동적 DNS 인프라

도메인 이름 시스템(DNS)은 인터넷의 기술적 초석이지만 성장과 보안 측면에서 상당한 과제에 직면해 있습니다. 인터넷은 DNS에 의존합니다. DNS가 작동하지 않으면 인터넷도 작동하지 않습니다. 오늘날의 조직들은 인터넷 DNS뿐만 아니라 자체 DNS에도 의존하고 있으며, DNS 시스템이 고장나면 해당 애플리케이션도 고장납니다.

지난 10년 동안 스마트폰이 보편화되면서 인터넷 사용자 수는 500% 이상 늘어나 26억 명이 넘었습니다. 포레스터¹ 2016년까지 전 세계적으로 10억 대 이상의 스마트폰이 사용될 것으로 예측되며, 이에 따라 Long Term Evolution(LTE) 4G 네트워크에서 스마트폰 애플리케이션이 폭발적으로 증가하면서 DNS 트래픽이 기하급수적으로 증가할 것으로 예상됩니다.

엔터테인먼트 사이트, 소셜 미디어, 검색, 온라인 구매의 성장도 DNS에 압박을 가하고 있습니다. 지난 5년 동안 DNS 쿼리의 양은 200% 이상 증가했습니다. 2011년 1분기의 평균 일일 쿼리 부하는 무려 570억 개에 달했습니다.

사이트와 애플리케이션이 더욱 풍부해지고 정교해짐에 따라 DNS의 부담도 커집니다. 예를 들어, 최신 웹 페이지에서는 모든 이미지, 추가 버튼, 위젯, 링크, 아이콘 및 기타 내장된 콘텐츠에 잠재적인 IP 주소가 있어 이를 조회해야 합니다. 브라우저에서 단일 페이지를 조회하기 위해 20번 이상의 DNS 조회가 필요한 것은 드문 일이 아닙니다. cnn.com과 같은 최상위 페이지에는 100회 이상의 DNS 조회가 필요합니다. 더 크고 더 복잡한 웹은 DNS 요청도 계속 늘어난다는 것을 의미합니다.

거의 모든 클라이언트는 원하는 서비스에 도달하기 위해 DNS에 의존하므로 DNS는 모든 서비스 중에서 가장 중요하고 대중적인 서비스입니다. DNS 중단은 단일 애플리케이션뿐만 아니라 모든 외부 데이터 센터 서비스에 영향을 미칩니다. 이러한 단일 실패 지점과 역사적으로 공급이 부족한 DNS 인프라, 특히 인터넷과 기업 데이터 센터 내에서 DNS는 공격자에게 매우 매력적인 대상이 됩니다. 이는 HTTP에 이어 두 번째로 자주 사용되는 분산 서비스 거부(DDoS) 공격 벡터가 되었고, 기업들은 효과적인 방어 수단을 찾기 위해 애쓰고 있습니다.

또한 중요한 사실은 피싱이나 중간자 공격(MITM) 등 재정적으로 가장 큰 피해를 입히는 공격이 DNS 응답 조작으로 시작된다는 것입니다. DNSSEC(도메인 이름 시스템 보안 확장) 기술은 이러한 문제를 해결하기 위해 고안되었지만, 추가적인 오버헤드와 복잡성은 급속한 성장과 DDoS 방어로 인해 발생한 문제를 해결하기 위해 이미 경쟁하고 있는 조직에 추가적인 부담으로 작용하고 있습니다.

브라우저 툴바 차단기 등의 기존 보안 수단도 DNS 서비스에 의존하기 때문에 해당 서비스가 중단되면 보안 수단이 실패할 수 있습니다. SSL 사이트 인증서에도 어느 정도 동일한 문제가 있습니다.

조직에서는 오늘날의 인터넷과 미래의 성능 및 보안 요구 사항을 충족하기 위해 DNS 솔루션을 새로운 관점에서 바라볼 필요가 있습니다.

성장과 보안의 과제를 해결하는 많은 조직들은 10년 이상 DNS와 글로벌 애플리케이션 제공을 위해 F5 Networks를 찾아왔습니다. F5 BIG-IP 글로벌 트래픽 관리자(GTM)는 역사적으로 가장 성능이 뛰어나고 가장 유연한 다중 사이트 애플리케이션 전송 기술이었습니다. 이제 F5는 글로벌, 로컬 및 클라우드 로드 밸런싱을 위한 완벽한 솔루션을 제공하는 동적 DNS를 위한 풀 프록시 아키텍처로 기술적 한계를 넓히고 있습니다.

