개요
ZTDNS(Zero Trust DNS)는 엔터프라이즈 IT 관리자가 Windows 엔드포인트에서 도메인 이름 기반 네트워크 액세스 제어를 기본적으로 적용할 수 있도록 하는 보안 기능입니다. 엔터프라이즈 Windows 디바이스가 신뢰할 수 있는 네트워크 대상과만 통신하도록 해야 하는 중요한 필요성을 해결하여 맬웨어 통신에서 데이터 반출에 이르는 다양한 네트워크 공격의 위험을 줄입니다.
ZTDNS는 기본적으로 Windows 디바이스에서 모든 아웃바운드 IP 트래픽을 차단하고 신뢰할 수 있는 DNS 서버에서 확인하거나 엔터프라이즈 IT 관리자가 명시적으로 승인한 대상에 대한 IP 트래픽만 허용하는 Windows DNS 클라이언트의 향상된 기능입니다. 정책 인식 PDNS(보호 DNS) 서버와 쌍을 이루는 경우 ZTDNS는 Windows 디바이스의 정책 적용 지점 역할을 합니다. 이 방법을 사용하면 아웃바운드 트래픽과 연결된 도메인 이름을 확인하려고 할 때 일반 텍스트 DNS 또는 SNI(서버 이름 표시)와 같은 안전하지 않은 신호에 대한 심층 패킷 검사 또는 의존도가 줄어듭니다. 제로 트러스트 원칙에 따라 ZTDNS는 "기본적으로 거부 및 제한된 시간 동안 예외 허용" 접근 방식을 따릅니다.
Zero Trust DNS 작동 방식
ZTDNS는 Windows DNS 클라이언트를 WFP(Windows 필터링 플랫폼)와 통합하여 도메인 이름 기반 네트워크 잠금을 사용하도록 설정하여 작동합니다. Windows 디바이스에서 HTTPS(DoH) 또는 TLS(DoT)를 통한 DNS를 지원하는 PDNS 서버를 사용하도록 ZTDNS를 구성하는 경우 시스템은 다음을 보장합니다.
- 암호화된 DNS 적용: Windows DNS 클라이언트는 암호화된 DNS를 강제로 사용하고 구성된 PDNS 서버에만 쿼리를 보냅니다.
- 승인된 트래픽만: 아웃바운드 트래픽은 이러한 신뢰할 수 있는 PDNS 서버에서 해결한 IP 주소 또는 엔터프라이즈 IT 관리자가 구성한 수동 예외가 있는 IP 범위에만 허용됩니다.
- 기본 거부: 다른 모든 IPv4 및 IPv6 아웃바운드 트래픽은 기본적으로 차단되며 제로 트러스트
- 연결 로깅: 디바이스는 모니터링 및 문제 해결을 위해 시도된 아웃바운드 연결의 포괄적인 로그를 유지 관리합니다.
Windows 디바이스에서 ZTDNS가 구성된 경우 트래픽 흐름 프로세스
초기 잠금: Windows는 구성된 보호 DNS 서버에 대한 연결, 명시적으로 허용된 IP 범위 및 필수 네트워크 검색 트래픽(DHCP, DHCPv6 및 NDP)을 제외한 모든 아웃바운드 IPv4 및 IPv6 트래픽을 차단합니다.
DNS 확인: 애플리케이션이 대상에 연결해야 하는 경우 암호화된 채널(DoH 또는 DoT)을 통해 신뢰할 수 있는 PDNS 서버를 쿼리합니다.
동적 허용 목록: IP 주소 확인 트리거 아웃바운드를 포함하는 PDNS 서버의 DNS 응답은 지정된 시간 동안 해당 특정 IP 주소에 대한 예외를 허용합니다.
트래픽 적용: 애플리케이션은 확인된 IP 주소에 연결할 수 있으며, 수동 예외 목록에 있지 않으면 다른 IP 주소에 대한 연결이 차단됩니다.
보안 이점
ZTDNS는 다양한 네트워크 기반 위협을 해결하여 상당한 보안 이점을 제공합니다.
DNS 하이재킹 보호
신뢰할 수 있는 PDNS 서버의 DNS 확인만 사용되도록 함으로써 ZTDNS는 악의적인 행위자가 DNS 하이재킹 공격을 통해 악의적인 사이트로 트래픽을 리디렉션하지 못하도록 방지합니다.
악의적인 통신 방지
신뢰할 수 있는 DNS 쿼리를 통해 확인된 IP 주소에 대한 아웃바운드 연결만 허용하면 피싱 시도를 방해하고 비관리 맬웨어 스테이머 및 비콘이 명령 및 제어 서버와 통신하지 못하도록 방지할 수 있습니다.
데이터 반출 완화
아웃바운드 트래픽을 승인된 도메인으로 제한하면 도메인 이름 확인 패턴을 분석할 필요 없이 중요한 데이터가 무단 대상으로 전송될 위험이 줄어듭니다.
엔드 투 엔드 암호화 지원
일반 텍스트 신호 또는 심층 패킷 검사를 사용하는 기존 네트워크 필터링과 달리 ZTDNS는 DNS 트래픽 및 SNI가 암호화되어 미래 지향적인 보안 제어를 제공하는 경우에도 효과적입니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 Zero Trust DNS(ZTDNS)를 지원하는 Windows 버전이 나와 있습니다.
| Windows 11 Home | Windows 11 Pro | Windows 11 Enterprise | Windows 11 Education |
|---|---|---|---|
| 아니오 | 아니오 | 예 | 예 |
ZTDNS(Zero Trust DNS) 라이선스 자격은 다음 라이선스에 의해 부여됩니다.
| Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|
| 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.