F5 Intelligent DNS Scale 참조 아키텍처

소개

도메인 이름 시스템(DNS)은 사람들이 인터넷 프로토콜(IP) 주소(기억하기 어려운 이진 정보 문자열) 대신 이름으로 인터넷에 연결된 모든 컴퓨터, 서비스, 리소스를 쉽게 식별할 수 있도록 하기 위해 1983년에 만들어졌습니다.

DNS 서버는 브라우저에 입력한 도메인 이름을 IP 주소로 변환하는데, 이를 통해 사용자의 기기는 인터넷에서 원하는 서비스나 사이트를 찾을 수 있습니다.

DNS는 인터넷을 가능하게 하는 주요 기술이지만, 네트워크 인프라에서 가장 중요한 구성 요소 중 하나이기도 합니다. DNS는 콘텐츠와 애플리케이션을 제공하는 것 외에도 높은 가용성과 빠른 사용자 응답 시간을 보장하기 위해 분산되고 중복된 아키텍처를 관리합니다. 따라서 가용성, 지능성, 보안성 및 확장성이 뛰어난 DNS 인프라를 갖추는 것이 중요합니다. DNS가 다운되면 대부분의 웹 애플리케이션이 제대로 작동하지 않게 되어 비즈니스와 브랜드에 영향을 미칩니다.

F5의 엔드투엔드 지능형 DNS 확장 참조 아키텍처를 통해 조직은 기존 및 미래의 네트워크 아키텍처, 장치, 애플리케이션을 모두 지원할 만큼 민첩성을 유지하면서도 리소스를 극대화하고 서비스 관리를 강화하는 강력한 DNS 기반을 구축할 수 있습니다.

DNS 서비스는 가용성에 필수적입니다.

사용자가 웹 페이지를 요청하면, 해당 요청은 로컬 DNS 서버로 전달되고, 로컬 DNS 서버는 다시 주요 DNS 서버와 통신합니다. 모든 것이 잘 작동하다가 트래픽이 급증하거나 공격자가 서버에 DNS 쿼리 요청을 쏟아부을 때까지는 그렇습니다. 메인 DNS 서버가 과부하되면 응답이 중단되어 웹사이트를 이용할 수 없게 될 수 있습니다.

DNS 장애는 웹 인프라 가동 중단의 41%를 차지하므로 DNS를 사용 가능한 상태로 유지하는 것이 중요합니다. 애버딘 그룹의 조사에 따르면, 기업들은 데이터 센터가 중단될 때마다 평균 138,000달러의 손실을 입는 것으로 나타났습니다. 가동 중단은 고객에게 부정적인 영향을 미치고, 수익 손실로 이어질 수 있으며, 심지어 이메일과 같은 회사 리소스에 액세스하려는 직원에게도 영향을 미칠 수 있습니다.

그렇기 때문에 강력한 DNS 기반의 중요성을 지나치게 강조할 수 없습니다. 이것이 없다면 고객이 원할 때 귀사의 콘텐츠와 애플리케이션에 액세스하지 못할 수도 있으며, 원하는 것을 얻지 못하면 다른 곳으로 갈 가능성이 큽니다.

성장의 고통

DNS 요구 사항이 그토록 빠르게 증가하는 데에는 여러 가지 이유가 있습니다. 지난 5년 동안 인터넷 사용자 수는 82% 증가했고, 웹사이트 수는 약 5억 8천만 개에서 12억 4천만 개로 늘어났으며, DNS 쿼리 수는 100% 이상 증가했습니다.

또한, 사용 중인 모바일 연결 수가 22억 개 늘어났으며, 웹 사용자의 약 60%는 웹사이트가 모바일에서 3초 이내에 로드되기를 기대한다고 답했습니다.

