Wichtige Konzepte und Komponenten für Route 53 Global Resolver

Die Hauptdienstinstanz, die DNS-Auflösung und Filterung für Ihr Unternehmen in mehreren AWS Regionen bereitstellt. Ihr globaler Resolver verwendet die Anycast-Technologie, um DNS-Anfragen automatisch an die nächstgelegene verfügbare Region weiterzuleiten und so schnelle Antwortzeiten für alle Kunden unabhängig von ihrem Standort zu gewährleisten.

Zwei eindeutige IPv4 oder IPv6 Adressen, die Ihrem globalen Resolver zugewiesen sind und den Sie auf Client-Geräten und Netzwerkgeräten konfigurieren. Diese Anycast-IP-Adressen sind weltweit identisch, was die DNS-Konfiguration an all Ihren Standorten vereinfacht. Die Anycast-IP-Adressierung ermöglicht das automatische Routing von DNS-Anfragen an den nächstgelegenen globalen Resolver, wodurch die Antwortzeiten optimiert und die Zuverlässigkeit der Dienste verbessert werden.

Konfigurationsvorlagen, mit denen Sie unterschiedliche DNS-Richtlinien auf verschiedene Gruppen von Clients in Ihrem Netzwerk anwenden können. Verwenden Sie DNS-Ansichten, um Split-Horizon-DNS zu implementieren. Wenden Sie beispielsweise strenge Filter und Token-Authentifizierung für entfernte Standorte an, während Sie IP-basierten Zugriff und unterschiedliche Sicherheitsrichtlinien für Zweigstellen verwenden.

Sichere DNS-Verbindungen mit verschlüsselten Tokens für DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT). Sie können eindeutige Zugriffstoken für einzelne Clients oder Gerätegruppen generieren, Ablaufzeiträume festlegen und Token nach Bedarf widerrufen.

Steuern Sie den Zugriff mithilfe von IP-Adressen und Zulassungslisten für CIDR-Bereiche. Sie können die öffentlichen IP-Adressen oder Netzwerkbereiche Ihrer Zweigstelle konfigurieren und dann entsprechend Ihren Sicherheitsanforderungen angeben, welche DNS-Protokolle (DNS-over-Port-53, DoT oder DoH) jeder Standort verwenden kann.

Wählen Sie das passende DNS-Protokoll basierend auf Ihren Sicherheits- und Kompatibilitätsanforderungen aus:

Die hybride DNS-Auflösung ermöglicht es Route 53 Global Resolver, Anfragen von lokalen Benutzern und Anwendungen an private Anwendungen gleichzeitig zu lösen. AWS

Der globale Zugriff auf private Zonen erweitert die Reichweite der privaten gehosteten Zonen von Amazon Route 53 über die VPC-Grenzen hinaus. Autorisierte Kunden überall im Internet können private Domainnamen auflösen, sodass verteilte Teams ohne herkömmliche Anforderungen an die Netzwerkkonnektivität auf interne Ressourcen zugreifen können.

Ein nahtloses Failover gewährleistet den kontinuierlichen Zugriff auf private und öffentliche Ressourcen, auch wenn einzelne AWS Regionen nicht verfügbar sind. Die Anycast-Architektur leitet Abfragen automatisch an fehlerfreie Regionen weiter und sorgt gleichzeitig für ein konsistentes Auflösungsverhalten.

Bei der Bereitstellung in mehreren Regionen werden Route 53 Global Resolver-Instanzen auf mindestens 2 AWS Regionen verteilt, um eine hohe Verfügbarkeit zu gewährleisten und ein Failover bei Serviceausfällen zu ermöglichen. Sie können je nach Ihren geografischen Anforderungen und Compliance-Anforderungen bestimmte Regionen auswählen.

Die automatische geografische Optimierung leitet DNS-Abfragen basierend auf Netzwerktopologie und Latenz an die nächstgelegene verfügbare AWS Region weiter. Dies reduziert die Reaktionszeiten und verbessert die Benutzererfahrung für global verteilte Unternehmen.

Die integrierte Redundanz gewährleistet die Servicekontinuität durch automatischen Failover auf alternative Regionen, wenn primäre Regionen nicht mehr verfügbar sind. Die Clients verwenden weiterhin dieselben Anycast-IP-Adressen, während der Datenverkehr transparent umgeleitet wird.

