이 문서에서는 DNS 보안 정책에 대한 개요를 제공합니다. 또한 다음 방법 가이드를 참조하세요.
어떤 DNS 보안 정책인가요?
DNS 보안 정책은 VNet(가상 네트워크) 수준에서 DNS 쿼리를 필터링하고 기록하는 기능을 제공합니다. 정책은 VNet 내의 공용 및 프라이빗 DNS 트래픽 모두에 적용됩니다. DNS 로그는 스토리지 계정, 로그 분석 작업 영역 또는 이벤트 허브로 보낼 수 있습니다. DNS 쿼리를 허용, 경고 또는 차단하도록 선택할 수 있습니다.
DNS 보안 정책을 사용하면 다음을 수행할 수 있습니다.
- 알려진 도메인 또는 악성 도메인의 이름 확인을 차단하여 DNS 기반 공격으로부터 보호하는 규칙을 만듭니다.
- 자세한 DNS 로그를 저장하고 확인하여 DNS 트래픽에 대한 인사이트를 얻습니다.
DNS 보안 정책에는 다음과 같은 연결된 요소 및 속성이 있습니다.
- 위치: 보안 정책을 만들고 배포하는 Azure 지역입니다.
- DNS 트래픽 규칙: 우선 순위 및 도메인 목록에 따라 허용, 차단 또는 경고하는 규칙입니다.
- 가상 네트워크 링크: 보안 정책을 VNet에 연결하는 링크입니다.
- DNS 도메인 목록: DNS 도메인의 위치 기반 목록입니다.
AZURE PowerShell 또는 Azure Portal을 사용하여 DNS 보안 정책을 구성할 수 있습니다.
위치
보안 정책은 동일한 지역의 VNet에만 적용할 수 있습니다. 다음 예제에서는 서로 다른 두 지역(미국 동부 및 미국 중부)에 두 개의 정책이 만들어집니다.
중요합니다
policy:VNet 관계는 1:N입니다. VNet이 보안 정책(가상 네트워크 링크를 통해 )과 연결된 경우 기존 가상 네트워크 링크를 먼저 제거하지 않고는 해당 VNet을 다른 보안 정책과 연결할 수 없습니다. 단일 DNS 보안 정책은 동일한 지역의 여러 VNet과 연결할 수 있습니다.
DNS 트래픽 규칙
DNS 트래픽 규칙은 DNS 쿼리에 대해 수행되는 작업을 결정합니다.
Azure Portal에서 DNS 트래픽 규칙을 표시하려면 DNS 보안 정책을 선택한 다음 설정에서 DNS 트래픽 규칙을 선택합니다. 다음 예제를 참조하십시오.
- 규칙은 100-65000 범위의 우선 순위 순서로 처리됩니다. 숫자가 낮을수록 우선 순위가 높습니다.
- 도메인 이름이 낮은 우선 순위 규칙에서 차단되고 더 높은 우선 순위 규칙에서 동일한 도메인이 허용되는 경우 도메인 이름이 허용됩니다.
- 규칙은 DNS 계층 구조를 따릅니다. 더 높은 우선 순위 규칙에서 contoso.com 허용되는 경우 우선 순위가 낮은 규칙에서 sub.contoso.com 차단된 경우에도 sub.contoso.com 허용됩니다.
- "." 도메인에 적용되는 규칙을 만들어 모든 도메인에서 정책을 구성할 수 있습니다. 필요한 Azure 서비스를 차단하지 않도록 도메인을 차단할 때는 주의해야 합니다.
- 목록에서 규칙을 동적으로 추가하고 삭제할 수 있습니다. 포털에서 규칙을 편집한 후 저장 해야 합니다.
- 규칙당 여러 DNS 도메인 목록이 허용됩니다. DNS 도메인 목록이 하나 이상 있어야 합니다.
- 각 규칙은 허용, 차단 또는 경고의 세 가지 트래픽 작업 중 하나와 연결됩니다.
- 허용: 연결된 도메인 목록에 대한 쿼리를 허용하고 쿼리를 기록합니다.
- 차단: 연결된 도메인 목록에 대한 쿼리를 차단하고 블록 작업을 기록합니다.
- 경고: 연결된 도메인 목록에 대한 쿼리를 허용하고 경고를 기록합니다.
- 규칙은 개별적으로 사용하거나 사용하지 않도록 설정할 수 있습니다.
가상 네트워크 링크
DNS 보안 정책은 보안 정책에 연결된 VNet에만 적용됩니다. 단일 보안 정책을 여러 VNet에 연결할 수 있지만 단일 VNet은 하나의 DNS 보안 정책에만 연결할 수 있습니다.
다음 예제에서는 두 VNet(myeastvnet-40, myeastvnet-50)에 연결된 DNS 보안 정책을 보여 줍니다.
- 보안 정책과 동일한 지역에 있는 VNet만 연결할 수 있습니다.
- 가상 네트워크 링크를 사용하여 VNet을 DNS 보안 정책에 연결하면 DNS 보안 정책이 VNet 내의 모든 리소스에 적용됩니다.
DNS 도메인 목록
DNS 도메인 목록은 트래픽 규칙에 연결하는 DNS 도메인의 목록입니다.
DNS 보안 정책의 설정에서 DNS 도메인 목록을 선택하여 정책과 연결된 현재 도메인 목록을 봅니다.
참고 항목
CNAME 체인은 도메인과 연결된 트래픽 규칙을 적용해야 하는지 여부를 확인하기 위해 검사됩니다("chased"). 예를 들어 malicious.contoso.com 적용되는 규칙은 adatum.com malicious.contoso.com 매핑 되거나 adatum.comCNAME 체인의 아무 곳에나 malicious.contoso.com 표시되는 경우에도 adatum.com 적용됩니다.
다음 예제에서는 DNS 보안 정책 myeast-secpol과 연결된 DNS 도메인 목록을 보여줍니다.
도메인 목록을 여러 보안 정책의 여러 DNS 트래픽 규칙에 연결할 수 있습니다. 보안 정책에는 도메인 목록이 하나 이상 포함되어야 합니다. 다음은 두 개의 도메인(malicious.contoso.com, exploit.adatum.com)을 포함하는 DNS 도메인 목록(blocklist-1)의 예입니다.
- DNS 도메인 목록에는 하나 이상의 도메인이 포함되어야 합니다. 와일드카드 도메인이 허용됩니다.
중요합니다
와일드카드 도메인 목록을 만들 때는 주의해야 합니다. 예를 들어 DNS 도메인으로 입력 . 하여 모든 도메인에 적용되는 도메인 목록을 만든 다음 이 도메인 목록에 대한 쿼리를 차단하도록 DNS 트래픽 규칙을 구성하는 경우 필요한 서비스가 작동하지 않도록 할 수 있습니다.
Azure Portal에서 DNS 도메인 목록을 볼 때 연결된 DNS 트래픽 규칙 설정을>선택하여 모든 트래픽 규칙 목록과 DNS 도메인 목록을 참조하는 관련 DNS 보안 정책을 볼 수도 있습니다.
요구 사항 및 제한 사항
| 제한 유형 | 제한/규칙 |
|---|---|
| 가상 네트워크 제한 사항 | - DNS 보안 정책은 DNS 보안 정책과 동일한 지역의 VNet에만 적용할 수 있습니다. - VNet당 하나의 보안 정책을 연결할 수 있습니다. |
| 보안 정책 제한 | 1000 |
| DNS 트래픽 규칙 제한 | 10 |
| 도메인 목록 제한 | 1000 |
| 도메인 제한 | 100,000 |