기업들은 애플리케이션 수와 해당 애플리케이션에 액세스하는 트래픽 양 측면에서 급속한 성장을 경험하고 있습니다. 게다가 웹 애플리케이션 자체도 성장하고 점점 더 복잡해지고 있습니다. 웹 페이지에 있는 모든 아이콘, URL, 내장된 콘텐츠에는 DNS 조회가 필요합니다. 복잡한 사이트를 로딩하려면 수백 개의 DNS 쿼리가 필요할 수 있으며, 간단한 스마트폰 앱조차도 로딩하는 데만 수많은 DNS 쿼리가 필요할 수 있습니다.

지난 5년 동안 .com과 .net 주소에 대한 DNS 쿼리의 양은 2배 이상 늘어났으며, 2016년 1분기에는 일평균 쿼리 부하가 1,240억 개에 달했습니다. 같은 기간 동안 1,000만 개가 넘는 도메인 이름이 인터넷에 추가되었습니다. 더 많은 클라우드 구현이 배포됨에 따라 향후 성장은 더 빠른 속도로 이루어질 것으로 예상됩니다.

보안 문제

DNS는 인터넷의 중추로 모든 질의에 답하고 모든 숫자를 해결하여 좋아하는 사이트를 찾을 수 있도록 해줍니다. 하지만 동시에 네트워크에서 가장 취약한 지점 중 하나이기도 합니다. DNS는 중요한 역할을 하기 때문에 공격자에게 매우 가치 있는 타깃이 됩니다. DNS DDoS 공격은 DNS 서버를 장애 지점까지 몰거나, 악의적인 서버로 요청을 납치하여 리디렉션할 수 있습니다. 이를 방지하려면 분산형 고성능 보안 DNS 아키텍처와 DNS 오프로드 기능을 네트워크에 통합해야 합니다.

일반적으로 조직은 각각 초당 최대 150,000개의 DNS 쿼리를 처리할 수 있는 일련의 DNS 서버를 보유하고 있습니다. 고성능 DNS 서버는 초당 약 200,000개의 쿼리를 처리할 수 있습니다. 악의적인 사람들은 쉽게 그 비율을 초과할 수 있으며, Dyn, The New York Times, LinkedIn, Network Solutions, Twitter 등에 영향을 미친 DNS 서비스 중단이 그 예입니다.

DNS 급증과 DNS DDoS 공격에 대처하기 위해 회사는 일반적인 비즈니스 운영에는 실제로 필요하지 않은 더 많은 DNS 서버를 추가합니다. 이러한 비용이 많이 드는 솔루션은 종종 변경을 위해 수동 개입이 필요합니다. 또한 기존 DNS 서버는 주로 새로운 취약점에 대한 정기적인 유지관리 및 패치가 필요합니다.

전통적인 솔루션

DNS 솔루션을 찾을 때 많은 조직에서는 인터넷의 원래 DNS 확인자인 BIND(Berkeley Internet Naming Daemon)를 선택합니다. 전 세계 DNS 서버의 약 80%에 설치된 BIND는 인터넷 시스템 컨소시엄(ISC)이 유지 관리하는 오픈 소스 프로젝트입니다. ISC는 DNS-CO라는 영리 컨설팅 부서를 운영하는 비영리 기관으로, 4가지 수준의 구독 및 지원 서비스를 제공합니다.

BIND는 널리 사용되고 있음에도 불구하고 취약점, 패치, 업그레이드 등으로 인해 일년에 여러 번 상당한 유지 관리가 필요합니다. 무료로 다운로드할 수 있지만 서버(지원 계약을 포함한 추가 비용)와 운영 체제가 필요합니다. 또한 BIND는 일반적으로 초당 50,000개의 응답(RPS)으로만 확장되므로 합법적인 DNS 급증과 악의적인 DNS 급증 모두에 취약합니다.