여러 개의 데이터 센터와 기존 DNS 인프라를 갖춘 글로벌 기업의 경우, BIG-IP GTM은 F5의 고유한 DNS Express 기술을 사용한 글로벌 서버 부하 분산(GSLB)부터 전체 영역 서비스에 이르기까지 다양한 서비스를 제공합니다. DNSSEC 서명은 클라이언트가 악의적으로 리디렉션되는 것을 방지합니다.

기업의 경우, BIG-IP GTM은 아웃바운드 DNS 이름 확인, 캐싱 및 해결, DNSSEC 검증을 위한 중앙 클리어링 하우스 역할을 할 수 있습니다. DNS Express는 로컬 영역 확인을 확장하고 보안을 강화하며 가속화합니다.

물리적 및 가상 데이터 센터를 다양하게 조합하여 사용하는 조직의 경우, BIG-IP GTM은 데이터 센터 간 및 데이터 센터 내부에서 이름이 이동하는 방식을 민첩하게 제어할 수 있는 기능을 제공합니다. 퍼블릭 및 프라이빗 클라우드 환경에서 BIG-IP GTM Virtual Edition(VE)을 사용하면 기업은 원하는 대로 새로운 배포를 시작하고 유연한 글로벌 애플리케이션 가용성을 제공할 수 있습니다.

DNS를 통한 GSLB는 DNS가 응답당 여러 IP 주소를 처음 통합한 이래로 부하를 분산하는 방법으로 사용되어 왔습니다. 오늘날에도 많은 사이트는 여전히 라운드 로빈 DNS 응답 기술을 사용하여 서버와 애플리케이션에 트래픽을 분산하려고 시도합니다.

간단하고 유용하지만, 기본적인 라운드 로빈 DNS 부하 분산에는 두 가지 큰 약점이 있습니다. 첫째, 기존 DNS 서버는 애플리케이션 서버의 상태를 전혀 알지 못합니다. 이름이 네 개의 애플리케이션 서버 주소에 매핑되고 세 번째 서버가 다운된 경우, 제공된 연결의 25%가 거부됩니다. 두 번째로, 기존의 라운드 로빈 기술은 이름 자체를 쿼리하는 사용자의 프로필을 고려하지 않습니다. 즉, 사용자를 근처 데이터 센터에 매칭하는 기능이 없습니다.

BIG-IP Global Traffic Manager는 2002년부터 이러한 취약점을 해결하는 GSLB 솔루션을 제공해 왔습니다. 인터넷 사이트와 기업 데이터 센터는 높은 애플리케이션 가용성과 긍정적인 사용자 경험을 제공하는 고급 글로벌 서버 부하 분산을 위해 BIG-IP GTM을 활용하고 있습니다. 기업의 경우, BIG-IP GTM은 기본 애플리케이션의 상태를 고려하여 정상적인 서버에만 주소만 제공합니다. 여러 개의 데이터 센터가 있는 글로벌 인터넷 사이트의 경우 BIG-IP GTM은 각 애플리케이션에 대한 비즈니스 로직을 구현하는 정교한 로드 밸런싱 방법을 사용할 수 있습니다. 이 방법은 정적 또는 동적 비율을 사용하여 부하를 분산하는 우선순위 기반 선호도 목록처럼 간단할 수도 있고, 클라이언트 근접성 기반일 수도 있으며, 여러 요소와 입력을 사용하여 클라이언트에게 최적의 리소스를 선택하는 것처럼 복잡할 수도 있습니다. 이제 많은 조직이 지리적 위치 데이터를 사용하여 사용자를 가장 가까운 데이터 센터에 연결합니다. 사용자는 연결 불량이 줄어들고 더 풍부한 사용자 경험을 얻게 되며, 데이터 센터는 더 나은 글로벌 서버 로드 밸런싱을 얻게 됩니다.

