Conceptos y componentes clave de Route 53 Global Resolver

La instancia de servicio principal que proporciona resolución y filtrado de DNS para su organización en varias AWS regiones. Su solucionador global utiliza la tecnología anycast para dirigir automáticamente las consultas de DNS a la región disponible más cercana, lo que garantiza tiempos de respuesta rápidos para todos los clientes, independientemente de su ubicación.

Dos IPv6 direcciones IPv4 OR únicas asignadas a su resolución global que usted configura en los dispositivos cliente y en los equipos de red. Estas direcciones IP anycast son las mismas en todo el mundo, lo que simplifica la configuración del DNS en todas sus ubicaciones. El direccionamiento IP Anycast permite el enrutamiento automático de las solicitudes de DNS a la resolución global más cercana, lo que optimiza los tiempos de respuesta y mejora la confiabilidad del servicio.

Plantillas de configuración que le permiten aplicar distintas políticas de DNS a distintos grupos de clientes de la red. Utilice las vistas de DNS para implementar un DNS de horizonte dividido; por ejemplo, aplique filtros estrictos y una autenticación mediante token para las ubicaciones remotas, y utilice el acceso basado en IP y diferentes políticas de seguridad para las sucursales.

Proteja las conexiones DNS mediante tokens cifrados para DNS-over-HTTPS (DoH) y DNS-over-TLS (DoT). Puede generar tokens de acceso únicos para clientes individuales o grupos de dispositivos, establecer períodos de caducidad y revocar los tokens según sea necesario.

Controle el acceso mediante listas de direcciones IP y rangos de CIDR permitidos. Puede configurar las direcciones IP públicas o los rangos de redes de la sucursal y, a continuación, especificar qué protocolos de DNS (DNS-over-Port-53, DoT o DoH) puede usar cada ubicación en función de sus requisitos de seguridad.

Elija el protocolo DNS adecuado en función de sus necesidades de seguridad y compatibilidad:

La resolución de DNS híbrido permite a Route 53 Global Resolver resolver simultáneamente las consultas de usuarios y aplicaciones locales a aplicaciones privadas en AWS ellas.

El acceso a la zona privada global amplía el alcance de las zonas alojadas privadas de Amazon Route 53 más allá de los límites de la VPC. Los clientes autorizados de cualquier parte de Internet pueden resolver los nombres de dominio privados, lo que permite a los equipos distribuidos acceder a los recursos internos sin los requisitos de conectividad de red tradicionales.

La conmutación por error perfecta garantiza el acceso continuo a los recursos públicos y privados, incluso cuando AWS las regiones individuales no estén disponibles. La arquitectura anycast enruta automáticamente las consultas a las regiones en buen estado y, al mismo tiempo, mantiene un comportamiento de resolución uniforme.

La implementación multirregional distribuye las instancias de Route 53 Global Resolver en al menos 2 AWS regiones para garantizar una alta disponibilidad y permitir la conmutación por error durante las interrupciones del servicio. Puede seleccionar regiones específicas en función de sus requisitos geográficos y de conformidad.

La optimización geográfica automática dirige las consultas de DNS a la AWS región disponible más cercana en función de la topología y la latencia de la red. Esto reduce los tiempos de respuesta y mejora la experiencia del usuario para las organizaciones distribuidas por todo el mundo.

La redundancia integrada garantiza la continuidad del servicio mediante la conmutación automática por error a regiones alternativas cuando las regiones principales dejan de estar disponibles. Los clientes siguen utilizando las mismas direcciones IP de transmisión automática mientras el tráfico se redirige de forma transparente.

La resolución de zonas alojadas privadas permite a Route 53 Global Resolver resolver las consultas de DNS para las zonas alojadas privadas de Route 53 en todas AWS las regiones. Esto permite a los clientes autorizados resolver los dominios de las aplicaciones y los recursos alojados en Route 53 desde cualquier lugar de Internet.

El DNS de horizonte dividido proporciona diferentes respuestas de DNS en función del cliente que realiza la consulta. Route 53 Global Resolver puede resolver dominios públicos en Internet y, al mismo tiempo, resolver dominios privados, lo que proporciona un acceso perfecto a los recursos públicos y privados.

La validación de DNSSEC verifica la autenticidad e integridad de las respuestas de DNS de los servidores de nombres públicos para los dominios firmados por el DNSSEC. Esta validación garantiza que las respuestas del DNS no se hayan manipulado durante la transmisión, lo que proporciona protección contra los ataques de suplantación de DNS y de envenenamiento de la caché.

La subred de clientes de EDNS es una función opcional que reenvía la información de la subred del cliente en las consultas de DNS a servidores de nombres autorizados. Esto permite respuestas de DNS geográficas más precisas, lo que podría reducir la latencia al dirigir a los clientes a redes o servidores de entrega de contenido más cercanos. Para las conexiones DNS-over-TLS (DoT) y DNS-over-HTTPS (DoH), puede usar EDNS0 para transmitir la información de la dirección IP del cliente. Cuando ECS está activado en Global Resolver, el servicio inyecta automáticamente la IP del cliente si no se proporciona en la consulta.

Las reglas de filtrado de DNS definen la forma en que Route 53 Global Resolver gestiona las consultas de DNS en función de los criterios de coincidencia de dominios. Las reglas se evalúan por orden de prioridad y pueden especificar acciones (PERMITIR, BLOQUEAR o ALERTAR) para las consultas a dominios o categorías de dominios específicos.

Las listas de dominios son conjuntos de dominios que se utilizan en las reglas de filtrado. Pueden ser:

Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.

Los atacantes utilizan los algoritmos de generación de dominios (DGAs) para crear un gran número de nombres de dominio para sus command-and-control servidores.

Cada algoritmo de detección genera una puntuación de confianza que determina la activación de la regla. Los umbrales de confianza más altos reducen los falsos positivos, pero pueden pasar por alto los ataques sofisticados. Los umbrales más bajos aumentan la sensibilidad de detección, pero requieren un análisis de alerta adicional para filtrar los falsos positivos.

Solo admiten reglas avanzadas de protección contra amenazas ALERT y BLOCK acciones. Esta ALLOW acción no es compatible porque la detección algorítmica no puede clasificar definitivamente el tráfico benigno, sino que solo identifica patrones potencialmente maliciosos.

Los registros de consultas proporcionan información detallada sobre las consultas de DNS procesadas por Route 53 Global Resolver, incluida la IP de origen, el dominio consultado, el código de respuesta, las medidas políticas adoptadas y las marcas de tiempo. Los registros se pueden enviar a Amazon CloudWatch, Amazon Data Firehose o Amazon Simple Storage Service para su análisis y elaboración de informes de conformidad.

El formato Open Cybersecurity Schema Framework (OCSF) es un formato de registro estandarizado utilizado por Route 53 Global Resolver para los registros de consultas de DNS. Este formato proporciona datos estructurados y consistentes que se integran fácilmente con los sistemas de información de seguridad y gestión de eventos (SIEM) y otras herramientas de seguridad.

Los destinos de los registros determinan dónde se envían los registros de consultas de DNS, cada uno con características diferentes:

La región de observabilidad determina dónde se entregan los registros de consultas de DNS.