Azure DNS는 AZURE에서 DNS 도메인을 호스트하고 DNS 레코드를 관리하는 안정적이고 안전한 방법을 제공합니다. 도메인 이름을 IP 주소로 변환하고 인터넷을 통해 트래픽을 라우팅하는 중요한 네트워킹 서비스로서 DNS 배포 보안은 DNS 공격, 무단 변경 및 전체 인프라에 영향을 줄 수 있는 서비스 중단을 방지하는 데 필수적입니다.
이 문서에서는 Azure DNS 배포를 가장 안전하게 보호하는 방법에 대한 지침을 제공합니다.
네트워크 보안
Azure DNS의 네트워크 보안은 외부 위협으로부터 DNS 인프라를 보호하고 DNS 확인 서비스를 사용 가능하고 안전하게 유지하는 데 중점을 둡니다. 적절한 네트워크 제어는 DNS 공격을 방지하고 서비스 무결성을 유지하는 데 도움이 됩니다.
내부 리소스에 프라이빗 DNS 영역 사용: 내부 DNS 레코드가 공용 DNS 서버에 노출되지 않도록 가상 네트워크 내에서 내부 이름 확인을 위해 Azure 프라이빗 DNS 영역을 배포합니다. 프라이빗 DNS 영역은 내부 인프라를 외부 정찰에서 숨깁니다.
DNS 보안 정책 구성: DNS 보안 정책을 사용하여 DNS 쿼리를 제어 및 모니터링하고, 악의적인 도메인에 대한 액세스를 차단하고, 특정 도메인 목록에 대한 허용, 차단 또는 경고와 같은 트래픽 작업을 구현합니다. 자세한 내용은 DNS 보안 정책을 참조하세요.
자동 업데이트에 대한 별칭 레코드 구현: 기본 리소스가 변경될 때 DNS 별칭 레코드를 사용하여 IP 주소 참조를 자동으로 업데이트하여 사용자를 손상되거나 잘못된 리소스로 리디렉션할 수 있는 부실 DNS 항목의 보안 위험을 방지합니다. 자세한 내용은 Azure DNS 별칭 레코드 개요를 참조하세요.
권한 있는 액세스
Azure DNS에 대한 권한 있는 액세스 관리는 권한 있는 사용자만 최소 권한 원칙을 따르는 동안 DNS 영역 및 레코드를 수정할 수 있도록 합니다. 적절한 액세스 제어는 트래픽을 리디렉션하거나 서비스를 손상시키는 무단 DNS 변경을 방지합니다.
역할 기반 액세스 제어 구현: Azure RBAC(역할 기반 액세스 제어)를 사용하여 기본 제공 역할 할당을 통해 DNS 리소스에 대한 액세스를 관리합니다. 특정 책임에 따라 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당합니다. 자세한 내용은 DNS 영역 및 레코드를 보호하는 방법을 참조하세요.
세분화된 DNS 권한 사용: 광범위한 관리 역할이 아닌 DNS 영역 기여자 또는 프라이빗 DNS 영역 기여자 같은 특정 DNS 역할을 할당합니다. 사용자가 CNAME 레코드와 같은 특정 레코드 형식만 관리할 수 있도록 허용하는 등 세분화된 제어를 위한 사용자 지정 역할을 만듭니다. 자세한 내용은 DNS 영역 및 레코드를 보호하는 방법을 참조하세요.
영역 수준 및 레코드 수준 액세스 제어 적용: 구독, 리소스 그룹, 개별 DNS 영역 또는 개별 레코드 집합 등 다양한 수준에서 RBAC 권한을 구성하여 사용자가 자신의 책임에 필요한 DNS 리소스에만 액세스할 수 있도록 합니다.
중요한 영역에 대한 리소스 잠금 구현: 실수로 삭제되거나 수정되지 않도록 DNS 영역 및 레코드 집합에 Azure Resource Manager 잠금을 적용합니다. CanNotDelete 잠금을 사용하여 영역 삭제를 방지하고 ReadOnly 잠금을 사용하여 모든 변경 내용을 방지합니다. 자세한 내용은 DNS 영역 및 레코드를 보호하는 방법을 참조하세요.
최소 권한 원칙 적용: 사용자에게 DNS 관리 작업을 수행하는 데 필요한 최소 권한만 부여합니다. 광범위한 관리 역할 대신 특정 DNS 역할을 사용하여 잠재적인 보안 노출을 제한합니다.
보안 관리 액세스: DNS 영역 및 레코드를 수정할 수 있는 권한이 있는 모든 사용자에 대해 다단계 인증 및 권한 있는 액세스 워크스테이션을 구현합니다.
일반 액세스 검토: DNS 리소스에 대한 사용자 권한 및 액세스 권한을 정기적으로 검토하여 액세스가 적절하게 유지되고 최소 권한의 원칙을 따르도록 합니다.
데이터 보호
Azure DNS에 대한 데이터 보호는 DNS 데이터 무결성을 보호하고 DNS 구성 정보 및 쿼리 데이터에 대한 무단 액세스를 방지하는 데 중점을 둡니다.