과거에는 BIG-IP GTM이 지능적이지만 권한 없는 DNS 확인을 제공함으로써 GSLB를 제공했습니다. 새로운 DNS Express 기능은 세계 최고 수준의 고성능 권한 DNS 확인을 제공함으로써 이를 개선했습니다. 기존 DNS 서버에서 자체 RAM으로 영역 정보를 전송한 다음 모든 쿼리에 직접 응답함으로써 이를 수행합니다. DNS Express를 사용하면 새로운 관리 인프라가 필요 없이 BIG-IP GTM을 권한 있는 서버로 사용할 수 있습니다.

DNS Express 뒤에서 사용될 경우 DNS 서버는 단순히 DNS 관리를 위한 저장 및 관리 제어 지점이 됩니다. 즉, 필요한 서버의 수가 줄어듭니다. 다른 F5 제품과 마찬가지로 BIG-IP GTM은 ICSA Labs 인증 네트워크 방화벽이므로 DMZ 또는 방화벽 경계 외부에 배치할 수 있습니다.

BIG-IP GTM은 DNS 보안 경계에서 DDoS 공격으로부터 보호해주는 일련의 보안 서비스를 제공합니다. 예를 들어, BIG-IP GTM은 일반 DNS 서버보다 훨씬 뛰어난 성능을 확장하여 일반적인 분산형 UDP 플러드를 쉽게 완화합니다. 마찬가지로, 보다 진보된 쿼리 공격의 경우 DNS Express 기능은 NXDOMAIN DDoS 공격 중에도 모든 유효한 영역 항목을 유지하므로 일반적인 DNS 서버보다 성능이 우수할 수 있습니다.

2002년 글로벌 DNS 인프라에 대한 최초의 대규모 공격이 발생한 이래로 IP Anycast 기술은 다양한 종류의 DDoS 공격을 방어하는 데 중요한 방어 수단이 되었습니다. IP Anycast는 합법적인 트래픽이든 네트워크 공격이든 부하를 여러 장치, 특히 전 세계 여러 지역의 여러 데이터 센터에 분산시켜 DDoS 공격을 완화합니다. 이러한 방식은 글로벌 봇넷이 단일 대상에 화력을 집중할 수 없기 때문에 이를 저지하는 데 실패합니다.

BIG-IP GTM을 포함한 F5의 모든 TMOS 기반 제품에는 네트워크 공격을 완화하는 ICSA Labs 인증 네트워크 방화벽 기능이 포함되어 있습니다. BIG-IP 버전 11의 새로운 풀 프록시 아키텍처를 통해 BIG-IP GTM은 모든 DNS 쿼리에 대해 기본 프로토콜 유효성 검사를 수행할 수 있습니다. BIG-IP GTM은 DNS 대화의 양쪽을 모두 종료함으로써 잘못된 DNS 요청을 신속하게 제거할 수 있습니다.

DNS Express는 DNS 응답이 제공되는 방식에 혁명을 일으키고 있으며, F5는 기존 DNS 서버 부하 분산 솔루션도 계속 발전시키고 있습니다. BIG-IP GTM 버전 11.1은 BIG-IP GTM이 DNS 클라이언트의 요청과 DNS 서버의 응답을 프록시하여 최대의 제어를 제공하는 진정한 풀 프록시 인라인 기능을 도입했습니다.

이 새로운 전체 프록시 아키텍처는 조직에 캐싱, 확인, DNSSEC 서명 및 검증을 포함한 DNS 성능 및 보안 관련 서비스의 전체 세트를 제공할 수 있는 제어권을 제공합니다.

풀 프록시 아키텍처는 DNS 캐싱 및 확인을 통해 BIG-IP GTM이 단일 DNS 서버뿐만 아니라 전체 DNS 서버 풀에 대한 투명한 캐시 역할을 할 수 있음을 의미합니다. 단일 제어 지점에서 투명 캐싱을 실행하면 각 DNS 확인자의 개별 캐시보다 단일 BIG-IP GTM 캐시를 더 빠르게 채울 수 있으므로 응답 속도가 더 빨라집니다. 이를 통해 전반적인 성과가 향상되고, 궁극적으로 사용자 경험이 향상됩니다.

