범용 DNSSEC
DNS 취약성으로부터 도메인을 보호하세요. 무료입니다.
DNSSEC는 DNS의 신뢰와 무결성을 개선합니다. 인터넷의 전화번호부라고 언급되기도 하는 DNS는 도메인 이름을 숫자 인터넷 주소로 바꿉니다. 하지만, 본질적으로 DNS는 안전하지 않은 프로토콜입니다. DNS 레코드의 출처를 보장하지 않고 주어진 주소를 모두 받아들이며 아무것도 묻지 않습니다.
Cloudflare는 사용이 편리한 DNSSEC를 제공하며 설정하는 데 몇 분밖에 걸리지 않습니다.
DNSSEC란 무엇입니까?
DNSSEC는 암호화 서명을 통해 DNS 레코드를 확인하여, 이 과정을 거치지 않았다면 안전하지 않았을 프로토콜에 보안 계층을 더해줍니다. DNS 확인자는 레코드와 관련된 서명을 점검하여 요청한 정보가 중간자 공격자가 아닌 신뢰할 수 있는 이름 서버에서 온 것인지 확인할 수 있습니다. DNSSEC를 사용하면 도메인을 방문하는 사람들이 다른 사람의 웹 서버가 아닌 여러분의 웹 사이트에 있는 콘텐츠를 보도록 보장할 수 있습니다.
DNSSEC 작동 방식을 자세히 알아보세요.
DNSSEC는 왜 중요할까요?
잘 알려져 있는 Kaminsky 공격과 같이,
DNS 캐시 중독 및 응답 위조는
DNS가 생겼을 때부터 글로벌 DNS 인프라에서
알려져 있었던 취약성이었습니다.
캐시 중독은 공격자가 잘못된 레코드를 저장하도록
DNS 이름 서버를 속이는 경우에 발생합니다.캐시 항목이
만료될 때까지 해당 이름 서버는 요청하는 모든 사람에게
가짜 DNS 레코드를 반환합니다.
이렇게 하면 웹 사이트로 향하는 트래픽을 공격자가 가로챌 수 있습니다. 방문자가
웹 브라우저에 도메인을 입력하면, 여러분의 웹 사이트로 연결되는 대신에
무언가 잘못되었다는 것도 알지 못한 채 다른 서버로 라우팅되는 것입니다.
공격자는 피싱을 계획하고,
원치 않는 광고를 제공하며, 웹 트래픽을 모니터링하고, 특정 도메인에 대한
액세스를 차단하는 데 DNS 하이재킹을 이용할 수 있습니다.
웹 사이트의 무결성과 평판을 신경쓰고 있다면,
DNSSEC를 고려해야 합니다.
범용 DNSSEC 소개
DNSSEC는 암호화 서명을 통해 DNS 레코드를 확인하여, 이 과정을 거치지 않았다면
안전하지 않았을 프로토콜에 보안 계층을 더해줍니다. DNS 확인자는 레코드와
관련된 서명을 점검하여 요청한 정보가 중간자 공격자가 아닌 신뢰할 수 있는
이름 서버에서 온 것인지 확인할 수 있습니다. DNSSEC를 사용하면 도메인을 방문하는 사람들이
다른 사람의 웹 서버가 아닌 여러분의 웹 사이트에 있는 콘텐츠를 보도록 보장할 수
있습니다.
Universal DNSSEC를 사용하면 웹 자산에 다음과 같은 이점이 있습니다.
- DNS 중간자 공격으로부터 보호
- DNS 영역 열거로부터 보호
- .bank, .trust, .gov TLD 요건을 충족할 사용자 친화적 솔루션
DNSSEC는 루트 DNS 이름 서버까지의 모든 경로에 신뢰 체인을 마련해 중간자
공격을 방지합니다. 이 신뢰 체인은
방문자가 요청한 DNS 레코드가 도중에 변조되지 않았음을 보장해줍니다.
Cloudflare가 DNSSEC를 고유하게 구현 시, 타원 곡선 암호학을
활용하여 공격자가 영역을 탐색하고 프라이빗 DNS 레코드를 검색하는 것을 방지합니다.
.bank 및 .trust와 같은 최상위 도메인(TLD)은방문자에게 신뢰를
전달하도록 설계되었습니다. 도메인 소유자가 DNSSEC 등 다양한 보안 프로토콜을
따르도록 요구하여 신뢰를 전달합니다.
직접 DNSSEC를 구현하기는 어려우며 오류가 발생하기 쉬운
과정이 될 수 있습니다. Cloudflare에서는 몇 번의 클릭만으로 DNSSEC 요건을
충족할 수 있습니다.
대규모 DNSSEC
Cloudflare는 DNSSEC를 통해 하루에 수십억 건의 요청을 보호합니다. 매주
수억 명이 DNS 캐시 중독 및 중간자 공격으로부터 보호되고 있는 것입니다.
범용 DNSSEC는 세계 최대 규모의 DDoS 공격을 견뎌낸
Cloudflare 네트워크를 기반으로 구축되었습니다. Cloudflare는
DNSSEC 구현이 DDoS 증폭 공격에
악용되지 않도록 특별한 예방 조치까지 취해 놓았습니다.
웹사이트가 공격을 받고 있더라도 DNS 레코드가 빠르고 효율적으로 방문자에게 반환된다는 점을
믿을 수 있습니다.
Cloudflare는 Montecito Bank & Trust가 도메인을 보호하고 .bank 확장자 요건을 충족하도록 도왔습니다. 자세히 알아보려면 사례 연구를 읽어보세요.
Cloudflare는 DNSSEC를 쉽게 만듭니다
이제 Cloudflare의 모든 웹 사이트에서 DNSSEC를 무료로 사용할 수 있습니다. 고객의 영역에 서명하고 키를 관리하는 어려운 작업은 Cloudflare가 모두 처리합니다. 몇 번의 클릭만으로 DNS 위조로부터 도메인을 보호할 수 있습니다. Cloudflare 대시보드에서 DNSSEC를 활성화하고 등록 기관에 DNS 레코드 하나를 추가하기만 하면 됩니다.
- Cloudflare 대시보드에 로그인합니다.
- DNS 앱을 엽니다.
- DNSSEC 모듈까지 아래로 스크롤합니다.
- DNSSEC 사용을 클릭합니다.
- 등록 기관에 DS 레코드를 추가하는 방법을 설명하는 지침이 팝업으로 열립니다.
- DS 레코드를 복사하여 등록 기관의 대시보드에 붙여넣습니다.
등록 기관이 DS 레코드를 게시하면 도메인에서 DNSSEC가 활성화됩니다. 타사 DNSViz 도구를 사용하여 DNSSEC 구성을 확인할 수 있습니다.
범용 DNSSEC는 Universal SSL, 글로벌 CDN, 자동 WCO(웹 콘텐츠 최적화) 등 다른 Cloudflare 보안 및 성능 주요 기능 모두와 원활하게 작동하도록 설계되었습니다.
Cloudflare 설정은 간단합니다
도메인 설정에는 5분도 걸리지 않습니다. 호스팅 공급자나 코드를 변경할 필요도 없습니다.
수백만 개의 인터넷 자산이 신뢰합니다
