Casos de uso de seguridad de DNS y horizonte dividido para Route 53 Global Resolver

Habilite el acceso global a las zonas alojadas privadas (PHZs) en Amazon Route 53 desde cualquier ubicación y, al mismo tiempo, resuelva los dominios públicos en Internet. Permita que las sucursales y ubicaciones remotas resuelvan los nombres de las aplicaciones internas sin complejas configuraciones de VPN ni reenvíos específicos de cada región. Implemente un DNS de horizonte dividido para proporcionar diferentes respuestas de DNS en función del cliente que realiza la consulta, lo que ayuda a los clientes remotos a resolver las consultas de dominios públicos y privados.

Proteja las ubicaciones y sucursales remotas de los ataques de exfiltración de datos basados en el DNS filtrando las consultas a dominios maliciosos. Mejore la privacidad cifrando el tráfico de DNS en tránsito mediante DNS-over-HTTPS (DoH) y DNS-over-TLS (DoT) para garantizar que solo los clientes autorizados puedan acceder a sus servicios de DNS. Aplica políticas de seguridad para bloquear amenazas como los túneles de DNS y los algoritmos de generación de dominios (). DGAs Valide la autenticidad de la respuesta del DNS mediante las DNSSEC (extensiones de seguridad del sistema de nombres de dominio) para los dominios firmados por el DNSSEC a fin de protegerse contra los ataques de suplantación de DNS y de envenenamiento de la caché.

Logre una alta disponibilidad mediante la implementación global y mantenga una configuración de DNS uniforme en todo el mundo desde una única interfaz de administración. Route 53 Global Resolver se ejecuta en todas las regiones que Regiones de AWS usted elija y utiliza direcciones IP anycast que dirigen automáticamente las consultas a la región disponible más cercana para lograr un rendimiento y una confiabilidad óptimos. Las empresas globales pueden configurar y administrar las políticas de DNS de forma centralizada y, al mismo tiempo, proporcionar a los clientes un conjunto único de direcciones IP que funcionan a nivel mundial con una optimización geográfica automática. La redundancia integrada garantiza la continuidad del servicio incluso si las regiones individuales dejan de estar disponibles.

Controle el acceso a Internet en varias ubicaciones mediante la creación de listas de dominios personalizadas o mediante listas de dominios AWS gestionadas. Para ayudarle a implementar políticas de filtrado y contenido de acuerdo con sus necesidades, las listas de dominios gestionadas incluyen varias categorías de amenazas al DNS que abarcan varios dominios. Configure la fuente de acceso mediante listas de IP permitidas o tokens de acceso, y configure diferentes políticas de filtrado para diferentes ubicaciones de oficinas o grupos de clientes.

Elija el método de autenticación que mejor se adapte a su implementación: autenticación basada en token o autenticación basada en IP mediante las listas de permisos del rango CIDR de origen.

Supervisa la actividad de DNS en toda tu organización enviando los registros a Amazon CloudWatch, Firehose o Amazon Simple Storage Service. Elija una región de destino única para el almacenamiento centralizado de registros a fin de respaldar las auditorías de seguridad, los requisitos de conformidad y la investigación de amenazas.