픈
방화벽 장애 열기 설정은 서비스 장애 또는 구성 문제로 인해 DNS 방화벽 규칙을 평가할 수 없는 경우 발생하는 상황을 결정합니다.
- 비활성화됨(기본값)
-
방화벽 규칙을 평가할 수 없는 경우 DNS 쿼리가 차단됩니다. 이렇게 하면 보안을 극대화할 수 있지만 서비스 문제 발생 시 가용성에 영향을 미칠 수 있습니다.
- 활성화됨
-
방화벽 규칙을 평가할 수 없는 경우 DNS 쿼리가 허용됩니다. 이렇게 하면 서비스 문제 발생 시 보안보다 가용성이 우선합니다.
클라이언트 디바이스 그룹 구성 모범 사례
다양한 클라이언트 디바이스 그룹에 대한 DNS 뷰를 설계할 때는 다음 모범 사례를 따르세요.
조직 전략 보기
-
보안 요구 사항으로 구분 - 보안 권한 또는 액세스 수준이 서로 다른 클라이언트 디바이스에 대해 서로 다른 뷰 생성
-
위치별 구성 - 서로 다른 지리적 위치 또는 네트워크 세그먼트에 대해 별도의 뷰 사용
-
디바이스 유형별 그룹화 - 서버, 워크스테이션, 모바일 디바이스 또는 IoT 디바이스에 대한 전용 뷰 생성
-
설명이 포함된 이름 사용 - 뷰의 용도와 대상 클라이언트 디바이스를 명확하게 나타내는 이름을 선택합니다.
보안 고려 사항
-
최소 권한 원칙 - 클라이언트 디바이스에 필요한 최소 액세스 권한으로 각 뷰 구성
-
기본 거부 - 제한적인 방화벽 규칙으로 시작하고 필요에 따라 예외 추가
-
정기 검토 - DNS 보기 구성을 정기적으로 검토 및 업데이트합니다.
-
사용량 모니터링 - DNS 쿼리 로그를 사용하여 DNS 보기 사용 패턴 모니터링 및 분석
