Akamai Diversity

Akamai 블로그

DNS 플래그 데이(DNS Flag Day)와 Akamai

flag day one.png

존 리드(Jon Reed) & 배리 그린(Barry Greene) 공저


DNS Flag Day는 최신 DNS 기능 도입을 홍보하고 표준을 준수하지 않는 서버가 인터넷의 글로벌 성능에 부정적인 영향을 미치지 않도록 보장하기 위한 업계 이벤트입니다. 2019 DNS Flag Day를 통해 EDNS0(RFC 6891) 확장 규정을 완전히 지원하지 않는 서버와 관련된 많은 임시 해결책(workarounds)이 제거될 것입니다.

Akamai는 자사의 모든 DNS 권한 및 리졸버 제품과 서비스의 규정 준수를 보장하기 위해 DNS Flag Day를 적극적으로 지원하고 홍보해 왔습니다. Akamai의 Fast DNSGlobal Traffic Management, DNSi AuthX, DNSi AuthServe(구 Nominum ANS), DNSi AnswerX CloudSPS(Security and Personalization Services)ETP(Enterprise Threat Protection)  서비스는 모두 EDNS0(RFC 6891)을 준수합니다.

2019 DNS Flag Day는 2019년 2월 1일로 예정되어 있습니다.  이 날에 주요 퍼블릭 DNS 사업자(Google 퍼블릭 DNS, OpenDNS 포함)는 EDNS0(RFC 6891) 확장 규정을 제대로 구현하지 않은 권한 서버에 이미 배치된 임시 해결책을 비활성화할 것입니다. 

Akamai의 권한 DNS 제품은 이 변경으로 인해 영향을 받지 않습니다. Akamai의 권한 DNS 제품에는 Fast DNS 및 Global Traffic Management가 포함됩니다.  Akamai는 오랫동안 RFC 6891의 모든 요구사항을 완벽하게 준수해 왔습니다.

Akamai 리졸버 DNS 제품은 DNS Flag Day로 인해 변경되지 않습니다. EDNS0 미준수에 대한 임시 해결책은 Akamai의 DNS 리졸버 제품에서 계속 유지될 것이고 EDNS 미준수 응답에 대응할 것입니다. Akamai의 DNS 리졸버 제품에는 DNSi(구 Nominum Cacheserve 및 AnswerX), DNSi AnswerX CloudETP(Enterprise Threat Protection)가 포함됩니다. 모든 제품은 RFC 6891을 준수합니다.


무엇이 바뀌게 되나요?

거의 20년 전에 처음 도입된 DNS 확장 메커니즘 버전 0(EDNS0)은 DNS 프로토콜의 중대한 변화를 가져왔습니다.  처음에는 다수의 DNS 서버 제품이 EDNS0 쿼리를 처리하지 못했고 전혀 응답하지 않거나 잘못 응답했습니다.  EDNS0 도입을 촉진할 목적으로 많은 리커시브 리졸버 구현 제품에 다양한 임시 해결책이 적용되어 권한 DNS 서버가 EDNS0을 지원하는지 여부를 판별하고 그에 따라 쿼리를 조정했습니다.  대부분의 퍼블릭 DNS 사업자는 2월 1일부터 이 임시 해결책을 비활성화시킵니다.  또한, 2월 1일이나 그 이후에 출시되는 가장 인기 있는 리커시브 DNS 서버 제품군의 서버는 이 임시 해결책을 더 이상 지원하지 않습니다.  결과적으로 DNS0을 완전히 지원하지 않는 서버에서 호스팅되는 도메인은 접속이 불가능하거나 성능 저하 문제가 발생할 수 있습니다.


어떤 상황에서 도메인이 미준수로 판명되나요?

가장 잘 알려진 EDNS0 특징에는 최종 사용자 클라이언트 서브넷(ECS)과 UDP 메시지 크기가 포함됩니다.   뿐만 아니라 EDNS0은 향후 DNS에 대한 새로운 확장이 도입될 때 하나의 메커니즘을 제공합니다.   이는 EDNS0을 준수하는 권한 서버도 알려진 EDNS0 옵션 코드를 무시해야 한다는 의미입니다.  여기에서 보통 문제가 발생하는데 이 문제들은 EDNS0 Compliance Tester에 의해 탐지됩니다.  