DNS는 일반적으로 고객이 조직의 데이터 센터에 연결할 때 취하는 첫 번째 단계이므로, DNS 응답을 하이재킹하는 공격(피싱 및 MITM 공격 등)은 자산을 손상시키는 가장 쉬운 방법입니다. DNS 응답 스푸핑은 공격자들에게 늘 인기 있는 수법이었으며, 재귀적 이름 서버에 대한 캐시 포이즈닝은 IT 커뮤니티가 처음 생각했던 것보다 훨씬 쉽습니다. 2008년 보안 연구원인 댄 카민스키는 DNS 메시지 식별자의 설계상의 결함을 공개했고, 그 결과 미국과 같은 고도의 보안 기관들은 국방부는 규정 준수를 위해 DNS 보안을 최우선 순위이자 필수 사항으로 삼았습니다.

F5의 DNSSEC 솔루션은 캐시 포이즈닝 공격 전반을 방어하고 피싱 및 MITM 위협을 완화합니다. 이를 통해 조직의 고객은 피싱 프록시가 아닌 실제로 자사의 데이터 센터에 접속하고 있다는 확신을 가질 수 있습니다. F5의 DNSSEC 서명 키는 최고 수준의 보안을 위해 변조 방지 기능이 있는 FIPS 140-2 레벨 3 하드웨어 보안 모듈(HSM)에 저장할 수 있습니다.

이름 확인 업계의 많은 사람들에게 DNSSEC 도입은 어렵고 느렸습니다. 특히, 일부 글로벌 서버 부하 분산 솔루션은 DNSSEC와 호환되지 않습니다. 대부분은 초기 참조 구현을 따르고 한 달에 한 번 전체 존에 정적으로 서명한 다음 미리 서명된 응답을 제공합니다. 하지만 정적으로 서명된 솔루션에는 문제가 있습니다(사이드바 참조).

F5의 동적 DNS 인프라는 더 뛰어난 접근 방식을 제공합니다.² BIG-IP GTM을 사용하면 DNSSEC과 GSLB가 공존합니다. BIG-IP GTM은 실시간으로 응답에 서명하므로 강력한 비대칭 암호화로 응답을 보호하면서도 GSLB의 모든 이점을 실현할 수 있습니다.

DNS Express와 함께 사용할 경우 BIG-IP GTM은 제공하는 모든 쿼리에 대한 응답에 서명합니다. 여기에는 자체 영역 정보, 다른 로컬 DNS 서버(DNSSEC을 사용하지 않을 수 있음) 및 BIG-IP GTM의 자체 캐싱 리졸버에서 제공하는 응답이 포함됩니다. BIG-IP GTM은 다른 서버에서 이미 서명한 응답에는 서명하지 않을 만큼 똑똑합니다. F5는 유일하게 완벽한 GSLB 및 DNSSEC 솔루션을 제공하며, 변조 방지 FIPS 140-2 레벨 3 하드웨어 키 보호 기능으로 서명 키를 보호할 수 있습니다.

정적으로 서명된 영역의 문제

• 관리자는 전체 영역이 다시 서명될 때까지 작은 영역 변경을 할 수 없습니다.
• 정적으로 서명된 영역은 고가용성을 보장하기 위해 애플리케이션 상태 모니터링을 활용할 수 없습니다.
• 지리적 위치와 같은 고급 클라이언트 자격 기술은 정적으로 서명된 환경에서는 지원되지 않습니다.
• GSLB 구현은 라우팅 결정을 내리기 위해 정적 DNSSEC을 중단합니다.

로컬 DNS(LDNS) 서비스는 기업 고객을 대신하여 아웃바운드 이름 쿼리를 해결합니다. LDNS는 이러한 기본 서비스를 제공함으로써 기업 관리자가 성능, 확장성, 보안을 관리하는 중앙 제어 지점이 될 수 있습니다.

• 성능. BIG-IP GTM 캐시와 리졸버가 채워지면 아웃바운드 DNS 쿼리를 80%까지 줄여 더 높은 성능과 더 나은 사용자 경험을 제공할 수 있습니다.
• 확장성. BIG-IP GTM 멀티 코어 아키텍처는 DNS Express와 함께 확장되어 가장 큰 규모의 기업 데이터 센터의 요구 사항도 충족할 수 있습니다.
• 보안. BIG-IP GTM은 암호화 집약적 서비스의 부담을 다른 내부 클라이언트와 DNS 서비스로부터 덜어내는 고성능의 즉석 DNSSEC 검증 솔루션을 제공합니다.

