레지스트라를 위한 DNSSEC

레지스트라는 DNSSEC의 성공에서 중요한 역할을 합니다. 일부 ISP 및 .net/.com 레지스트라의 경우 이미 DNSSEC를 도입하고 있습니다. DNSSEC 구현은 복잡한 프로세스이기 때문에 Verisign은 신중하면서 체계적인 방식을 취하고 있습니다. 레지스트라는 DNSSEC 구현의 계획, 도입, 테스트 및 수정에 충분한 시간을 가지려면 하루라도 빨리 시작할 필요가 있습니다.

지금 바로 행동을 개시하면 생각하는 리더이자 롤 모델로서의 입지를 굳히고, 경쟁사와 차별화하면서 타사보다 먼저 새로운 매출 기회를 포착할 수 있습니다. 또한 자사 비즈니스를 지원하고 수익을 창출하는 제품과 서비스(및 기타 업계 이니셔티브)의 개발에 영향을 미칠 수도 있습니다.

능동적인 레지스트라가 누릴 수 있는 이점

이처럼 중요한 요소를 능동적으로 추가함으로써 다음과 같은 이점을 누릴 수 있습니다.

• 등록자의 브랜드 및 고객을 보호할 수 있습니다.
• 등록자의 신뢰도와 충성도를 유지할 수 있습니다.
• 보안 및 평판을 우선시 하는 등록자들을 유인 및 유지할 수 있습니다.
• 등록자들을 위한 영역 서명 등, 새로운 서비스를 창출할 수 있습니다.
• DNS를 사용해 새로운 형태의 보안 데이터 거래가 가능합니다(예: 다른 유형의 공개 키 발행 및 이메일 발송처 인증).
• 인터넷에서 신뢰도를 높여 귀하의 핵심 비즈니스를 보호할 수 있습니다.
• DNSSEC의 미래를 좌우하는 리더십과 영향력을 발휘할 수 있습니다.

DNSSEC는 DNS 쿼리 및 응답 체인에 참여하는 모든 당사자들에게 영향을 미치는 복잡한 변화를 야기시키게 됩니다. 특히 ANS(authoritative name server)를 관리하고 등록자들에게 키 관리 서비스를 제공하는 레지스트라 및 그 외 호스팅 기관의 경우 더욱 그렇습니다. Verisign은 귀사의 DNSSEC 구현 성공을 보장하기 위해 다양한 도구를 제공하고 협력하고 있습니다.

일단 DNSSEC가 구현되고 나면 등록자들이 요구할 가능성이 있는 신규 서비스를 개발하기 위해 등록자들의 도메인 네임에 서명을 해야 합니다. 등록자를 위해 DNSSEC를 수행하는 데에는 다음 사항들이 포함됩니다.

• 도메인 네임용 개인/공개 키 쌍을 작성
• 영역을 만들고 서명
• 키 쌍 관리.

이러한 프로세스는 인터넷 환경의 DNSSEC 지원 리졸버(resolver)가 영역으로부터 수신한 응답의 신뢰성을 검사할 수 있도록 보장합니다.

또한, DNSSEC 키 데이터를 수락할 수 있도록 고객 인터페이스를 수정하고, DNSSEC 키 데이터를 귀사와 상호 작용하는 레지스트리에 전달할 수 있도록 EPP(Extensible Provisioning Protocol)도 변경해야 합니다.

영역 서명
영역을 설정 및 서명하려면 다음과 같은 작업이 필요합니다.

• 영역의 레코드에 서명하는 ZSK(zone signing key: 영역 서명 키)를 설정합니다.
• 영역 내 키 레코드에 서명하고 신뢰 계층 구축을 지원하는 KSK(key signing key)를 설정합니다.
• 서명 안 된 영역을 생성합니다.
• 영역에 서명합니다.
• 오프라인 테스트 환경에서 서명 시스템을 테스트합니다.
• 서명을 단계적으로 도입해서(예를 들어 먼저 내부 네트워크에 사용해 보는 등) 모든 요소가 지속적으로 제대로 작동하는지 확인합니다.

지속적인 키 관리
DNSSEC를 위해 키를 획득할 수 있는 악의를 가진 사람과 관련된 리스크를 최소화할 수 있도록 개인 키를 수시로 변경해야 합니다. 키 롤오버를 위해 영역의 키 쌍을 변경하고 해당 영역을 새 개인 키로 재서명해야 합니다. KSK를 롤오버하는 경우, 새 공개 키 정보(DS 레코드)를 가지고 레지스트리를 업데이트해야 합니다.

키 관리에는 다음과 같은 작업이 요구됩니다.

• ZSK 및 KSK 키 롤오버(정기 및 비상 시)를 실시합니다.
• 보안 관련 리소스 레코드에 정기 재서명을 실시합니다.
• KSK 기반 DS(delegation signer)로 상위 영역을 업데이트합니다.

추가적인 고려 사항
서명된 영역을 호스트하려면 DNSSEC가 호환되는 네임 서버를 구현해야 합니다. 키를 관리하는 데는 특수 DNSSEC 하드웨어 및 소프트웨어가 필요합니다. 이러한 구성 요소들을 구현 및 관리하는 것은 복잡하면서도 시간 소모가 많은 작업입니다. 대신, 자체적으로 DNSSEC 솔루션을 개발하거나, DNSSEC 구현 DNS 제품 기성품을 구입하거나, DNSSEC 서명 및 키 관리를 수행하는 자격을 갖춘 관리형 서비스(managed service) 제공업체를 이용하는 등의 여러 옵션이 있습니다.