영역 보호를 위해 심층 방어 사용: 사용자 지정 역할과 리소스 잠금을 동시에 포괄적인 심층 방어 방법으로 구현하여 우발적이거나 악의적인 변경으로부터 중요한 DNS 영역을 보호합니다.
2단계 삭제 프로세스 구현: 중요 영역의 경우 영역 삭제 권한을 포함하지 않는 사용자 지정 역할을 사용합니다. 삭제 권한이 없으면 관리자는 먼저 삭제 권한을 부여한 다음 삭제를 2단계 프로세스로 수행하여 실수로 영역 삭제를 방지해야 합니다.
DNS 쿼리 무결성 보호: DNS 쿼리 패턴을 모니터링하여 잠재적인 DNS 터널링 시도, 알려진 악성 도메인에 대한 쿼리 또는 DNS 채널을 통한 데이터 반출을 나타낼 수 있는 기타 손상 지표를 검색합니다.
로깅 및 위협 감지
Azure DNS에 대한 포괄적인 로깅 및 모니터링은 DNS 쿼리 패턴 및 잠재적인 보안 이벤트에 대한 필수 가시성을 제공합니다. 로깅 및 모니터링은 효과적인 위협 탐지, 보안 조사를 가능하게 하며 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.
DNS용 Microsoft Defender 사용: AZURE Defender for DNS를 사용하여 리소스에 대한 에이전트를 요구하지 않고 DNS 쿼리를 모니터링하고 의심스러운 활동을 검색합니다. DNS용 Azure Defender는 DNS 기반 공격에 대한 실시간 위협 탐지를 제공합니다. 자세한 내용은 DNS용 Microsoft Defender 개요를 참조하세요.
Azure 리소스 로그 구성: Azure DNS 서비스에 대한 리소스 로그를 사용하도록 설정하여 자세한 DNS 쿼리 정보를 캡처하고 분석 및 장기 보존을 위해 Log Analytics 작업 영역, 스토리지 계정 또는 이벤트 허브로 보냅니다. 자세한 내용은 Azure DNS 메트릭 및 경고를 참조하세요.
모니터링 및 경고 설정: 비정상적인 DNS 쿼리 패턴, 구성 변경 또는 잠재적인 보안 위협이 검색될 때 관리자에게 알리도록 Azure Monitor 경고를 구성합니다.
DNS 쿼리 분석 모니터링: DNS 쿼리 로그를 분석하여 비정상적인 트래픽 패턴, 잠재적인 DNS 터널링 시도 또는 알려진 악성 도메인에 대한 쿼리를 식별합니다.
감사 로깅 사용: DNS 영역 및 레코드에 대한 모든 관리 변경 내용을 추적하여 규정 준수 및 보안 조사 목적으로 포괄적인 감사 내역을 유지 관리합니다.
우발적인 변경 내용 모니터링: 예기치 않은 DNS 영역을 감지하거나 변경 내용을 기록하고 보안 인시던트 또는 오류에 신속하게 대응하는 경고를 만듭니다.
자산 관리
Azure DNS에 대한 자산 관리에는 거버넌스 제어 구현, 구성 모니터링 및 조직 보안 정책 준수 보장이 포함됩니다. 적절한 자산 관리는 보안 상태 및 운영 가시성을 유지하는 데 도움이 됩니다.
Azure Policy 거버넌스 구현: Azure Policy를 사용하여 Azure DNS 리소스의 구성을 모니터링하고 적용합니다. DNS 영역 및 레코드 간에 보안 구성을 감사하고 적용하도록 정책을 구성합니다. 자세한 내용은 Azure 네트워킹 서비스에 대한 Azure Policy 기본 제공 정의를 참조하세요.
클라우드용 Microsoft Defender 사용: 클라우드용 Microsoft Defender를 통해 Azure Policy를 구성하여 DNS 리소스의 구성을 감사하고 적용합니다. 구성 편차가 감지되면 경고를 만듭니다.
구성 적용 적용: Azure Policy 거부 및 존재하지 않는 경우 배포 효과를 사용하여 Azure DNS 리소스에 보안 구성을 적용하고 비준수 배포를 방지합니다.
리소스 인벤토리 유지 관리: 보안 평가 및 규정 준수 보고를 지원하기 위해 DNS 영역, 레코드 집합 및 해당 구성에 대한 자세한 레코드를 유지합니다.
리소스 태그 지정 구현: 조직, 비용 추적 및 보안 규정 준수를 위해 DNS 리소스에 일관된 리소스 태그를 적용합니다.
구성 준수 모니터링: 조직의 보안 표준에 대한 DNS 구성을 정기적으로 검토하고 Azure Policy를 사용하여 구성 드리프트를 자동으로 검색하고 수정합니다.
문서 영역 종속성: DNS 영역 관계 및 종속성에 대한 설명서를 유지 관리하여 변경의 영향을 이해하고 적절한 변경 관리 프로세스를 보장합니다.