변화하는 풍경을 위한 솔루션

F5 Intelligent DNS Scale 참조 아키텍처는 DNS 쿼리에 응답하고 확장하는 보다 스마트한 방법을 제공하며, 다양한 네트워크 조건과 상황을 고려하여 비즈니스 정책, 데이터 센터 조건, 네트워크 조건 및 애플리케이션 성능에 따라 사용자 애플리케이션 요청과 애플리케이션 서비스를 분산합니다.

DNS 중단을 걱정하거나 급증에 대처하기 위해 추가 DNS 인프라를 구매하는 대신, 네트워크의 DMZ에 F5 BIG-IP 장치를 설치하여 주 DNS 서버를 대신하여 요청을 처리하게 할 수 있습니다.

기존 DNS 사고방식과 F5 솔루션(DNS Delivery Reimagined)의 그래픽 표현
수요에 따른 확장

BIG-IP DNS는 최대 1억 RPS까지 하이퍼스케일링되므로 악의적인 요청을 포함한 대량의 DNS 요청이 발생하더라도 콘텐츠가 중단되거나 중요한 애플리케이션의 가용성에 영향을 미치지 않습니다. 네트워크 관리자는 귀하의 사이트가 모든 DNS 쿼리에 응답하고 공격을 받는 동안에도 사용 가능한 상태를 유지한다는 사실을 알면 마음이 편해집니다. 귀사의 브랜드가 보호되고, 귀사는 당혹스러운 1면 기사화를 피할 수 있습니다.

BIG-IP DNS로 가용성 향상

F5 Intelligent DNS Scale 참조 아키텍처는 애플리케이션과 콘텐츠를 사용자가 지속적으로 사용할 수 있도록 보장하는 데 도움이 됩니다. 이 아키텍처의 가장 중요한 부분 중 하나는 BIG-IP DNS의 특별히 설계된 DNS Express 쿼리 응답 기능으로, 기본 DNS 서버에서 자체 RAM으로 영역을 전송하여 권한 있는 DNS 쿼리를 관리합니다.

BIG-IP DNS는 DNS Express로 전송된 영역에 있는 주소에 대한 요청인 경우 DNS 쿼리 패킷을 한 번만 열면 되므로 프로세스가 간소화되고 DNS 아키텍처의 성능과 응답 시간이 크게 향상됩니다.

DNS Express를 사용하면 각 BIG-IP 장비의 개별 코어는 초당 약 125,000~200,000개의 요청에 응답할 수 있으며, 최대 5,000만 건 이상의 쿼리 RPS까지 확장할 수 있습니다. 이는 일반적인 기본 DNS 서버 용량보다 12배 이상 높습니다.

BIG-IP 플랫폼: DMZ의 방화벽

모든 BIG-IP 장치는 네트워크 방화벽으로 ICSA Labs 인증을 받았습니다. BIG-IP 장치는 인터넷 호스트의 평판을 지능적으로 평가함으로써 공격자가 DNS DDoS 공격을 통해 DNS를 오프라인으로 만들거나, 데이터를 훔치거나, 회사 리소스를 손상시키거나, 그 밖에 비즈니스를 방해하는 것을 방지할 수 있습니다. 

또한 DNSSEC은 클라우드 배포를 포함한 DNS 인프라를 캐시 포이즈닝 공격 및 도메인 하이재킹으로부터 보호할 수 있습니다. DNSSEC 지원을 사용하면 암호화된 응답으로 DNS 쿼리에 디지털 서명하고 지원할 수 있으므로 확인자가 응답의 진위 여부를 판단하고 DNS 하이재킹 및 캐시 포이즈닝을 방지할 수 있습니다. F5 IP Intelligence 서비스는 맬웨어에 감염된 것으로 알려진 IP 주소, 맬웨어 배포 지점과 접촉한 IP 주소, 평판이 좋지 않은 IP 주소의 액세스를 거부하여 전반적인 보안을 강화합니다.

