Configurer les paramètres des vues DNS dans Route 53 Global Resolver - Amazon Route 53
Configuration des paramètres DNS pour les groupes de clientsBonnes pratiques pour organiser des groupes d'appareils clients

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer les paramètres des vues DNS dans Route 53 Global Resolver

Route 53 Global Resolver vous permet de configurer différentes politiques DNS et différents contrôles d'accès pour différents groupes d'appareils clients en fonction de leurs exigences de sécurité et de leurs besoins d'accès. Configurez des politiques DNS et des contrôles d'accès dans Route 53 Global Resolver pour différents groupes d'appareils clients en fonction de leurs exigences de sécurité et de leurs besoins d'accès.

Configuration des paramètres DNS pour les groupes de clients

Chaque vue DNS possède plusieurs paramètres qui contrôlent la manière dont les requêtes DNS sont traitées et résolues pour différents groupes de périphériques clients.

Validation DNSSEC

La validation DNSSEC permet de garantir que les réponses DNS pour les domaines publics sont authentiques et n'ont pas été falsifiées. Lorsque vous activez la validation DNSSEC, Route 53 Global Resolver vérifie les signatures DNSSEC et renvoie SERVFAIL pour les domaines dont les signatures ne sont pas valides.

Envisagez d'activer la validation DNSSEC si :

  • Votre entreprise a besoin d'une vérification cryptographique des réponses DNS

  • Vous souhaitez vous protéger contre l'usurpation du DNS et les attaques d'empoisonnement du cache

  • Vous avez des exigences de conformité qui nécessitent une validation DNSSEC

Note

La validation DNSSEC ne s'applique qu'aux domaines publics. Les zones hébergées privées utilisent leurs propres mécanismes d'authentification.

Sous-réseau du client EDNS (ECS)

Le sous-réseau du client EDNS inclut des informations sur l'emplacement réseau du client dans les requêtes DNS envoyées aux serveurs faisant autorité. Cela permet aux réseaux de diffusion de contenu et aux services répartis géographiquement de fournir des réponses adaptées à la localisation.

ECS peut vous aider à :

  • Bénéficiez de meilleures performances grâce à des services distribués géographiquement

  • Améliorez la précision du routage du réseau de diffusion de contenu

  • Respectez mieux les restrictions régionales en matière de contenu

Considérations relatives à la confidentialité :

  • ECS révèle des informations IP partielles du client aux serveurs autorisés (maximum /24 pour IPv4 et /48 pour) IPv6

  • Tenez compte des exigences de confidentialité de votre organisation avant d'activer

Le pare-feu ne s'ouvre pas

Le paramètre d'ouverture en cas d'échec du pare-feu détermine ce qui se passe lorsque les règles du pare-feu DNS ne peuvent pas être évaluées en raison d'une défaillance du service ou de problèmes de configuration.

Désactivé (par défaut)

Les requêtes DNS sont bloquées lorsque les règles de pare-feu ne peuvent pas être évaluées. Cela vous garantit une sécurité maximale, mais peut affecter la disponibilité en cas de problème de service.

Activé

Les requêtes DNS sont autorisées lorsque les règles de pare-feu ne peuvent pas être évaluées. Cela donne la priorité à la disponibilité plutôt qu'à la sécurité en cas de problème de service.

Bonnes pratiques pour organiser des groupes d'appareils clients

Suivez ces bonnes pratiques lors de la conception de vues DNS pour différents groupes de périphériques clients :

Afficher les stratégies de l'organisation

  • Séparé en fonction des exigences de sécurité : créez des vues différentes pour les appareils clients avec des autorisations de sécurité ou des niveaux d'accès différents

  • Organiser par emplacement : utilisez des vues distinctes pour différents emplacements géographiques ou segments de réseau

  • Regrouper par type d'appareil - Créez des vues dédiées pour les serveurs, les postes de travail, les appareils mobiles ou les appareils IoT

  • Utiliser des noms descriptifs : choisissez des noms qui indiquent clairement l'objectif de la vue et les appareils clients cibles

Considérations sur la sécurité

  • Principe du moindre privilège - Configurez chaque vue avec l'accès minimum requis pour ses appareils clients

  • Refus par défaut : commencez par des règles de pare-feu restrictives et ajoutez des exceptions si nécessaire

  • Révision régulière : révision et mise à jour périodiques des configurations d'affichage DNS

  • Surveiller l'utilisation : utilisez les journaux de requêtes DNS pour surveiller et analyser les modèles d'utilisation des vues DNS