Configurar los ajustes de las vistas de DNS en Route 53 Global Resolver - Amazon Route 53
Configurar los ajustes de DNS para los grupos de clientesPrácticas recomendadas para organizar los grupos de dispositivos de los clientes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar los ajustes de las vistas de DNS en Route 53 Global Resolver

Route 53 Global Resolver le permite configurar diferentes políticas de DNS y controles de acceso para diferentes grupos de dispositivos cliente en función de sus requisitos de seguridad y necesidades de acceso. Configure políticas de DNS y controles de acceso en Route 53 Global Resolver para diferentes grupos de dispositivos cliente en función de sus requisitos de seguridad y necesidades de acceso.

Configurar los ajustes de DNS para los grupos de clientes

Cada vista de DNS tiene varios ajustes que controlan el modo en que se procesan y resuelven las consultas de DNS para los distintos grupos de dispositivos cliente.

Validación de DNSSEC

La validación de DNSSEC ayuda a garantizar que las respuestas de DNS de los dominios públicos sean auténticas y no hayan sido manipuladas. Al habilitar la validación de DNSSEC, Route 53 Global Resolver comprueba las firmas de DNSSEC y devuelve SERVFAIL para los dominios con firmas no válidas.

Considere la posibilidad de habilitar la validación de DNSSEC si:

  • Su organización necesita la verificación criptográfica de las respuestas de DNS

  • Desea protegerse contra los ataques de suplantación de DNS y de envenenamiento de la caché

  • Tiene requisitos de conformidad que requieren la validación del DNSSEC

nota

La validación de DNSSEC solo se aplica a los dominios públicos. Las zonas alojadas privadas utilizan sus propios mecanismos de autenticación.

Subred de clientes EDNS (ECS)

La subred de clientes de EDNS incluye información sobre la ubicación de la red del cliente en las consultas de DNS que se envían a los servidores autorizados. Esto permite que las redes de entrega de contenido y los servicios distribuidos geográficamente proporcionen respuestas adecuadas a la ubicación.

ECS puede ayudarlo a:

  • Obtenga un mejor rendimiento de los servicios distribuidos geográficamente

  • Mejore la precisión del enrutamiento de la red de entrega de

  • Cumpla mejor con las restricciones de contenido regionales

Consideraciones de privacidad:

  • ECS revela información parcial de la IP del cliente a los servidores autorizados (máximo /24 para IPv4 y /48 para) IPv6

  • Tenga en cuenta los requisitos de privacidad de su organización antes de activarlos

Error al abrir el firewall

La configuración de apertura por error del firewall determina lo que ocurre cuando las reglas del firewall de DNS no se pueden evaluar debido a un deterioro del servicio o a problemas de configuración.

Desactivado (predeterminado)

Las consultas de DNS se bloquean cuando no se pueden evaluar las reglas del firewall. Esto le proporciona la máxima seguridad, pero puede afectar a la disponibilidad en caso de problemas con el servicio.

Habilitado

Se permiten las consultas de DNS cuando no se pueden evaluar las reglas del firewall. Esto da prioridad a la disponibilidad por encima de la seguridad durante los problemas de servicio.

Prácticas recomendadas para organizar los grupos de dispositivos de los clientes

Siga estas prácticas recomendadas al diseñar vistas de DNS para distintos grupos de dispositivos cliente:

Vea las estrategias de la organización

  • Separe según los requisitos de seguridad: cree diferentes vistas para los dispositivos cliente con diferentes autorizaciones de seguridad o niveles de acceso

  • Organice por ubicación: utilice vistas independientes para diferentes ubicaciones geográficas o segmentos de red

  • Agrupar por tipo de dispositivo: cree vistas dedicadas para servidores, estaciones de trabajo, dispositivos móviles o dispositivos de IoT

  • Utilice nombres descriptivos: elija nombres que indiquen claramente el propósito de la vista y los dispositivos cliente de destino

Consideraciones de seguridad

  • Principio de privilegios mínimos: configure cada vista con el acceso mínimo necesario para sus dispositivos cliente

  • Denegar por defecto: comience con reglas de firewall restrictivas y añada excepciones según sea necesario

  • Revisión periódica: revise y actualice periódicamente las configuraciones de visualización de DNS

  • Supervise el uso: utilice los registros de consultas del DNS para supervisar y analizar los patrones de uso de las vistas del DNS