DNSSEC
소프트웨어에서도 DNSSEC를 구현할 수는 있지만 공격자는 서명 키에 대한 액세스 권한을 얻고 DNS 쿼리 프로세스를 손상시킬 수 있습니다.
도메인 이름 시스템(DNS)은 사실상 인터넷의 주소록입니다. DNS를 통해 웹사이트 이름을 등록된 해당 IP 주소와 일치시킬 수 있습니다. 그러나 웹 쿼리를 불법으로 변경하면 최종 사용자 또는 서비스가 불법 IP 주소를 가리키고 데이터 도난을 목적으로 불법 서버로 라우팅할 수 있습니다. 이 위협에 대응하여 Domain Name System Security Extensions(DNSEC)가 만들어졌습니다. DNSSEC는 서버가 디지털 서명을 사용하여 쿼리에 대한 DNS 응답의 무결성을 인증하고 확인하는 메커니즘입니다.
과제
DNSSEC 관련 위험
- DNS 프로세스에 대한 액세스 권한을 얻은 공격자는 정상 사이트인 것처럼 가장한 가짜 사이트로 고객을 유인하여 개인정보를 제공하도록 유도할 수 있습니다.
- 소프트웨어에서도 DNSSEC를 구현할 수는 있지만 공격자는 서명 키에 대한 액세스 권한을 얻고 DNS 쿼리 프로세스를 손상시킬 수 있습니다.
솔루션
DNSSEC: Entrust nShield HSM 솔루션
Entrust의 제품 및 서비스를 통해 비즈니스와 고객의 정보를 보호하는 동시에 비즈니스에 필요한 성능을 제공하는 고수준 보안 보장 DNSSEC 프로세스를 배포할 수 있습니다. nShield 하드웨어 보안 모듈(HSM)은 최상위 도메인(TLD), 등록 기관, 레지스트리 및 기업이 인터넷상에서 DNSSEC 응답의 무결성을 검증하는 데 사용되는 매우 중요한 서명 프로세스를 보호하고 통상 "캐시 중독" 및 "중간자" 공격으로 일컬어지는 것으로부터 DNS를 보호할 수 있습니다. Entrust 솔루션은 검증되고 감사 가능한 보안상의 이점을 제공하여 서명 키의 적절한 생성 및 저장을 가능케 함으로써 DNSSEC 검증 프로세스의 무결성을 보장할 수 있도록 합니다.
Entrust nShield 관리 이점
Entrust nShield HSM이 제공하는 이점
- 독립적으로 인증된 HSM(FIPS 140-2 레벨 3 및 공통 기준 EAL4+)을 사용하여 DNSSEC 검증 프로세스의 무결성을 보장합니다.
- 강력한 변조 방지 하드웨어 경계와 검증된 감사 가능한 메커니즘을 유지하여 중요한 서명 키(보관된 경우에도 해당)도 보호할 수 있습니다.
- 강력한 액세스 제어를 통해 업무 분리를 시행하여 단일 "슈퍼 사용자"의 위협을 완화하고 규정 준수를 촉진합니다.
- 무제한 키 저장소, 안전한 백업 및 복구, 강력한 암호화 가속화를 통해 고가용성을 달성하고 DNS 서버 성능을 향상합니다.
리소스
솔루션 요약: DNSSEC 배포용 서명 키 보안
Entrust nShield HSM을 사용하면 최상위 도메인, 등록 기관, 레지스트리 및 기업이 인터넷상에서 DNSSEC 응답의 무결성을 검증하는 데 사용되는 매우 중요한 서명 키를 보호하고 캐시 중독 및 중간자 공격으로부터 DNS를 보호할 수 있습니다. 솔루션 요약을 다운로드하여 자세히 알아보십시오.