Concepts et composants clés de Route 53 Global Resolver

Instance de service principale qui fournit une résolution et un filtrage DNS à votre organisation dans plusieurs AWS régions. Votre résolveur global utilise la technologie anycast pour acheminer automatiquement les requêtes DNS vers la région disponible la plus proche, garantissant ainsi des temps de réponse rapides à tous les clients, où qu'ils se trouvent.

Deux IPv6 adresses IPv4 ou adresses uniques attribuées à votre résolveur global que vous configurez sur les appareils clients et les équipements réseau. Ces adresses IP anycast sont les mêmes dans le monde entier, ce qui simplifie la configuration DNS sur tous vos sites. L'adressage IP Anycast permet le routage automatique des requêtes DNS vers le résolveur global le plus proche, optimisant ainsi les temps de réponse et améliorant la fiabilité du service.

Des modèles de configuration qui vous permettent d'appliquer différentes politiques DNS aux différents groupes de clients de votre réseau. Utilisez les vues DNS pour implémenter le DNS à horizon partagé, par exemple, appliquez un filtrage strict et une authentification par jeton pour les sites distants, tout en utilisant un accès basé sur IP et des politiques de sécurité différentes pour les succursales.

Connexions DNS sécurisées à l'aide de jetons chiffrés pour DNS-over-HTTPS (DoH) et DNS-over-TLS (DoT). Vous pouvez générer des jetons d'accès uniques pour des clients individuels ou des groupes d'appareils, définir des périodes d'expiration et révoquer des jetons si nécessaire.

Contrôlez l'accès à l'aide d'adresses IP et de listes d'adresses CIDR autorisées. Vous pouvez configurer les adresses IP publiques ou les plages de réseaux de votre succursale, puis spécifier les protocoles DNS (DNS-over-port-53, DoT ou DoH) que chaque site peut utiliser en fonction de vos exigences de sécurité.

Choisissez le protocole DNS approprié en fonction de vos besoins en matière de sécurité et de compatibilité :

La résolution DNS hybride permet à Route 53 Global Resolver de résoudre simultanément les requêtes des utilisateurs locaux et des applications vers des applications privées. AWS

L'accès global aux zones privées étend la portée des zones hébergées privées Amazon Route 53 au-delà des limites des VPC. Les clients autorisés, n'importe où sur Internet, peuvent résoudre des noms de domaine privés, ce qui permet aux équipes distribuées d'accéder aux ressources internes sans les exigences de connectivité réseau traditionnelles.

Le basculement sans faille garantit un accès continu aux ressources privées et publiques, même lorsque AWS certaines régions ne sont plus disponibles. L'architecture anycast achemine automatiquement les requêtes vers les régions saines tout en maintenant un comportement de résolution cohérent.

Le déploiement multirégional distribue les instances de Route 53 Global Resolver dans au moins 2 AWS régions afin de garantir une haute disponibilité et de permettre le basculement en cas de panne de service. Vous pouvez sélectionner des régions spécifiques en fonction de vos exigences géographiques et de vos besoins de conformité.

L'optimisation géographique automatique achemine les requêtes DNS vers la AWS région disponible la plus proche en fonction de la topologie et de la latence du réseau. Cela réduit les temps de réponse et améliore l'expérience utilisateur pour les organisations réparties dans le monde entier.

La redondance intégrée garantit la continuité du service grâce au basculement automatique vers d'autres régions lorsque les régions principales ne sont plus disponibles. Les clients continuent d'utiliser les mêmes adresses IP anycast tandis que le trafic est redirigé de manière transparente.

La résolution des zones hébergées privées permet à Route 53 Global Resolver de résoudre les requêtes DNS pour les zones hébergées privées Route 53 dans toutes AWS les régions. Cela permet aux clients autorisés de résoudre les domaines des applications et des ressources hébergées par Route 53 depuis n'importe où sur Internet.

Split-horizon DNS fournit différentes réponses DNS en fonction du client effectuant la requête. Route 53 Global Resolver peut résoudre des domaines publics sur Internet tout en résolvant simultanément des domaines privés, offrant ainsi un accès fluide aux ressources publiques et privées.

La validation DNSSEC vérifie l'authenticité et l'intégrité des réponses DNS des serveurs de noms publics pour les domaines signés DNSSEC. Cette validation garantit que les réponses DNS n'ont pas été altérées pendant la transmission, offrant ainsi une protection contre l'usurpation du DNS et les attaques d'empoisonnement du cache.

Le sous-réseau client EDNS est une fonctionnalité facultative qui transmet les informations du sous-réseau client dans les requêtes DNS à des serveurs de noms faisant autorité. Cela permet d'obtenir des réponses DNS géographiques plus précises, réduisant potentiellement le temps de latence en dirigeant les clients vers des réseaux ou des serveurs de diffusion de contenu plus proches. Pour les connexions DNS-over-TLS (DoT) et DNS-over-HTTPS (DoH), vous pouvez utiliser EDNS0 pour transmettre les informations d'adresse IP du client. Lorsque ECS est activé sur Global Resolver, le service injecte automatiquement l'adresse IP du client si elle n'est pas fournie dans la requête.

Les règles de filtrage DNS définissent la manière dont Route 53 Global Resolver gère les requêtes DNS en fonction des critères de correspondance des domaines. Les règles sont évaluées par ordre de priorité et peuvent spécifier des actions (ALLOW, BLOCK ou ALERT) pour les requêtes adressées à des domaines ou catégories de domaines spécifiques.

Les listes de domaines sont des ensembles de domaines utilisés dans les règles de filtrage. Ils peuvent être :

Le tunneling DNS est utilisé par les attaquants pour exfiltrer les données du client en utilisant le tunnel DNS sans établir de connexion réseau avec le client.

Les algorithmes de génération de domaines (DGAs) sont utilisés par les attaquants pour créer un grand nombre de noms de domaine pour ses command-and-control serveurs.

Chaque algorithme de détection produit un score de confiance qui détermine le déclenchement des règles. Des seuils de confiance plus élevés réduisent les faux positifs, mais risquent de passer à côté d'attaques sophistiquées. Des seuils plus bas augmentent la sensibilité de détection, mais nécessitent une analyse d'alerte supplémentaire pour filtrer les faux positifs.

Les règles avancées de protection contre les menaces ne prennent en charge que ALERT les BLOCK actions. L'ALLOWaction n'est pas prise en charge car la détection algorithmique ne permet pas de classer définitivement le trafic bénin, mais uniquement d'identifier les modèles potentiellement malveillants.

Les journaux de requêtes fournissent des informations détaillées sur les requêtes DNS traitées par Route 53 Global Resolver, notamment l'adresse IP source, le domaine interrogé, le code de réponse, les mesures politiques prises et les horodatages. Les journaux peuvent être transmis à Amazon CloudWatch, Amazon Data Firehose ou Amazon Simple Storage Service à des fins d'analyse et de rapports de conformité.

Le format OCSF (Open Cybersecurity Schema Framework) est un format de journalisation standardisé utilisé par Route 53 Global Resolver pour les journaux de requêtes DNS. Ce format fournit des données cohérentes et structurées qui s'intègrent facilement aux systèmes de gestion des informations et des événements de sécurité (SIEM) et à d'autres outils de sécurité.

Les destinations des journaux déterminent l'endroit où les journaux de requêtes DNS sont fournis, chacune ayant des caractéristiques différentes :

La région d'observabilité détermine où les journaux de requêtes DNS sont fournis.