Die Auflösung privat gehosteter Zonen ermöglicht es Route 53 Global Resolver, DNS-Abfragen für private gehostete Route 53 53-Zonen in allen AWS Regionen aufzulösen. Auf diese Weise können autorisierte Clients Domänen für Anwendungen und Ressourcen, die von Route 53 gehostet werden, von überall im Internet aus auflösen.

Split-Horizon DNS bietet je nach Client, der die Anfrage stellt, unterschiedliche DNS-Antworten. Route 53 Global Resolver kann öffentliche Domänen im Internet auflösen und gleichzeitig private Domänen auflösen und bietet so einen nahtlosen Zugriff auf öffentliche und private Ressourcen.

Die DNSSEC-Validierung verifiziert die Authentizität und Integrität von DNS-Antworten von öffentlichen Nameservern für mit DNSSEC signierte Domains. Diese Validierung stellt sicher, dass DNS-Antworten während der Übertragung nicht manipuliert wurden, und bietet so Schutz vor DNS-Spoofing- und Cache-Poisoning-Angriffen.

Das EDNS-Client-Subnetz ist eine optionale Funktion, die Client-Subnetzinformationen in DNS-Abfragen an autoritative Nameserver weiterleitet. Dies ermöglicht genauere geografisch basierte DNS-Antworten und reduziert möglicherweise die Latenz, indem Clients zu Netzwerken oder Servern weitergeleitet werden, die sich näher befinden. Für DNS-over-TLS (DoT) - und DNS-over-HTTPS (DoH) -Verbindungen können Sie EDNS0 verwenden, um die Client-IP-Adressinformationen zu übergeben. Wenn ECS auf Global Resolver aktiviert ist, fügt der Dienst automatisch die Client-IP ein, sofern sie nicht in der Abfrage angegeben ist.

DNS-Filterregeln definieren, wie Route 53 Global Resolver DNS-Abfragen auf der Grundlage von Domänenübereinstimmungskriterien verarbeitet. Regeln werden in der Reihenfolge ihrer Priorität ausgewertet und können Aktionen (ALLOW, BLOCK oder ALERT) für Abfragen an bestimmte Domänen oder Domänenkategorien angeben.

Domänenlisten sind Sammlungen von Domänen, die in Filterregeln verwendet werden. Sie können sein:

DNS-Tunneling wird von Angreifern verwendet, um mithilfe des DNS-Tunnels Daten vom Client zu exfiltrieren, ohne eine Netzwerkverbindung zum Client herzustellen.

Algorithmen zur Domaingenerierung (DGAs) werden von Angreifern verwendet, um eine große Anzahl von Domainnamen für ihre command-and-control Server zu erstellen.

Jeder Erkennungsalgorithmus gibt einen Konfidenzwert aus, der die Regelauslösung bestimmt. Höhere Vertrauensschwellen reduzieren Fehlalarme, können aber ausgeklügelte Angriffe übersehen. Niedrigere Schwellenwerte erhöhen die Erkennungsempfindlichkeit, erfordern jedoch zusätzliche Alarmanalysen, um falsch positive Ergebnisse herauszufiltern.

Nur Support ALERT und BLOCK Aktionen für erweiterte Regeln zum Schutz vor Bedrohungen. Die ALLOW Aktion wird nicht unterstützt, da die algorithmische Erkennung harmlosen Datenverkehr nicht eindeutig klassifizieren kann, sondern nur potenziell bösartige Muster identifizieren kann.

Abfrageprotokolle enthalten detaillierte Informationen zu DNS-Abfragen, die von Route 53 Global Resolver verarbeitet werden, einschließlich Quell-IP, abgefragter Domain, Antwortcode, ergriffenen Richtlinienaktionen und Zeitstempel. Protokolle können zur Analyse und zur Erstellung von Compliance-Berichten an Amazon CloudWatch, Amazon Data Firehose oder Amazon Simple Storage Service übermittelt werden.

Das Open Cybersecurity Schema Framework (OCSF) -Format ist ein standardisiertes Protokollierungsformat, das von Route 53 Global Resolver für DNS-Abfrageprotokolle verwendet wird. Dieses Format bietet konsistente, strukturierte Daten, die sich problemlos in SIEM-Systeme (Security Information and Event Management) und andere Sicherheitstools integrieren lassen.

Protokollziele bestimmen, wohin DNS-Abfrageprotokolle übermittelt werden, wobei jedes Protokoll unterschiedliche Merkmale aufweist:

Die Observability-Region bestimmt, wohin DNS-Abfrageprotokolle übermittelt werden.