Route 53 Resolver DNS Firewall
Route 53 Resolver DNS 방화벽을 사용하면 Virtual Private Cloud(VPC)에 대한 아웃바운드 DNS 트래픽을 필터링하고 제어할 수 있다. 이렇게 하려면 DNS 방화벽 규칙 그룹에 재사용 가능한 필터링 규칙 컬렉션을 생성하고 규칙 그룹을 VPC에 연결한 다음 DNS 방화벽 로그 및 지표 활동을 모니터링한다. 활동에 따라 DNS 방화벽의 동작을 적절하게 조정할 수 있다.
DNS 방화벽을 사용하면 VPC의 아웃바운드 DNS 요청을 보호할 수 있다. 이러한 요청은 도메인 이름 해석을 위해 Resolver를 통해 라우팅된다. DNS 방화벽 보호의 주된 용도는 데이터의 DNS 유출을 방지하는 것이다. DNS 유출은 공격자가 VPC 애플리케이션 인스턴스를 손상시킨 다음 DNS 조회를 사용하여 VPC에서 데이터를 제어하는 도메인으로 전송할 때 발생할 수 있다. DNS 방화벽을 사용하면 애플리케이션에서 쿼리할 수 있는 도메인을 모니터링하고 제어할 수 있다. 잘못된 것으로 알고 있는 도메인에 대한 액세스를 거부하고 다른 모든 쿼리가 통과하도록 허용할 수 있다. 또는 명시적으로 신뢰하는 도메인을 제외한 모든 도메인에 대한 액세스를 거부할 수 있다.
DNS 방화벽을 사용하여 VPC 엔드포인트 이름을 포함하여 프라이빗 호스팅 영역(공유 또는 로컬 호스팅 영역)의 리소스에 대한 해석 요청을 차단할 수도 있다. 또한 퍼블릭 또는 프라이빗 Amazon EC2 인스턴스 이름에 대한 요청을 차단할 수도 있다.
DNS 방화벽은 Route 53 Resolver 기능이며 사용할 Resolver 설정이 추가로 필요하지 않다.
AWS Firewall Manager는 DNS 방화벽을 지원한다.
Firewall Manager 를 사용하여 AWS Organizations 계정에서 VPC의 DNS 방화벽 규칙 그룹 연결을 중앙에서 구성하고 관리할 수 있다. Firewall Manager는 Firewall Manager DNS 방화벽 정책 범위로 들어오는 VPC에 대한 연결을 자동으로 추가한다. 자세한 내용은 AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced 개발자 안내서의 AWS Firewall Manager 섹션을 참조한다.
AWS Network Firewall에서 DNS 방화벽이 작동하는 방식
DNS 방화벽과 Network Firewall 모두 다른 유형의 트래픽이 아닌 경우 도메인 이름 필터링을 제공한다. DNS 방화벽과 Network Firewall 함께 사용하면 서로 다른 두 네트워크 경로에서 애플리케이션 계층 트래픽에 대한 도메인 기반 필터링을 구성할 수 있다.
-
DNS 방화벽은 VPC 내의 애플리케이션에서 Route 53 Resolver를 통과하는 아웃바운드 DNS 쿼리에 대한 필터링을 제공한다. 쿼리에 대한 사용자 지정 응답을 차단된 도메인 이름에 전송하도록 DNS 방화벽을 구성할 수도 있다.
-
Network Firewall은 네트워크 및 애플리케이션 계층 트래픽 모두에 대한 필터링을 제공하지만 Route 53 Resolver에서 만든 쿼리는 표시하지 않는다.
자세한 내용은 Network Firewall 개발자 안내서를 참조한다.