Konfigurieren Sie die Einstellungen für DNS-Ansichten in Route 53 Global Resolver - Amazon Route 53
Konfiguration von DNS-Einstellungen für Client-GruppenBewährte Methoden für die Organisation von Client-Gerätegruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie die Einstellungen für DNS-Ansichten in Route 53 Global Resolver

Mit Route 53 Global Resolver können Sie je nach Sicherheitsanforderungen und Zugriffsanforderungen unterschiedliche DNS-Richtlinien und Zugriffskontrollen für verschiedene Gruppen von Client-Geräten konfigurieren. Richten Sie DNS-Richtlinien und Zugriffskontrollen in Route 53 Global Resolver für verschiedene Gruppen von Client-Geräten auf der Grundlage ihrer Sicherheits- und Zugriffsanforderungen ein.

Konfiguration von DNS-Einstellungen für Client-Gruppen

Jede DNS-Ansicht verfügt über mehrere Einstellungen, mit denen gesteuert wird, wie DNS-Abfragen für verschiedene Client-Gerätegruppen verarbeitet und gelöst werden.

DNSSEC-Validierung

Durch die DNSSEC-Validierung wird sichergestellt, dass DNS-Antworten für öffentliche Domänen authentisch sind und nicht manipuliert wurden. Wenn Sie die DNSSEC-Validierung aktivieren, überprüft Route 53 Global Resolver DNSSEC-Signaturen und gibt SERVFAIL für Domänen mit ungültigen Signaturen zurück.

Erwägen Sie, die DNSSEC-Validierung zu aktivieren, wenn:

  • Ihr Unternehmen benötigt eine kryptografische Überprüfung von DNS-Antworten

  • Sie möchten sich vor DNS-Spoofing- und Cache-Poisoning-Angriffen schützen

  • Sie haben Compliance-Anforderungen, die eine DNSSEC-Validierung erfordern

Anmerkung

Die DNSSEC-Validierung gilt nur für öffentliche Domains. Private gehostete Zonen verwenden ihre eigenen Authentifizierungsmechanismen.

EDNS-Client-Subnetz (ECS)

Das EDNS-Client-Subnetz enthält Informationen über den Netzwerkstandort des Clients in DNS-Abfragen, die an autorisierende Server gesendet werden. Auf diese Weise können Netzwerke zur Inhaltsbereitstellung und geografisch verteilte Dienste standortgerechte Antworten bereitstellen.

ECS kann Ihnen helfen:

  • Holen Sie sich eine bessere Leistung mit geografisch verteilten Diensten

  • Verbessern Sie die Genauigkeit der Netzwerkweiterleitung von Inhalten

  • Halten Sie regionale Inhaltsbeschränkungen besser ein

Überlegungen zum Datenschutz:

  • ECS gibt einen Teil der Client-IP-Informationen an autorisierende Server weiter (maximal /24 für IPv4 und /48 für) IPv6

  • Berücksichtigen Sie vor der Aktivierung die Datenschutzanforderungen Ihres Unternehmens

Die Firewall konnte nicht geöffnet werden

Die Einstellung zum Öffnen der Firewall legt fest, was passiert, wenn DNS-Firewallregeln aufgrund von Dienstbeeinträchtigungen oder Konfigurationsproblemen nicht ausgewertet werden können.

Deaktiviert (Standard)

DNS-Abfragen werden blockiert, wenn Firewallregeln nicht ausgewertet werden können. Dies bietet Ihnen maximale Sicherheit, kann jedoch die Verfügbarkeit bei Serviceproblemen beeinträchtigen.

Aktiviert

DNS-Abfragen sind zulässig, wenn Firewallregeln nicht ausgewertet werden können. Dadurch wird der Verfügbarkeit bei Serviceproblemen Vorrang vor der Sicherheit eingeräumt.

Bewährte Methoden für die Organisation von Client-Gerätegruppen

Beachten Sie beim Entwerfen von DNS-Ansichten für verschiedene Client-Gerätegruppen die folgenden bewährten Methoden:

Unternehmensstrategien anzeigen

  • Nach Sicherheitsanforderungen getrennt — Erstellen Sie unterschiedliche Ansichten für Client-Geräte mit unterschiedlichen Sicherheitsfreigaben oder Zugriffsebenen

  • Nach Standort organisieren — Verwenden Sie separate Ansichten für verschiedene geografische Standorte oder Netzwerksegmente

  • Nach Gerätetyp gruppieren — Erstellen Sie spezielle Ansichten für Server, Workstations, mobile Geräte oder IoT-Geräte

  • Verwenden Sie aussagekräftige Namen — Wählen Sie Namen, die den Zweck der Ansicht und die Ziel-Client-Geräte eindeutig angeben

Sicherheitsüberlegungen

  • Prinzip der geringsten Rechte — Konfigurieren Sie jede Ansicht mit dem Mindestzugriff, der für die Client-Geräte erforderlich ist

  • Standardeinstellung verweigern — Beginnen Sie mit restriktiven Firewallregeln und fügen Sie nach Bedarf Ausnahmen hinzu

  • Regelmäßige Überprüfung — Überprüfen und aktualisieren Sie regelmäßig die DNS-Ansichtskonfigurationen

  • Nutzung überwachen — Verwenden Sie DNS-Abfrageprotokolle, um die Nutzungsmuster von DNS-Views zu überwachen und zu analysieren