도메인의 EDNS0 규정 준수 여부는 어떻게 테스트할 수 있나요?

DNS Flag Day 사이트(https://dnsflagday.net/)에는 도메인을 테스트할 수 있는 간단한 양식뿐만 아니라 DNS 관리자가 사용하는 보다 포괄적인 테스트 링크가 있습니다. 

flag day two.png

자세한 정보를 원하신다면 ISC(Internet Systems Consortium)에서 제공하는 규정 준수 툴 (https://ednscomp.isc.org/ednscomp)을 이용하시기 바랍니다. "Zone Name"에 도메인을 입력하기만 하면 EDNS0 규정 준수 여부를 신속하게 확인할 수 있습니다.  

flag day three.png


Akamai 고객은 DNS Flag Day 에 대한 최신 정보를 어디에서 얻을 수 있나요?

Akamai가 DNS Flag Day에 참여하는 것과 관련해 궁금한 점이 있으시면 Akamai Community - DNS Flag Day and Akamai에 게시물을 올려 주시기 바랍니다. Akamai는 필요한 경우 이 블로그 게시물을 통해 내용을 업데이트하도록 하겠습니다.


DNS Flag Day에 문제가 발생한 경우 어떻게 해야 하나요?

DNS Flag Day는 미준수 권한 서버를 알려주도록 설계되어 있습니다. 사용 중인 서버가 계속해서 DNS Flag Day에 의해 미준수로 판별되면 해당 존(zone)에 입력한 이름이 널리 사용되는 퍼블릭 DNS 리졸버를 통해 리졸브되지 않는 경우일 수 있습니다.

DNS 레졸루션과 관련된 문제 또는 DNS Flag Day(2019년 2월 1일) 직후에 문제를 경험하는 경우 먼저 어떤 DNS 리졸버가 사용되고 있는지 확인하시기 바랍니다.  Akamai의 DNS 리졸버를 사용하는 고객은 EDNS 미준수 응답에 대응하게 됩니다.  Akamai의 DNS 리졸버를 사용한 DNS 쿼리 결과와 Google 퍼블릭 DNS 또는 기타 퍼블릭 리졸버에서 얻은 결과를 비교해 보는 것이 좋습니다. 결과가 동일하면 Flag Day와 관련이 없는 문제이며,   결과가 다르면 문제를 경험한 도메인의 소유자 또는 운영자가 해당 권한 DNS 서버가 EDNS0을 준수하도록 조치를 취해야 합니다.


DNS Flag Day 참고 자료 


Akamai의 DNS 제품 및 DNS Flag Day 세부 정보

모든 Akamai 제품은 EDNS0(RFC 6891) 기능을 지원합니다. 이 기능은 DNSSEC, EDNS0 클라이언트 서브넷(ECS), 기타 DNS 확장에 반드시 필요합니다. Akamai의 DNS 제품 리스트는 다음과 같습니다.

Fast DNS: Akamai의 Fast DNS는 DNS 레졸루션을 인프라에서 클라우드로 부하 분산하는 권한 DNS 서비스를 제공합니다. Akamai Intelligent Platform™을 기반으로 구축된 Fast DNS는 성능과 가용성을 모두 고려하여 설계되었으며 대규모 DDoS 공격이 진행되는 동안에도 빠른 DNS 경험을 유지할 수 있습니다. Fast DNS는 1차 또는 2차 솔루션으로 사용 가능하며 DNSSEC 지원 옵션을 통해 DNS 위조나 조작을 차단할 수 있습니다.   Fast DNS는 이미 EDNS0을 완벽하게 준수합니다.  Fast DNS를 Secondary Mode(Akamai가 숨겨진 마스터에서 구역 콘텐츠를 전송)로 사용할 경우, 고객의 마스터 서버가 EDNS0을 준수하지 않는 경우에도 구역 전송이 계속 진행됩니다.   이를 통해 고객이 마스터 서버가 EDNS0을 준수하도록 조치를 취하는 동안 서비스가 중단되지 않도록 보장합니다.