BIG-IP GTM의 전체 프록시 기능은 조직이 DNSSEC 응답을 검증하는 데 도움을 줄 수 있으며, 이를 위해 확인, 캐싱 및 DNS 응답 기능의 모든 조합에 대한 검증을 수행합니다. BIG-IP GTM은 각 쿼리를 수락하고 해결할 수 있을 뿐만 아니라 DNSSEC 응답의 유효성도 검증할 수 있습니다.

BIG-IP GTM을 통한 검증은 통신을 보호하고 클라이언트가 계산적으로 많은 비용이 드는 암호화 작업을 수행할 필요가 없도록 해주며, 캐싱은 후속 쿼리의 성능을 향상시킵니다. 여러 클라이언트가 동일한 DNS 확인을 요청하므로 모든 후속 클라이언트는 이미 캐시되고 검증된 응답을 받게 됩니다.

DNSSEC 솔루션은 마침내 인터넷을 보호할 수 있는 잠재력을 가지고 있습니다. 이제 .com 이름 루트가 서명되었으므로 마침내 고객이 은행에서 보낸 이메일이 실제로 은행에서 보낸 것인지 확인할 수 있는 글로벌 인프라가 마련되었습니다. 인터넷이 DNSSEC의 성장 문제를 극복해 나가면서 이 핵심 기술의 도입은 의무적인 연방 기관에만 국한되지 않고 다른 기관에도 현실이 될 것입니다.

DNSSEC 검증은 컴퓨팅 측면에서 많은 비용이 들 수 있으므로 대규모 기업에서는 내부 클라이언트가 원활하게 작동하도록 유지하기 위해 캐싱과 성능의 올바른 조합이 필요합니다.

BIG-IP GTM의 고성능 온보드 암호화 하드웨어는 DNSSEC 검증 계산의 부담을 덜어줍니다. BIG-IP GTM은 DNSSEC을 요청하지 않는 기존 클라이언트에 대해서도 DNSSEC 검증을 수행할 수 있으므로 전체 기업을 위한 투명한 즉시 사용 가능한 보안 솔루션입니다.

BIG-IP GTM에는 5초마다 DNS 서비스의 상태를 쿼리하는 새로운 애플리케이션 상태 모니터가 포함되어 있습니다. 모니터는 활성화된 사용 가능한 서버가 쿼리에 적절하게 응답하는지 확인합니다. 그런 다음 응답의 모든 측면을 평가하거나, 단순히 모든 응답을 감시할 수 있습니다.

DNS 상태 모니터의 유연성은 효과적으로 경로 모니터로 전환될 수 있다는 것을 의미합니다. 예를 들어, 관리자는 외부 이름이 확인되지 않는지 여부를 모니터링할 수 있습니다. 이러한 실패를 신호로 보내면 모니터는 기업 서버와 인터넷 사이 어딘가에 이름 끊김이 있음을 조직에 경고합니다.

오늘날 데이터 센터는 변화하고 있습니다. 일부 조직에서는 데이터 센터를 통합하고, 다른 조직에서는 새로운 가상 데이터 센터와 클라우드 배포를 사용하여 성장을 관리합니다. 그 외에도 관리형 서비스 호스팅과 인터넷 SaaS(소프트웨어 즉 서비스)를 결합하여 가상 애플리케이션을 제공하는 기업도 있습니다. BIG-IP GTM은 이러한 모든 아키텍처를 수용하는 솔루션을 제공합니다.

간단하고 강력한 클라우드 DNS 관리:

• 쿼리 관리 및 캐싱을 클라우드 배포로 확장합니다.
• DNS 쿼리가 최고의 클라우드로 효율적으로 라우팅되도록 보장합니다.
• DNS 캐싱과 빠른 애플리케이션 응답으로 생산성을 높입니다.

BIG-IP GTM을 사용하면 기업은 클라우드 배포 시 인바운드 DNS 및 글로벌 서버 부하 분산에 대한 단일 제어 지점을 확보할 수 있습니다. BIG-IP GTM의 가상 에디션(VE)은 VMware vSphere, Microsoft Hyper-V 및 Citrix XenServer 환경에 배포할 수 있습니다.³ 물리적 버전과 동일한 서비스를 제공합니다. 가상 환경 내부의 BIG-IP GTM VE는 가상 애플리케이션에 LDNS를 제공하고, 물리적인 BIG-IP GTM 독립형 장치는 외부적으로 가용성을 보장할 수 있습니다.

