DNS-Sicherheit und Split-Horizon-Anwendungsfälle für Route 53 Global Resolver

Ermöglichen Sie den globalen Zugriff auf private gehostete Zonen (PHZs) auf Amazon Route 53 von jedem beliebigen Standort aus und lösen Sie gleichzeitig öffentliche Domänen im Internet auf. Ermöglichen Sie es entfernten Standorten und Zweigstellen, interne Anwendungsnamen ohne komplexe VPN-Konfigurationen oder regionsspezifische Weiterleitungen aufzulösen. Implementieren Sie Split-Horizon-DNS, um je nach dem Client, der die Anfrage stellt, unterschiedliche DNS-Antworten bereitzustellen und so Remote-Clients bei der Lösung von Anfragen für private und öffentliche Domänen zu unterstützen.

Schützen Sie entfernte Standorte und Zweigstellen vor DNS-basierten Datenexfiltrationsangriffen, indem Sie Anfragen an bösartige Domänen filtern. Verbessern Sie den Datenschutz, indem Sie den DNS-Verkehr während der Übertragung mit DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT) verschlüsseln, um sicherzustellen, dass nur autorisierte Kunden auf Ihre DNS-Dienste zugreifen können. Wenden Sie Sicherheitsrichtlinien an, um Bedrohungen wie DNS-Tunneling und Algorithmen zur Domaingenerierung zu blockieren (). DGAs Überprüfen Sie die Authentizität von DNS-Antworten mithilfe von DNSSEC (Domain Name System Security Extensions) für mit DNSSEC signierte Domänen, um sich vor DNS-Spoofing- und Cache-Poisoning-Angriffen zu schützen.

Erzielen Sie eine hohe Verfügbarkeit durch globale Bereitstellung und sorgen Sie über eine einzige Verwaltungsoberfläche für eine weltweit einheitliche DNS-Konfiguration. Route 53 Global Resolver läuft über das von AWS-Regionen Ihnen gewählte System und verwendet Anycast-IP-Adressen, die Abfragen automatisch an die nächstgelegene verfügbare Region weiterleiten, um optimale Leistung und Zuverlässigkeit zu gewährleisten. Weltweit tätige Unternehmen können DNS-Richtlinien zentral konfigurieren und verwalten und gleichzeitig ihren Kunden einen einzigen Satz von IP-Adressen zur Verfügung stellen, die global funktionieren und die automatische geografische Optimierung ermöglichen. Die integrierte Redundanz gewährleistet die Servicekontinuität, auch wenn einzelne Regionen nicht mehr verfügbar sind.

Steuern Sie den Internetzugang an mehreren Standorten, indem Sie benutzerdefinierte Domainlisten erstellen oder AWS verwaltete Domainlisten verwenden. Um Sie bei der Implementierung von Filter- und Inhaltsrichtlinien entsprechend Ihren Anforderungen zu unterstützen, enthalten verwaltete Domainlisten mehrere Kategorien von DNS-Bedrohungen, die mehrere Domänen abdecken. Konfigurieren Sie die Zugriffsquelle mithilfe von IP-Zulassungslisten oder Zugriffstoken und richten Sie unterschiedliche Filterrichtlinien für verschiedene Bürostandorte oder Kundengruppen ein.

Wählen Sie die Authentifizierungsmethode, die für Ihre Bereitstellung am besten geeignet ist: tokenbasierte Authentifizierung oder IP-basierte Authentifizierung mithilfe der Zulassungslisten für den CIDR-Quellbereich.

Überwachen Sie die DNS-Aktivitäten in Ihrer gesamten Organisation, indem Sie Protokolle an Amazon CloudWatch, Firehose oder Amazon Simple Storage Service senden. Wählen Sie eine einzige Zielregion für die zentrale Speicherung von Protokollen, um Sicherheitsüberprüfungen, Compliance-Anforderungen und Bedrohungsuntersuchungen zu unterstützen.