Cómo funciona Route 53 Global Resolver - Amazon Route 53
¿Qué ocurre cuando los clientes realizan consultas de DNSArquitectura anycast globalFiltrado y seguridad de DNS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona Route 53 Global Resolver

Route 53 Global Resolver permite la resolución de DNS de tráfico dividido entre dominios públicos y privados, proporciona alta disponibilidad a través de los dos o más Regiones de AWS que elija y protege las consultas de DNS interceptando las solicitudes y aplicando políticas de filtrado de DNS. Comprender este proceso le ayuda a solucionar problemas y a optimizar su implementación en términos de rendimiento, disponibilidad y seguridad.

¿Qué ocurre cuando los clientes realizan consultas de DNS

Cuando alguien en su ubicación intenta consultar el dominio, Route 53 Global Resolver procesa su solicitud de DNS a través de varios niveles de seguridad.

El procesamiento de las consultas de DNS implica estos pasos secuenciales:

  1. Recepción de consultas: los dispositivos cliente envían consultas de DNS a las direcciones IP anycast de Route 53 Global Resolver. El enrutamiento anycast dirige automáticamente las consultas a la región más cercana AWS .

  2. Autenticación: Route 53 Global Resolver autentica al cliente mediante métodos de autenticación configurados (basados en token DoH/DoT o fuente de acceso IP para todos los protocolos).

  3. Evaluación de políticas: el servicio evalúa las consultas de DNS comparándolas con las políticas de seguridad y las listas de dominios configuradas para determinar la acción adecuada (permitir, bloquear o alertar). Para las consultas dirigidas a zonas alojadas privadas, Route 53 Global Resolver comprueba si el cliente está autorizado a acceder al dominio privado según la regla de visualización de DNS administrada por el administrador antes de continuar con la resolución.

  4. Resolución: para las consultas permitidas, Route 53 Global Resolver realiza la resolución de DNS mediante resolutores de DNS públicos o una resolución de zona alojada privada, según corresponda.

  5. Entrega de respuestas: el servicio devuelve la respuesta de DNS al cliente y registra los detalles de la consulta para su supervisión y análisis.

Arquitectura anycast global

Route 53 Global Resolver utiliza direcciones IP anycast para proporcionar disponibilidad global y enrutamiento geográfico automático.

Route 53 Global Resolver usa direcciones IP anycast para proporcionar:

  • Enrutamiento geográfico automático: las consultas de DNS se redirigen automáticamente a la AWS región más cercana para obtener un rendimiento óptimo.

  • Redundancia integrada: si una región deja de estar disponible, el tráfico se transfiere automáticamente a la siguiente región más cercana.

  • Direcciones IP coherentes: los clientes utilizan las mismas direcciones IP de transmisión automática independientemente de su ubicación, lo que simplifica la configuración.

Filtrado y seguridad de DNS

Route 53 Global Resolver proporciona seguridad y filtrado de DNS integrales a través de múltiples capas. El diagrama de la arquitectura de filtrado y seguridad del DNS ilustra cómo se procesan las consultas mediante las capas de autenticación, evaluación de políticas y resolución.

Route 53 Global Resolver proporciona una seguridad de DNS integral a través de:

  • Filtrado basado en dominios: bloquee o permita consultas basadas en nombres de dominio mediante listas de dominios personalizadas o AWS administradas.

  • Integración de la inteligencia de amenazas: aproveche la inteligencia de amenazas AWS gestionada para bloquear automáticamente los dominios maliciosos conocidos.

  • Detección avanzada de amenazas: detecte y bloquee los intentos de creación de túneles en el DNS y los patrones del algoritmo de generación de dominios (DGA).

  • Supervisión en tiempo real: genere alertas y registros de eventos de seguridad e infracciones de políticas.