GSLB를 매력적인 솔루션으로 만드는 동일한 원칙이 가상 환경에도 적용됩니다. BIG-IP GTM을 사용하면 조직이 가상 데이터 센터의 애플리케이션으로 사용자를 라우팅하여 유연한 글로벌 애플리케이션 가용성을 쉽게 구현할 수 있습니다. DNS 상태 모니터는 가상 애플리케이션의 가용성을 보장합니다. BIG-IP GTM의 기본 DNS 인텔리전스는 사용자를 가장 많이 사용 가능한 클라우드 애플리케이션으로 안내하고, 가상으로 배포할 수 있는 다양한 클라우드로 안내합니다.

조직이 IPv6로 마이그레이션할 때 레거시 시스템, 고객 요구 사항, 호환성 등의 요인이 마이그레이션 속도에 영향을 미칩니다. 문제를 더욱 복잡하게 만드는 것은 일부 네트워크가 IPv6 전용이지만 IPv6를 지원하지 않는 인터넷 호스트나 레거시 서버 등 IPv4 리소스에도 액세스해야 한다는 것입니다. 많은 조직에서는 듀얼 스택을 지원할 수 없는 서브넷을 가지고 있으며, 이러한 격차를 메울 솔루션이 필요합니다.

F5의 풀 프록시 아키텍처는 네트워크의 전략적 제어 지점을 활용하여 IPv6 클라이언트와 IPv4 서버 간의 격차를 메우는 독특하고 매력적인 솔루션을 제공합니다.

BIG-IP Local Traffic Manager(LTM)의 NAT64 게이트웨이를 통한 네트워크 주소 변환은 애플리케이션 전달을 위한 IPv6에서 IPv4로의 프록시를 제공합니다. BIG-IP GTM의 DNS64 게이트웨이는 IPv6 주소를 자동으로 시뮬레이션하고 NAT64 프록시를 호출합니다.

조직에서는 네트워크에 이중 스택을 구현하지 않고도 IPv4 인프라에 계속 액세스할 수 있는 새로운 IPv6 전용 네트워크를 구축하기 위해 DNS64와 NAT64를 사용합니다. 네트워크 내에서 F5의 전략적 제어 지점은 이러한 솔루션을 구현하는 데 중요한 구성 요소입니다.

• LTE 모바일 기기에 대한 중요한 지원 제공
• IPv6와 IPv4 모두에 액세스하는 순수 IPv6 클라이언트 지원
• NAT64와 DNS64를 결합하여 자동 번역 제공

F5는 2002년부터 고성능 DNS 솔루션을 제공해 왔습니다. F5는 최신 DNS 기술을 통해 글로벌 애플리케이션 제공 분야에서 선두를 달리고 있습니다. 권한 있는 영역과 로컬 영역을 위한 DNS Express는 DNS 전달을 위한 최고의 성능을 제공하고 DNS DDoS 보호 기능을 추가합니다. BIG-IP GTM의 새로운 풀 프록시 아키텍처는 기업이 DNS 확인을 통해 민첩성을 극대화하고, 캐싱을 통해 성능을 극대화하고, 서명 및 검증을 통해 완벽한 DNS 보안을 확보할 수 있도록 지원합니다. 클라우드 서비스로 전환하는 조직의 경우 BIG-IP GTM VE는 프라이빗 클라우드와 가상 환경 내에서 유연성을 제공합니다. IPv6로 전환하는 조직의 경우, BIG-IP GTM의 DNS64는 전환 중에 IPv6와 IPv4의 세계를 성공적으로 연결합니다.

기업이 글로벌 데이터 센터 인프라를 보유하고 있든, 엔터프라이즈 데이터 센터를 보유하고 있든, 두 가지를 혼합한 형태와 프라이빗 또는 하이브리드 클라우드 서비스를 보유하고 있든, BIG-IP GTM 기반 솔루션은 기업이 전 세계에 애플리케이션을 보호하고, 확장하고, 제공하는 데 도움이 됩니다.