DNS 서비스의 가용성, 속도, 성능의 저하를 유발하는 모든 종류의 공격이 DNS 서버를 위협합니다. 리소스 요청을 퍼부어 DNS 서버의 마비를 유발하고 서버가 정상적인 응답을 처리하지 못하는 상황을 초래하는 DNS 플러드도 이러한 위협 중 하나입니다. 캐시 포이즈닝이라는 이름으로도 불리는 DNS 스푸핑은 트래픽을 사기성 웹사이트로 리디렉션하는 사이버 공격의 일종입니다. DNS 터널링은 DNS 쿼리 및 응답에 인코딩된 데이터를 사용해 DNS 서버를 가로채며, 공격자는 이를 통해 DNS 서버를 원격으로 관리할 수 있게 됩니다.
DNS 서버의 가용성 및 보안 보장
DNS(도메인 네임 시스템) 서버는 www.companywebsite.com처럼 사용자가 사용하고 읽을 수 있는 도메인 호스트 이름을 머신에서 읽을 수 있는 IP 주소로 변환합니다. DNS 서버는 긍정적인 브라우징 경험을 보장하고 클라우드에서 호스팅되는 웹사이트, API, 기업 애플리케이션 소프트웨어에 빠르고 안정적인 인터넷 연결을 확실히 제공하는 데 반드시 필요합니다.
IT 보안팀에게 DNS 서버 보안은 비즈니스에 중요한 우선순위입니다. 사용자는 DNS를 사용해 웹 애플리케이션 및 API에 접속하기 때문에 DNS 서버가 위협을 받으면 비즈니스 운영, 수익성, 고객, 파트너와의 신뢰도 위험에 빠집니다.
DNS 레졸루션은 웹사이트와 애플리케이션 성능에 중요한 요소임에도 많은 기업은 적절한 DNS 인프라에 투자하지 않고 있으며, 사용자를 원하는 웹사이트 및 애플리케이션과 연결하는 작업을 불과 두세 대의 DNS 서버로 수행하는 경우도 상당히 많습니다. 이러한 접근 방식은 DNS 서비스가 DDoS 공격과 데이터 센터 가동 중단에 취약해지도록 만듭니다.
Akamai Edge DNS는 클라우드 기반의 DNS 솔루션으로 연중무휴 24시간 가용성을 유지하고, 응답 시간을 단축하며, 메가톤급 DDoS 공격을 방어할 수 있는 안정성으로 DNS 서버를 개선합니다.
Akamai Edge DNS
Akamai는 원래 Edge DNS 구축을 통해 권한 DNS 서비스를 제공함으로써 당사 글로벌 콘텐츠 전송 네트워크(CDN)에서 솔루션을 지원했습니다. 대규모 분산 엣지 및 클라우드 플랫폼으로,Akamai는 오늘날 시장에 출시된 대부분의 경쟁사 권한 DNS 서비스보다 뛰어난 확장성을 제공하도록 Edge DNS를 설계했습니다. 경쟁사 DNS 서버 및 솔루션은 성능에만 중점을 두는 경우가 대부분인 반면, Edge DNS는 뛰어난 성능 외에도 공격에 대한 고가용성과 뛰어난 안정성을 제공하도록 설계되었습니다.
Edge DNS는 IP Anycast 모델을 사용해 DNS 쿼리에 응답합니다. 즉, Akamai 고객은 두세 대의 DNS 서버에 의존하지 않고 전 세계 4100여 곳의 네트워크 거점에 배포된 수천 개의 네임서버에 접속할 수 있습니다. IP Anycast는 최종 사용자의 쿼리를 가장 가까운 네트워크 거점으로 전달해 문제를 해결함으로써 더 빠른 성능, 광범위한 확장성, 다양한 배포를 지원합니다. IP Anycast를 활용하는 기업이 Akamai뿐만은 아니지만, Akamai는 네임서버 및 네트워크 거점을 여러 IP Anycast 클라우드로 세그멘테이션함으로써 Edge DNS를 가용성, 규모, 배포 측면에서 여러 독립 DNS 공급업체와 동등한 수준으로 완성했습니다.
Akamai Edge DNS 서버를 활용하면 다음과 같은 장점을 얻을 수 있습니다.
