Route 53에서 누락된 위임 레코드 보호 - Amazon Route 53
예시

Route 53에서 누락된 위임 레코드 보호

Route 53을 사용하면 고객은 example.com와 같은 호스팅 영역을 생성하여 DNS 레코드를 호스팅할 수 있습니다. 각 호스팅 영역에는 고객이 상위 도메인에서 NS 레코드를 구성하는 데 사용할 수 있는 4개의 이름 서버 집합인 "위임 세트"가 함께 제공됩니다. 이 NS 레코드를 "위임 NS 레코드" 또는 "위임 레코드"라고 할 수 있습니다.

example.com Route 53 호스팅 영역이 권한을 갖추려면 example.com 도메인의 올바른 소유자가 도메인 등록 기관을 통해 ".com" 상위 도메인에서 위임 레코드를 구성해야 합니다. 연결된 호스팅 영역이 삭제되어 고객이 상위 도메인에 구성된 4개의 이름 서버에 대한 액세스 권한을 잃는 경우 공격자가 악용할 위험이 발생할 수 있습니다. 이를 "매달린 위임 레코드" 위험이라고 합니다.

Route 53은 호스팅 영역이 삭제되는 경우 매달린 위임 레코드 위험으로부터 보호합니다. 삭제 후 도메인 이름이 동일한 새 호스팅 영역을 생성하는 경우 Route 53은 삭제된 호스팅 영역을 가리키는 위임 레코드가 상위 도메인에 여전히 존재하는지 확인합니다. 이 경우 Route 53은 중복 이름 서버가 할당되지 않게 합니다. 방법은 다음 예제의 시나리오 1과 같습니다.

그러나 다음 예제의 시나리오 2 및 3에 자세히 설명된 것처럼 Route 53가 보호할 수 없는 다른 매달린 위임 레코드 위험이 있습니다. 이러한 광범위한 위험으로부터 보호하려면 상위 NS 레코드가 Route 53 호스팅 영역의 위임 세트와 일치하는지 확인하세요. Route 53 콘솔 또는 AWS CLI를 통해 호스팅 영역의 위임 세트를 찾을 수 있습니다. 자세한 내용은 레코드 나열 또는 get-hosted-zone을 참조하세요.

또한 Route 53 호스팅 영역에 대해 DNSSEC 서명을 활성화하면 위에 언급된 모범 사례를 넘어서는 또 다른 보호 계층의 역할을 할 수 있습니다. DNSSEC는 DNS 응답이 신뢰할 수 있는 출처에서 온 것임을 인증하여 이 위험으로부터 효과적으로 보호합니다. 자세한 정보는 Amazon Route 53에서 DNSSEC 서명 구성 섹션을 참조하세요.

예시

다음 예제에서는 도메인 example.com, 하위 도메인 child.example.com이 있다고 가정합니다. 다양한 시나리오에서 매달린 위임 레코드를 생성하는 방법, Route 53가 도메인을 남용으로부터 보호하는 방법, 매달린 위임 레코드와 관련된 위험을 효과적으로 완화하는 방법을 설명합니다.

시나리오 1:

4개의 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>로 호스팅 영역 child.example.com를 생성할 수 있습니다. 호스팅 영역 example.com에서 위임을 올바르게 설정하여 4개의 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>를 사용하여 child.example.com에 대한 위임 NS 레코드를 생성합니다. example.com에서 위임 NS 레코드를 제거하지 않고 child.example.com 호스팅 영역이 삭제되면 Route 53은 <ns1>, <ns2>, <ns3>, <ns4>가 도메인 이름이 동일한 새로 생성된 호스팅 영역에 할당되는 것을 방지하여 매달린 위임 레코드 위험으로부터 child.example.com을 보호합니다.

시나리오 2:

시나리오 1과 비슷하지만 이번에는 하위 호스팅 영역과 호스팅 영역 example.com의 위임 NS 레코드를 삭제합니다. 그러나 하위 호스팅 영역을 생성하지 않고 위임 NS 레코드 <ns1>, <ns2>, <ns3>, <ns4>를 다시 추가합니다. 여기서는 <ns1>, <ns2>, <ns3>, <ns4>가 매달린 위임 레코드입니다. Route 53이 <ns1>, <ns2>, <ns3>, <ns4>가 할당되는 것을 막고 있던 보류를 제거하고 이제 새로 생성된 호스팅 영역이 위의 이름 서버를 사용하도록 허용하기 때문입니다. 위험을 완화하려면 위임 레코드에서 <ns1>, <ns2>, <ns3>, <ns4>를 제거하고 하위 호스팅 영역이 생성된 후에만 다시 추가합니다.

시나리오 3:

이 시나리오에서는 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>를 사용하여 Route 53 재사용 가능 위임 세트를 생성합니다. 그런 다음 상위 도메인 .com의 이러한 이름 서버에 도메인 example.com을 위임합니다. 하지만 재사용 가능한 위임 세트에 아직 example.com에 대한 호스팅 영역을 생성하지 않았습니다. 따라서 <ns1>, <ns2>, <ns3>, <ns4>는 매달린 위임 레코드입니다. 위험을 완화하려면 이름 서버 <ns1>, <ns2>, <ns3>, <ns4>가 있는 재사용 가능한 위임 세트를 사용하여 호스팅 영역을 생성합니다.