자체 개발이나 기성품 구입의 경우, 새 장치의 기존 시스템 통합을 신중하게 계획해 일정을 정해야 합니다. 또한, 해당 장치가 DNSSEC가 실행되었을 때 제대로 작동하도록 보장하기 위해 프로덕션 환경 밖에서 구현을 시험해 보아야 합니다. Verisign은 이러한 용도로 이용하실 수 있도록 .net 및 .com 레지스트라들께 무료로 OTE(Operational Test Environment)를 제공해 드리고 있습니다.

또한, 레거시 및 현재 사용 중인 네트워크 장치들이 DNSSEC를 지원할 수 있는지 여부를 확인해 보아야 합니다. 예를 들어, 기존 패킷보다 클 수 있는 DNSSEC 패킷을 처리할 수 있는지, 그리고 DNS 패킷용 TCP(Transmission Control Protocol) 및 익스텐션 메커니즘을 지원하는지 검토해야 합니다.

레지스트라는 등록자들 및 일반 사용자들의 신뢰를 유지하는 한편, 새로운 매출 창출 기회와 경쟁 우위를 제공해주는 DNSSEC 구현 시스템 구축이라는 목표에 도달할 수 있도록 장기간에 걸쳐 꾸준한 노력을 수행하고 있습니다. 업계 전문가들로부터 얻은 통찰력, 그리고 .edu, .net 및 .com과 같은 루트 영역 내에 DNSSEC를 도입하는 과정에서 얻은 교훈을 바탕으로, 시작 단계에서는 다음과 같이 하실 것을 제안합니다.

연구 및 교육

• 귀하의 사이버 보안 전략에 DNSSEC가 적합한지 파악합니다.
• DNSSEC 구현의 이점과 문제점을 파악합니다.
• 공개 키 암호화, 암호화 표준, 디지털 서명 및 공개/개인 키의 작동 방식을 이해합니다.
• IT 및 고객 지원 스탭들이 적절한 교육 및 훈련을 받도록 합니다.
• DNSSEC에 대해 등록자들을 교육시키기 위한 전략을 계획하십시오.

계획

• DNSSEC 채택을 위한 타임라인을 수립합니다.
• 기존의 DNS 아키텍처에 DNSSEC를 통합하기 위한 방법을 결정합니다.
• 자체 개발, DNSSEC 구현 DNS 제품 기성품 구입, 또는 관리형 서비스(managed services) 등과 같은 여러 구현 옵션을 비교합니다.

평가 및 업데이트

• DNSSEC 가 네트워크 대역폭에 어떤 영향을 미치는지 확인합니다. (DNSSEC는 네트워크 트래픽양을 증가시킵니다.)
• DNSSEC가 DNS 관리에 어떻게 영향을 미칠지 고려해 봅니다.
• 키 롤오버 일정을 포함시키고, DNSSEC 도입에 따르는 새로운 역할 및 책임을 반영하고, 안전한 키 보관이 가능하도록 키 관리 정책 및 보안을 검토하고 업데이트합니다.
• 네트워크가 올바로 구성되어 있도록 합니다. 즉 영역 정의가 정확하고 완전하도록 합니다.
• DNSSEC가 로드맵에 적합한 하드웨어 공급업체에게 요청하여 귀하의 기존 네트워크 장치에 사용 가능한 업그레이드가 있는지 확인합니다.
• 필요에 따라 DNS 하드웨어 및 네임 서버 소프트웨어를 업데이트해 DNSSEC와 호환되도록 합니다.
• 구현을 지원하는 제품과 서비스를 평가합니다.

참여

• Verisign 레지스트라 포럼(Verisign Registrar Forum)에 등록합니다.
• DNSSEC 구현을 테스트해 볼 수 있는 Verisign OTE(Operational Test Environment)를 이용합니다.
• 산업 컨소시엄, 표준 기관, 소프트웨어 및 하드웨어 공급업체와의 협력을 통해 귀하의 필요사항을 충족시키는 솔루션과 접근 방식을 개발합니다.

Verisign은 DNSSEC 구현 비용을 낮춰 드리고 귀사의 상황에 맞는 최상의 DNSSEC 구현 전략을 식별하실 수 있도록 지원하기 위해 최선을 다하고 있습니다. 당사는 레지스트라 커뮤니티의 DNSSEC 구현을 용이하게 하기 위해 다음과 같은 도구 및 서비스를 개발했습니다.

• 등록자의 브랜드 및 고객을 보호할 수 있습니다.
• 등록자의 신뢰도와 충성도를 유지할 수 있습니다.
• 보안 및 평판을 우선시 하는 등록자들을 유인 및 유지할 수 있습니다.
• 등록자들을 위한 영역 서명 등, 새로운 서비스를 창출할 수 있습니다.
• DNS를 사용해 새로운 형태의 보안 데이터 거래가 가능합니다(예: 다른 유형의 공개 키 발행 및 이메일 발송처 인증).
• 인터넷에서 신뢰도를 높여 귀하의 핵심 비즈니스를 보호할 수 있습니다.
• DNSSEC의 미래를 좌우하는 리더십과 영향력을 발휘할 수 있습니다.

Verisign은 DNSSEC 구현 비용을 낮춰 드리고 귀사의 상황에 맞는 최상의 DNSSEC 구현 전략을 식별하실 수 있도록 지원하기 위해 최선을 다하고 있습니다. 당사는 레지스트라 커뮤니티의 DNSSEC 구현을 용이하게 하기 위해 다음과 같은 도구 및 서비스를 개발했습니다.

Find out if your website is DNSSEC enabled]]>