GTM(Global Traffic Management): Akamai의 GTM은 데이터센터, 멀티 클라우드, 멀티 CDN 등에 걸쳐 부하 분산, 안정성, 트래픽을 관리할 수 있는 클라우드 기반의 툴입니다. GTM은 클라우드와 온프레미스 등 모든 데이터 소스에 걸쳐 트래픽의 균형을 유지하여 빠르고 안정적인 사용자 경험을 보장합니다. 데이터센터와 클라우드가 지리적으로 분산되어 있으면 사용자가 체감하는 응답 속도를 저하시킬 수 있습니다. 또한, 다운타임 동안 트래픽을 즉각적으로 관리해야 합니다. Akamai 클라우드 전송 플랫폼 기반의 GTM은 클라우드 기반 인프라와 온프레미스 인프라 등 모든 데이터 소스에 걸쳐 트래픽의 균형을 유지하는 DNS 기반 부하 분산 솔루션입니다. GTM은 확장성과 내고장성을 갖춘 부하 분산 솔루션으로, 트래픽이 폭증하는 상황에서도 높은 성능과 가용성을 보장합니다.   Global Traffic Management는 이미 EDNS0을 완벽하게 준수합니다.


DNSi AuthServe: Akamai의 DNSi AuthServe는 안정성과 보안이 뛰어난 상시 가동형 네임 서비스를 제공하는 권한 DNS 서버입니다. 권한 DNS 서비스는 IP 서비스(웹사이트, 동영상 다운로드, 이메일, VOIP 등)의 설정, 게시, 배포에 매우 중요한 역할을 하며, 모든 인터넷 사용자가 보고 사용할 수 있습니다. IP 서비스의 사용자 경험은 서비스에 접속하기 위해 필요한 주소 부여와 기타 정보를 제공하는 권한 네임 서버에서부터 시작됩니다. 따라서 권한 DNS 인프라의 가용성·성능·보안은 우수한 사용자 경험을 제공하는 데 필수적입니다.  DNSi AuthServe는 이미 EDNS0을 완벽하게 준수합니다.


CacheServe 및 AnswerX 리졸버: Akamai의 DNS 리졸버 솔루션은 대형 사업자 내부에 위치하고, Akamai 클라우드를 통해 전 세계적으로 배치되어 있으며 사업자의 네트워크 내부에서 관리됩니다. Akamai DNSi 리졸버는 세계 최대 규모의 일부 네트워크에서 기본적인 부분을 담당하고 있으며, 서비스 사업자가 가입자들의 경험을 개선하도록 부가 서비스를 제공하고 운영 및 보안에 유용한 DNS 데이터를 수집하도록 지원합니다.  CacheServe 및 AnswerX는 이미 EDNS0을 완벽하게 준수합니다. EDNS0 미준수에 대한 임시 해결책은 CacheServe 및 AnswerX에서 계속 유지되고 EDNS 미준수 응답에 대응하게 됩니다.


ETP(Enterprise Threat Protection): Akamai의 Enterprise Threat Protector는 멀웨어, 랜섬웨어, 피싱, DNS 데이터 유출, 정교한 제로데이 공격 등 다양한 표적 위협을 선제적으로 탐지·차단합니다. ETP는 일종의 보안 인터넷 게이트웨이(SIG)로, 기존에 사용 중인 접근 방식에 가중되는 복잡함 없이 언제 어디서나 사용자와 디바이스가 인터넷에 안전하게 접속하도록 지원하는 솔루션입니다.  ETP는 이미 EDNS0을 완벽하게 준수합니다. EDNS0 미준수에 대한 임시 해결책은 ETP에서 계속 유지되고 EDNS 미준수 요청에 대응하게 됩니다.


SPS(Security and Personalization Services): SPS는 피싱, 바이러스, 랜섬웨어, 멀웨어로부터 가입자와 IoT 디바이스를 보호하는 클라우드 기반의 통신사급 사이버 보안 솔루션입니다. SPS 솔루션은 Akamai의 DNS 리졸버(DNSi)와 연동되어 기업, 소비자, Wi-Fi, 기타 대형 조직에 적합한 보안 솔루션을 제공합니다. SPS는 이미 EDNS0을 완벽하게 준수합니다. EDNS0 미준수에 대한 임시 해결책은 SPS에서 계속 유지되고 EDNS 미준수 응답에 대응하게 됩니다.

Leave a comment (코멘트 남기기)