Route 53 Global Resolver 작동 방식 - Amazon Route 53
클라이언트가 DNS 쿼리를 수행할 때 발생하는 일글로벌 어캐스트 아키텍처DNS 필터링 및 보안

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Route 53 Global Resolver 작동 방식

Route 53 Global Resolver는 퍼블릭 도메인과 프라이빗 도메인 간에 트래픽 분할 DNS 확인을 활성화하고, AWS 리전 선택한 둘 이상의를 통해 고가용성을 제공하며, 요청을 가로채고 DNS 필터링 정책을 적용하여 DNS 쿼리를 보호합니다. 이 프로세스를 이해하면 문제를 해결하고 성능, 가용성 및 보안을 위해 배포를 최적화하는 데 도움이 됩니다.

클라이언트가 DNS 쿼리를 수행할 때 발생하는 일

위치의 누군가가 도메인을 쿼리하려고 하면 Route 53 Global Resolver는 여러 보안 계층을 통해 DNS 요청을 처리합니다.

DNS 쿼리 처리에는 다음과 같은 순차적 단계가 포함됩니다.

  1. 쿼리 수신 - 클라이언트 디바이스는 Route 53 Global Resolver 어캐스트 IP 주소로 DNS 쿼리를 전송합니다. 애니캐스트 라우팅은 쿼리를 가장 가까운 AWS 리전으로 자동으로 보냅니다.

  2. 인증 - Route 53 Global Resolver는 구성된 인증 방법(DoH/DoT의 경우 토큰 기반 또는 모든 프로토콜의 경우 IP 액세스 소스)을 사용하여 클라이언트를 인증합니다.

  3. 정책 평가 - 서비스는 구성된 보안 정책 및 도메인 목록과 비교하여 DNS 쿼리를 평가하여 적절한 작업(허용, 차단 또는 알림)을 결정합니다. 프라이빗 호스팅 영역을 대상으로 하는 쿼리의 경우 Route 53 Global Resolver는 확인을 진행하기 전에 클라이언트가 관리자가 관리하는 DNS 보기 규칙을 기반으로 프라이빗 도메인에 액세스할 수 있는 권한이 있는지 확인합니다.

  4. 해결 방법 - 허용된 쿼리의 경우 Route 53 Global Resolver는 퍼블릭 DNS 해석기 또는 프라이빗 호스팅 영역 확인을 적절히 사용하여 DNS 확인을 수행합니다.

  5. 응답 전송 - 서비스는 클라이언트에 DNS 응답을 반환하고 모니터링 및 분석을 위해 쿼리 세부 정보를 기록합니다.

글로벌 어캐스트 아키텍처

Route 53 Global Resolver는 멀티캐스트 IP 주소를 사용하여 글로벌 가용성과 자동 지리적 라우팅을 제공합니다.

Route 53 Global Resolver는 멀티캐스트 IP 주소를 사용하여 다음을 제공합니다.

  • 자동 지리적 라우팅 - DNS 쿼리는 최적의 성능을 위해 가장 가까운 AWS 리전으로 자동으로 라우팅됩니다.

  • 기본 제공 중복 - 리전을 사용할 수 없게 되면 트래픽이 다음으로 가장 가까운 리전으로 자동으로 장애 조치됩니다.

  • 일관된 IP 주소 - 클라이언트는 위치에 관계없이 동일한 애니캐스트 IP 주소를 사용하므로 구성이 간소화됩니다.

DNS 필터링 및 보안

Route 53 Global Resolver는 여러 계층을 통해 포괄적인 DNS 필터링 및 보안을 제공합니다. DNS 필터링 및 보안 아키텍처 다이어그램은 인증, 정책 평가 및 확인 계층을 통해 쿼리를 처리하는 방법을 보여줍니다.

Route 53 Global Resolver는 다음을 통해 포괄적인 DNS 보안을 제공합니다.

  • 도메인 기반 필터링 - 사용자 지정 또는 AWS 관리형 도메인 목록을 사용하여 도메인 이름을 기반으로 쿼리를 차단하거나 허용합니다.

  • 위협 인텔리전스 통합 - AWS 관리형 위협 인텔리전스를 활용하여 알려진 악성 도메인을 자동으로 차단합니다.

  • 고급 위협 탐지 - DNS 터널링 시도 및 도메인 생성 알고리즘(DGA) 패턴을 탐지하고 차단합니다.

  • 실시간 모니터링 - 보안 이벤트 및 정책 위반에 대한 알림 및 로그를 생성합니다.