Contact Us
헤드 배너

DNS(Domain Name System) 보안

DNS 보안 아이콘

다수의 조직에서 내장된 보안 기능이 없는 DNS(Domain Name System) 서버는 캐시 중독(명명 서버의 캐시에 잘못된/허위 데이터를 주입하여 사용자에게 제공), 전화 통화 리다이렉팅, 중간자 공격을 통한 암호 탈취, 이메일 재전송, 서비스 공격 거부 등을 포함한 다양한 악성 공격을 되풀이하여 받을 위험에 처하게 됩니다.

DNSSEC(Domain Name Systems Security Extensions)는 수신된 메시지가 전송된 것과 동일함을 보장하기 위해 DNS 레코드를 디지털 방식으로 서명하여 DNS 서버 계층 구조를 안전하게 보호합니다.

DNSSEC를 정립한 조직은 다음과 같은 이점을 얻을 수 있습니다.

  • 보안 강화. DNS 보안은 캐시 중독, 전화 통화 리다이렉팅, 중간자 공격 등을 효과적으로 방지하는 데 도움을 줄 수 있습니다.

  • 규정 준수 보장. DNSSEC는 ICANN, NSEC 및 기타 의무 사항과 지침을 준수하도록 도와줍니다.

  • 비용 절감. 다양한 네트워크 기반 위협으로부터 안전하게 보호함으로써 조직은 그러한 위협 완화와 공격 후 분석 및 손해배상과 관련된 시간과 비용을 줄일 수 있습니다.


강력한 보안 없이는 DNS 보안이 손상될 수 있습니다.

녹색 암호화 키 아이콘

DNSSEC는 본질적으로 공개 키 인프라(PKI)를 구현하여 DNS 서버 간에 보안 통신 방법을 제공합니다. PKI로서 DNSSEC에는 키 생성, 서명, 키 관리 등과 같은 몇몇 새로운 절차가 필요합니다. 그러나 DNSSEC로부터 얻을 수 있는 가능한 모든 장점을 고려할 때, DNSSEC에 의해 도입된 리소스 레코드가 암호화되지 않은 파일에 보관되기 때문에 의도한 이점이 보장되지 않습니다.

전체 DNSSEC 인프라가 종합적이고 완전히 보호될 때만 조직이 DNSSEC의 장점을 완벽히 누릴 수 있습니다. 이를 위해서는 다음을 수행할 수 있는 역량을 갖추어야 합니다.

  • 보안 디지털 서명. DNS 서비스의 유효성을 보장하기 위해서는 DNS 메시지가 디지털 방식으로 서명되어야 합니다.

  • 액세스 제어. 조직은 권한이 있는 고객와 내부 직원만이 중요 애플리케이션 및 데이터에 액세스할 수 있도록 조치해야 합니다.

  • 애플리케이션 무결성 관리. 무결성을 보장하고 무단 애플리케이션 실행을 차단하기 위해서는 관련된 모든 애플리케이션 코드와 프로세스를 안전하게 보호해야 합니다.

  • 대용량 처리를 수용하도록 확장 가능. DNS 업데이트가 매우 빈번하게 이루어지므로 DNSSEC 인프라가 항상 적시의 처리에 필요한 성능과 확장성을 제공할 수 있어야 합니다.

View HSM를 사용하는 DNSSEC 자료실

하드웨어 보안 모듈을 사용한 DNS 보안

하드웨어 보안 모듈 아이콘

DNS 서비스의 유효성을 보장하기 위해서는 DNSSEC에 공개 키 암호화를 채택하여 DNS 메시지를 디지털 방식으로 서명해야 합니다. 필요한 보안을 실현하기 위해서는 강력한 프라이버시 서명 키 보호 방안이 필수적입니다. 키와 해당하는 디지털 인증서가 손상될 경우, DNS 계층 구조 내의 신뢰 사슬이 끊기고 전체 시스템이 더 이상 쓸모가 없게 됩니다. 하드웨어 보안 모듈(HSM)이 필요한 이유가 바로 여기에 있습니다.

HSM은 물리적 및 논리적으로 디지털 서명의 중추를 차지하는 암호화 키와 암호화 처리의 보안을 담당하는 전용 시스템입니다. HSM은 다음의 기능을 지원합니다.

  • 수명 주기 관리 - 키 생성, 배포, 회전, 저장, 해지, 보관을 포함.

  • 암호화 처리 - 애플리케이션 서버로부터 암호화 처리의 격리와 오프로드를 통해 두 가지 방식의 이득을 제공.

강화된 중앙 집중식 장치에 암호화 키를 저장함으로써 HSM은 보안 수준이 낮은 이종 플랫폼에 이러한 자산이 저장될 경우 발생할 수 있는 위험을 없앨 수 있습니다. 또한 이러한 중앙 집중화는 보안 관리의 능률을 크게 개선해줍니다.

SafeNet HSM을 사용한 DNS 보안 다이어그램


[다이어그램] 작동 방식 보기: SafeNet HSM을 사용한 DNS 보안

DNSSEC용 SafeNet HSM:

  • DNSSEC 신뢰의 닻 시스템 지원

  • 루트 및 전체 DNS 계층 구조를 위한 키 보안-ZSK 및 KSK

  • DNS 서버의 암호화 부담을 덜어주는 강력한 암호화 엔진

  • 여러 DNSSEC 요건에 부합하는 폭넓은 HSM

  • PKCS#11, Java, MS CAPI를 포함한 표준 API

  • FIPS 검증 및 CC(Common Criteria) 인증 모델 제공

  • OpenDNSSEC, BIND 9.7, FreeBSD 등 업계를 선도하는 DNS 플랫폼과 통합

HSM 제품 정보 보기 추가 정보 요청


View 구매 문의 자료실

영업문의 시, 이 양식을 사용하세요.

미국
전화 : :866-251-4269
간단한 양식을 작성해주세요
유럽, 중동 및 아프리카
전화:+44-01276-608000
간단한 양식을 작성해주세요
아시아 태평양
전화: 866-251-4269
간단한 양식을 작성해주세요

미연방 영업 타입1
전화: 443-327-1235
간단한 양식을 작성해주세요

사무실 위치
파트너사 찾기
주문조회? 연락처 보기
View 개요 자료실
DNS Hierarchy
CTA HSM Critical Risk Mgmt WP