DNS Security Extensions(DNSSEC) 개요

Domain Name System Security Extensions(DNSSEC)는 도메인 이름 조회에 대한 응답을 인증하는 DNS(도메인 이름 시스템) 기능입니다. DNSSEC는 이러한 조회에 대해 개인정보 보호를 제공하지 않지만 공격자가 DNS 요청에 대한 응답을 조작 또는 악성 처리하는 것을 방지합니다.

스푸핑 및 악성 공격으로부터 도메인을 보호하려면 다음 위치에서 DNSSEC를 사용 설정하고 구성합니다.

  1. DNS 영역입니다. 영역에 DNSSEC를 사용 설정한 경우 Cloud DNS가 DNSSEC 키(DNSKEY 레코드) 생성 및 순환과 리소스 레코드 디지털 서명(RRSIG) 레코드를 사용한 영역 데이터 서명을 자동으로 관리합니다.

  2. 최상위 도메인(TLD) 레지스트리(example.com의 경우 .com)입니다. TLD 레지스트리에 해당 영역의 DNSKEY 레코드를 인증하는 DS 레코드가 있어야 합니다. 이를 위해서는 도메인 등록기관에서 DNSSEC를 활성화하면 됩니다.

  3. DNS 리졸버 완벽한 DNSSEC 보호를 위해서는 DNSSEC 서명 도메인에 대한 서명을 검증하는 DNS 리졸버를 사용해야 합니다. 네트워크의 DNS 서비스의 관리자인 경우 개별 시스템 또는 로컬 캐싱 리졸버에 대해 검증을 사용 설정할 수 있습니다.

    DNSSEC 유효성 검사에 대한 자세한 내용은 다음 리소스를 참조하세요.

    DNSSEC, 특히 Google Public DNSVerisign Public DNS의 유효성을 검사하는 공개 리졸버를 사용하도록 시스템을 구성할 수도 있습니다.

두 번째 사항은 DNSSEC가 작동할 수 있는 도메인 이름을 제한합니다. 등록기관 및 레지스트리 모두는 사용 중인 TLD의 DNSSEC를 지원해야 합니다. 도메인 등록기관을 통해 DS 레코드를 추가하여 DNSSEC를 활성화할 수 없으면 Cloud DNS에서 DNSSEC를 사용 설정해도 아무런 효과가 없습니다.

DNSSEC를 사용 설정하기 전에 다음 리소스를 확인하세요.

  • 도메인 등록기관 및 TLD 레지스트리 모두에 대한 DNSSEC 문서
  • Google Cloud 커뮤니티 가이드의 도메인 등록기관별 안내
  • 도메인 등록기관 DNSSEC 지원의 ICANN 목록을 통해 도메인의 DNSSEC 지원을 확인합니다.

TLD 레지스트리가 DNSSEC를 지원하지만 등록기관이 DNSSEC를 지원하지 않는 경우(또는 해당 TLD에 대해 지원하지 않는 경우) 지원하는 다른 등록기관으로 도메인을 전송할 수 있습니다. 해당 프로세스가 완료되면 도메인에 DNSSEC를 활성화할 수 있습니다.

관리 작업

DNSSEC 관리에 대한 단계별 안내는 다음 리소스를 참조하세요.

DNSSEC에 의해 강화되는 레코드 모음 유형

레코드 집합 유형과 기타 레코드 유형에 대한 자세한 내용은 다음 리소스를 참조하세요.

  • 도메인의 TLS 또는 기타 인증서를 생성할 수 있는 Public Certificate Authority(CA)를 제어하려면 CAA 레코드를 참조하세요.

  • IPsec 터널을 통해 상황별 암호화를 사용 설정하려면 IPSECKEY 레코드를 참조하세요.

DNSSEC 보안 영역이 있는 DNS 레코드 유형

DNS 레코드 유형 및 기타 레코드 유형에 대한 자세한 내용은 다음 리소스를 참조하세요.

  • SSH 클라이언트 애플리케이션이 SSH 서버의 유효성을 검사하도록 사용 설정하려면 SSHFP 레코드를 참조하세요.

DNSSEC 사용 설정 영역의 마이그레이션 또는 전송

Cloud DNS는 신뢰 체인을 중단하지 않고 DNSSEC가 도메인 레지스트리에서 활성화되는 DNSSEC 사용 설정 영역의 마이그레이션을 지원합니다. 또한 마이그레이션을 지원하는 다른 DNS 운영자에 대해 영역을 마이그레이션할 수 있습니다.

기존 도메인이 등록기관에서 호스팅되는 경우 다른 등록기관으로 전송하기 전 네임서버를 Cloud DNS로 마이그레이션하는 것이 좋습니다.

다음 단계