네트워크 가장자리의 DNS 서비스

F5 Intelligent DNS Scale 참조 아키텍처는 중요 인프라의 심층부가 아닌 네트워크 가장자리에서 DNS 쿼리에 응답하여 콘텐츠와 애플리케이션을 사용 가능한 상태로 유지하는 데 도움이 됩니다. DNS 응답을 BIG-IP 플랫폼으로 오프로드하면 요청이 네트워크 백엔드에 도달하지 않아 DNS 인프라를 보호하는 것과 동시에 확장 및 DNS 급증에 대응하는 능력이 크게 향상됩니다.

F5 Intelligent DNS Scale 참조 아키텍처는 DNS 인프라의 속도, 가용성, 확장성 및 보안을 향상시켜 고객과 직원이 필요할 때마다 중요한 웹, 애플리케이션 및 데이터베이스 서비스에 액세스할 수 있도록 보장합니다.

분산 DNS

이는 DNS가 분산된 클라우드 배포나 인프라에도 적용됩니다. 조직은 거의 모든 환경에서 고성능 DNS 인프라를 복제할 수 있습니다. 재해 복구/비즈니스 연속성을 위한 클라우드 DNS가 있거나, 서명된 DNSSEC 영역이 있는 클라우드 DNS 서비스가 있을 수도 있습니다. F5 DNS 서비스의 향상된 AXFR 지원은 BIG-IP 장치에서 모든 DNS 서비스로 영역 전송을 제공하므로 조직은 물리적, 가상 및 클라우드 환경에서 DNS를 복제할 수 있습니다. DNS 복제 서비스는 사용자와 가장 가까운 데이터 센터나 클라우드에 있는 다른 BIG-IP 장치나 다른 일반 DNS 서버로 전송할 수 있습니다.

또한, 조직에서는 사용자를 최고의 경험을 제공하는 사이트로 보낼 수 있습니다. BIG-IP DNS 서비스는 각 앱과 사용자에 대해 다양한 부하 분산 방법과 지능형 모니터링을 사용합니다. 트래픽은 귀사의 비즈니스 정책은 물론 현재 네트워크 및 사용자 조건에 따라 라우팅됩니다. BIG-IP DNS 서비스에는 정확하고 세부적인 지리적 위치 데이터베이스가 포함되어 있어 사용자 위치에 따라 트래픽 분산을 제어할 수 있습니다.

F5 Intelligent DNS Scale 참조 아키텍처 다이어그램
BIG-IP DNS 및 DNS 서비스

BIG-IP DNS는 글로벌 DNS 솔루션으로, 서비스 제공 및 액세스 네트워크의 가장 끝단에서 이름 서비스를 제공합니다. 지리적 위치 서비스를 활용하면 사용자의 물리적 위치에 따라 가장 적합한 서비스를 제공하는 데이터 센터로 사용자를 안내할 수 있습니다.

BIG-IP DNS는 다음과 같은 이름 서비스를 제공합니다.

  • 모든 내부 및 외부 서비스를 위한 네트워크 가장자리의 DNS 서비스입니다.
  • 모바일 사용자의 위치를 기반으로 정확한 애플리케이션이나 서비스 제공을 위한 지리적 위치 서비스입니다.
  • IP 인텔리전스 서비스는 악성 활동과 관련된 IP 주소의 액세스를 탐지하고 차단하여 인프라를 보호합니다.
  • 모든 글로벌 및 로컬 이름 서비스를 관리하는 단일 제어 지점입니다.
  • 글로벌 애플리케이션 전송, 정책 시행, NAT64 및 DNS64 변환, 헬스 모니터, F5 스크립팅 언어인 iRules 등 추가적인 BIG-IP 지능형 서비스 솔루션입니다.
  • 글로벌 DNS 서비스 지원
  • 세부적인 DNS 결정과 이름 서비스 제공을 위해 DNS iRules와 통합되었습니다.
  • SIP 트랜잭션을 위한 ENUM 요청 등 서비스 공급자별 프로토콜 지원
BIG-IP LTM 및 DNS 서비스

데이터 센터 내에서 BIG-IP 로컬 트래픽 관리자(LTM)는 모바일 에지에서 서비스까지 내결함성 아키텍처를 구축하여 애플리케이션과 콘텐츠의 높은 가용성을 유지할 수 있습니다. BIG-IP LTM은 높은 가용성을 제공하는 것 외에도 SIP 트랜잭션에 대한 ENUM 요청의 부하 분산과 같은 서비스 공급자별 애플리케이션도 지원합니다.

