[AWS SCS] Route 53 - DNSSEC

DNSSEC와 Route 53 보안 강화하기

문제의 이해: DNS 포이즈닝과 스푸핑

DNS 포이즈닝이나 스푸핑은 악의적인 공격자로 인해 클라이언트가 잘못된 DNS 응답을 받게 되는 문제를 말합니다. 예를 들어, 웹 서버가 example.com을 호스팅하고 있는 경우, 클라이언트의 웹 브라우저가 local DNS 서버에 example.com에 대한 요청을 보냈을 때, 해커가 공격을 통해 잘못된 IP 주소로 속이게 되면, 클라이언트는 악성 웹사이트에 접속하게 됩니다.

DNSSEC의 개요

DNSSEC(DNS 보안 확장)는 이러한 문제를 해결하기 위해 설계된 프로토콜입니다. DNSSEC는 DNS 데이터의 무결성을 확인하고, 변조되지 않았음을 인증하는 기능을 제공합니다. DNSSEC는 공개 도메인에서만 작동하며, Route 53는 도메인 등록 및 DNS 기록 서명을 지원합니다.

DNSSEC 작동 방식

1. 서명된 키(KSK) 관리: DNSSEC는 두 개의 키, 키 서명 키(KSK)와 존 서명 키(ZSK)를 사용합니다. KSK는 고객이 관리하는 비대칭 키로, AWS KMS에서 관리됩니다. ZSK는 Route 53에서 관리하는 키입니다. 이 KSK를 Route 53의 KMS와 연결해 관리하게 됩니다.
2. 서명된 DNS 응답: Route 53은 각 DNS 기록을 서명하고, 클라이언트는 해당 서명을 확인하여 변조되지 않았음을 검증할 수 있습니다. 클라이언트가 DNS 쿼리를 보낼 때, 각 DNS 서버는 이러한 체인 오브 트러스트를 통해 서명된 DNS 응답을 확인합니다.
3. 체인 오브 트러스트: 체인 오브 트러스트는 활성화된 DNSSEC가 있는 존이 상위 도메인에게 이를 신뢰할 수 있게 연결되는 구조를 의미합니다. 이를 위해 상위 존에 DS 레코드를 추가하여 하위 존이 신뢰받도록 합니다. 예를 들어, Route 53에서 도메인을 등록한 경우, DS 레코드를 상위 존에 추가하여 하위 존이 서명된 키를 신뢰할 수 있게 합니다.

DNSSEC 활성화 방법

• 준비 작업: DNS 응답이 정상적으로 이루어지도록 존의 가용성을 확보합니다. 이를 위해 모든 기록의 TTL을 1시간으로 설정하고, SOA의 최소 TTL을 5분으로 낮춥니다.
• DNSSEC 서명 활성화: Route 53에서 DNSSEC 서명을 활성화하고, 고객이 관리하는 KSK를 생성합니다. 이를 Route 53의 KMS와 연결하여 관리합니다.
• 체인 오브 트러스트 설정: 상위 존에 DS 레코드를 추가하여 하위 존이 서명된 키를 신뢰할 수 있게 합니다.

추가 보안 조치: CloudWatch 경고

CloudWatch 알람을 설정하여 DNSSEC 오류나 KSK 관리 필요 시를 모니터링합니다. 이를 통해 DNSSEC 활성화와 체인 오브 트러스트 설정 후에도 계속해서 DNS 보안을 강화할 수 있습니다.

결론

DNSSEC와 Route 53을 활용한 체인 오브 트러스트 설정은 DNS 보안을 강화하고, 악의적인 공격으로부터 클라이언트를 보호하는 중요한 조치입니다. 이러한 보안 기능을 활용하여 클라이언트가 항상 안전하게 인터넷에 접속할 수 있도록 해야 합니다.