- 무중단 DNS 가용성 보장: 100% 업타임 서비스 수준 협약(SLA)과 안정적인 아키텍처로 미션 크리티컬 DNS 서비스를 제공합니다.
- DNS 비용 관리: 예측 가능한 Zone 기반 청구 방식으로 높은 DNS 사용량으로 인한 예상치 못한 요금 부과를 방지합니다.
- 보조 DNS 서버에 대한 접속 보장: Edge DNS로 인터넷 기반 보조 Zone을 사용해 주요 DNS 서버의 가용성을 높일 수 있습니다.
Edge DNS는 광범위한 다중 기법 공격을 방어할 수 있는 애플리케이션 및 API 보안 솔루션 제품군의 일부입니다. Akamai App & API Protector는 웹 애플리케이션 및 API 공격을 방어하는 원스톱 앱 보안을 제공합니다. Prolexic은 대규모 DDoS 공격을 차단하는 가장 효과적인 방어 수단을 제공하며, Client-side Protection & Compliance는 악성 활동을 탐지하고 차단해 클라이언트측 위협으로부터 사이트를 보호합니다.
도메인 모니터링 및 무력화
도메인 보안을 위해서는 도메인을 위한 DNS 중복 외에도 다른 조치가 필요합니다. 인터넷에서 유사한 이름이 있는지 모니터링하고 브랜드를 스푸핑해 트래픽과 사용자 인증정보 등의 개인 정보를 탈취하는 허위 웹사이트로 브랜드에 부정적인 영향을 미치는 이름 사용을 교란시켜야 합니다. 구역 보호 및 도메인 무력화 기능을 사용하면 악의적인 써드파티 도메인을 선제적으로 학습해 인터넷에서 도메인의 사용을 방해할 수 있습니다. 모니터링 기능을 갖춘 각 도메인의 경우 리스크 수준과 같은 일련의 특성이 정리된 관련 도메인 목록을 사용할 수 있습니다. 각 도메인에 대해 [a] 도메인을 추적해 변경 사항 파악(새로운 MX(메일 교환) 레코드 등), [b] 추적할 도메인에 태그 지정, [c] 정렬 우선순위 설정, [d] 무력화 등 일련의 조치를 수행할 수 있습니다.
Edge DNS의 장점
DNS 서버의 연중무휴 24시간 가용성 보장: 전 세계적으로 분산 배치된 Akamai의 확장 가능한 플랫폼을 활용하면 고객, 직원, 파트너가 웹 애플리케이션 및 API에 빠르게 접속할 수 있습니다.
대규모 DDoS 공격 차단: Edge DNS는 Akamai Connected Cloud의 탁월한 확장성과 용량을 활용해 메가톤급 DDoS 공격을 흡수하면서도 동시에 사용자에게 접속 기능을 계속 제공할 수 있습니다. 내장된 복원력 제어 기능으로 다양한 종류의 DNS 공격에 대해 지속적인 가용성을 보장할 수 있습니다.
보다 빠르고 안정적인 해상도 보장: Zone Apex 매핑과 전 세계 수천 개의 DNS 서버가 안정적이고 빠른 DNS 성능을 제공합니다.
더욱 손쉬운 비용 관리: 요청 수가 아닌 Zone 수를 기준으로 가격을 책정하면 DNS 비용을 보다 정확하게 제어할 수 있습니다.
DNS 위조 방지: DNSSEC(Domain Name System Security Extensions)로 DNS 위조에 따른 공격을 차단합니다.
관리 간소화: Akamai Control Center, Edge DNS API, Terraform과 같은 통합 기능으로 DNS 인프라 관리를 간소화합니다.
코드로서 DNS를 관리: 개발자가 API 및 기존 관리 툴을 사용해 Edge DNS 워크플로를 자동화할 수 있습니다.
도메인 모니터링 및 무력화: 인터넷에서 유사한 도메인 이름을 추적해 브랜드를 스푸핑 및 침해하고 있는 도메인을 교란시킵니다.