네이밍 서비스를 위한 BIG-IP LTM 솔루션은 다음과 같습니다.

  • BIG-IP DNS와 통합하여 풍부한 네이밍 서비스를 로컬 데이터 센터와 서비스 네트워크로 확장합니다.
  • 로컬 DNS와 재귀적 DNS 모두에 대한 부하 분산을 지원합니다.
  • SIP 트랜잭션을 위한 ENUM 요청 등 서비스 공급자별 프로토콜 지원
  • 사용자를 서비스로 보내기 전에 서비스 상태를 평가하는 투명한 상태 모니터입니다. BIG-IP LTM은 SDN의 가장자리에서 애플리케이션 인식을 제공하기 위해 상태 정보를 BIG-IP DNS로 다시 전달할 수 있습니다.
  • 세부적인 DNS 결정과 이름 서비스 제공을 위해 iRules와 통합되었습니다.
완벽한 서비스 제공 인프라 구축

F5 Intelligent DNS Scale 참조 아키텍처는 초당 수백만 개의 사용자 요청을 동시에 지원하는 동시에 고가용성 및 대용량 애플리케이션에 맞게 조정됩니다. F5는 iRules 스크립팅 언어, 투명한 애플리케이션 모니터링 및 기타 IP 관련 서비스와 같은 다른 BIG-IP 서비스 제공 기능과 함께 작동하여 완전한 서비스 제공 인프라인 F5 서비스 제공 네트워크를 구축합니다. 모든 BIG-IP 기기에 공통된 지능형 서비스 제공 플랫폼을 활용하면 원활한 확장성과 유연성을 확보할 수 있습니다.

결론

F5 Intelligent DNS Scale 참조 아키텍처를 사용하면 조직은 다음을 수행할 수 있습니다.

  • DNS 인프라의 속도, 가용성, 확장성 및 보안을 향상시킵니다.
  • 불필요한 추가 DNS 서버를 제거하여 복잡성과 비용을 줄입니다.
  • 해당 사이트가 모든 DNS 요청에 응답한다는 사실을 알고 있으면 마음이 편안해집니다.

F5 Intelligent DNS Scale 참조 아키텍처는 DNS 지연 시간을 줄여 웹 성능을 개선하고, DNS DDoS 공격을 완화하여 웹 속성과 브랜드 평판을 보호하고, DNS 인프라를 통합하여 데이터 센터 비용을 절감하는 종단 간 DNS 전송 솔루션입니다. 가장 중요한 점은 최적의 애플리케이션과 서비스 제공을 위해 고객에게 가장 성능이 뛰어난 구성요소를 안내한다는 것입니다.

F5 Intelligent DNS Scale 참조 아키텍처는 웹 애플리케이션이 모든 DNS 쿼리에 응답하여 사용자가 언제 어디서나 원하는 대로 콘텐츠와 애플리케이션을 사용할 수 있도록 보장하여 안심할 수 있는 환경을 제공합니다.

2018년 1월 24일 게시
  • 페이스북에 공유하기
  • X에 공유
  • Linkedin에 공유하기
  • 이메일로 공유하기
  • AddThis를 통해 공유

F5에 연결

F5 Labs

최신 애플리케이션 위협 인텔리전스입니다.

DevCentral

토론 포럼과 전문가 기사를 제공하는 F5 커뮤니티입니다.

F5 뉴스룸

뉴스, F5 블로그 등.