So funktioniert Route 53 Global Resolver - Amazon Route 53
Was passiert, wenn Clients DNS-Abfragen stellenGlobale Anycast-ArchitekturDNS-Filterung und Sicherheit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert Route 53 Global Resolver

Route 53 Global Resolver ermöglicht eine geteilte DNS-Auflösung zwischen öffentlichen und privaten Domänen, bietet Hochverfügbarkeit über die beiden oder mehr von AWS-Regionen Ihnen ausgewählten Domänen und schützt DNS-Abfragen, indem Anfragen abgefangen und DNS-Filterrichtlinien angewendet werden. Wenn Sie diesen Prozess verstehen, können Sie Probleme beheben und Ihre Implementierung im Hinblick auf Leistung, Verfügbarkeit und Sicherheit optimieren.

Was passiert, wenn Clients DNS-Abfragen stellen

Wenn jemand an Ihrem Standort versucht, eine Domain abzufragen, verarbeitet Route 53 Global Resolver seine DNS-Anfrage über mehrere Sicherheitsebenen.

Die Verarbeitung der DNS-Abfrage umfasst die folgenden aufeinanderfolgenden Schritte:

  1. Empfang von Abfragen — Client-Geräte senden DNS-Abfragen an die Anycast-IP-Adressen von Route 53 Global Resolver. Das Anycast-Routing leitet Anfragen automatisch an die nächstgelegene Region weiter. AWS

  2. Authentifizierung — Route 53 Global Resolver authentifiziert den Client mithilfe konfigurierter Authentifizierungsmethoden (tokenbasiert für DoH/DoT oder IP-Zugriffsquelle für alle Protokolle).

  3. Richtlinienbewertung — Der Dienst bewertet DNS-Abfragen anhand konfigurierter Sicherheitsrichtlinien und Domänenlisten, um die geeignete Aktion (Zulassen, Blockieren oder Alarmen) zu ermitteln. Bei Abfragen, die auf privat gehostete Zonen abzielen, überprüft Route 53 Global Resolver, ob der Client auf der Grundlage der von Ihrem Administrator verwalteten DNS-View-Regel für den Zugriff auf die private Domain autorisiert ist, bevor er mit der Lösung fortfährt.

  4. Lösung — Bei zulässigen Abfragen führt Route 53 Global Resolver die DNS-Auflösung je nach Bedarf mit öffentlichen DNS-Resolvern oder privaten Hosting-Zonenauflösungen durch.

  5. Antwortzustellung — Der Dienst sendet die DNS-Antwort an den Client zurück und protokolliert die Abfragedetails zur Überwachung und Analyse.

Globale Anycast-Architektur

Route 53 Global Resolver verwendet Anycast-IP-Adressen, um globale Verfügbarkeit und automatisches geografisches Routing zu gewährleisten.

Route 53 Global Resolver verwendet Anycast-IP-Adressen, um Folgendes bereitzustellen:

  • Automatisches geografisches Routing — DNS-Abfragen werden automatisch an die nächstgelegene AWS Region weitergeleitet, um eine optimale Leistung zu erzielen.

  • Integrierte Redundanz — Wenn eine Region nicht verfügbar ist, wird der Datenverkehr automatisch auf die nächstgelegene Region umgeleitet.

  • Konsistente IP-Adressen — Clients verwenden unabhängig von ihrem Standort dieselben Anycast-IP-Adressen, was die Konfiguration vereinfacht.

DNS-Filterung und Sicherheit

Route 53 Global Resolver bietet umfassende DNS-Filterung und Sicherheit über mehrere Ebenen. Das Diagramm zur DNS-Filterung und Sicherheitsarchitektur zeigt, wie Abfragen über Authentifizierungs-, Richtlinienbewertungs- und Auflösungsebenen verarbeitet werden.

Route 53 Global Resolver bietet umfassende DNS-Sicherheit durch:

  • Domainbasierte Filterung — Blockieren oder Zulassen von Abfragen, die auf Domainnamen basieren, mithilfe benutzerdefinierter oder AWS verwalteter Domainlisten.

  • Integration von Bedrohungsinformationen — Nutzen Sie AWS verwaltete Bedrohungsinformationen, um bekannte bösartige Domänen automatisch zu blockieren.

  • Erweiterte Bedrohungserkennung — Erkennen und blockieren Sie DNS-Tunnelversuche und DGA-Muster (Domain Generation Algorithm).

  • Überwachung in Echtzeit — Generieren Sie Warnmeldungen und Protokolle für Sicherheitsereignisse und Richtlinienverstöße.