Edge DNS를 사용한 DDoS 통제
Edge DNS는 우수한 아키텍처 설계, 확장성, 용량을 갖추고 있어 DDoS 공격 발생 시 뛰어난 안정성을 제공하며, Akamai DNS 서버는 특정한 종류의 DNS 공격인 DNS 플러드로 인한 영향을 방어하는 데 도움이 되는 보안 제어 기능도 제공합니다. DNS 플러드는 대량의 정상적인 DNS 요청을 사용해 물리적 네임서버에서 막대한 양의 컴퓨팅 및 메모리 리소스를 소비합니다. 따라서 이렇게 공격을 받는 DNS 서버가 정상적인 최종 사용자의 쿼리에 응답하지 못하는 상황이 발생합니다.
DNS 플러드를 방어하기 위해 Edge DNS는 다음과 같은 몇 가지 필수 기능을 제공합니다.
- 확장 능력: 권한 DNS 서버의 규모는 경쟁업체의 솔루션에 비해 최대 몇 배까지 확장됩니다. Edge DNS는 전 세계 1000여 곳의 네트워크 거점에 구축된 수천 개의 네임서버를 사용해 DNS 플러드로 인한 요청의 급증을 충분히 흡수할 수 있도록 컴퓨팅 및 메모리 리소스를 제공합니다.
- 전송률 제한: Edge DNS 설정은 요청 횟수가 정의된 임계값을 초과하는 경우 의심되는 리졸버의 요청을 자동으로 거부하도록 설정할 수 있습니다. 전송률 제한은 DNS 요청의 급증에 따라 컴퓨터 메모리 리소스가 과도하게 소비되는 상황을 예방하며, 이는 대량의 요청을 생성하면서 상대적으로 낮은 대역폭을 소비하는 공격에 대응할 때 유용합니다.
- DNS 허용 목록: 위협 연구원은 Akamai Intelligent Connected Cloud의 탁월한 확장성과 용량을 통해 정상적인 DNS 조회의 약 95%를 책임지는 리커시브 리졸버의 동작에 대한 고유한 가시성을 확보할 수 있습니다. 필요하면 Edge DNS는 정상적인 것으로 확인된 DNS 리졸버 그룹으로 활동을 제한하는 포지티브 보안 모델을 배포할 수 있습니다.
Global Traffic Management
Edge DNS와 결합된 GTM(Global Traffic Management) 은 전 세계 특정 지역의 리소스에 사용자를 지리적 위치 기준으로 매핑하거나 여러 지리적 위치에 트래픽을 고르게 분산하고 각 사용자가 지리적으로 가까운 위치의 엣지 서버를 사용할 수 있게 지원하는 등 완벽한 DNS 제어 기능 세트를 제공합니다.
DNS 및 클라우드 기반 서버 부하 분산 장치인 GTM은 Akamai Connected Cloud의 인텔리전스와 확장성을 활용해 웹 및 API 트래픽에 내결함성, 고성능, 무중단 가용성을 제공합니다. 광범위한 룰과 변수를 활용하는 GTM은 표준 DNS 워크플로우를 사용해 콘텐츠를 최종 사용자에게 최적으로 전송할 수 있는 데이터 센터로 사용자 요청을 전달합니다. 또한 Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼이기 때문에 GTM은 유사한 기타 서비스보다 그 역할을 더 잘 수행할 수 있습니다. 다양한 업계에 속한 세계 유수의 대기업들이 사용하는 GTM은 강력한 API인 Akamai Control Center와 강력한 DevOps 통합 기능을 결합함으로써 기능과 활용성을 완벽하게 갖춘 제품입니다.
자주 묻는 질문(FAQ)
IP Anycast는 여러 개의 동일한 네트워크 노드가 분산 네트워크에 배포되어 단일 공통 IP 주소를 제공하는 네트워크 라우팅 기술입니다. 모든 노드가 동일한 IP 주소에 응답하고 트래픽이 라우팅 프로토콜에 따라 가장 가까운 노드로 라우팅되므로 사용자에게 가장 낮은 지연 시간이 발생하며 가장 높은 가용성을 제공합니다.
부하 분산 장치는 여러 서버에 네트워크 또는 애플리케이션 트래픽을 분산하는 디바이스입니다. 부하 분산 장치는 애플리케이션의 용량(동시 사용자)과 안정성을 높이는 데 사용됩니다. 또한 애플리케이션 및 네트워크 세션의 관리 및 유지와 관련된 서버의 부담을 줄이고 애플리케이션별 작업을 수행함으로써 애플리케이션의 전반적인 성능을 높입니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.