Konfigurasikan pengaturan untuk tampilan DNS di Route 53 Global Resolver - Amazon Route 53
Mengkonfigurasi pengaturan DNS untuk grup klienPraktik terbaik untuk mengatur grup perangkat klien

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan pengaturan untuk tampilan DNS di Route 53 Global Resolver

Route 53 Global Resolver memungkinkan Anda mengonfigurasi kebijakan DNS dan kontrol akses yang berbeda untuk grup perangkat klien yang berbeda berdasarkan persyaratan keamanan dan kebutuhan akses mereka. Siapkan kebijakan DNS dan kontrol akses di Route 53 Global Resolver untuk berbagai grup perangkat klien berdasarkan persyaratan keamanan dan kebutuhan akses mereka.

Mengkonfigurasi pengaturan DNS untuk grup klien

Setiap tampilan DNS memiliki beberapa pengaturan yang mengontrol bagaimana kueri DNS diproses dan diselesaikan untuk grup perangkat klien yang berbeda.

Validasi DNSSEC

Validasi DNSSEC membantu memastikan bahwa respons DNS untuk domain publik adalah otentik dan belum dirusak. Saat Anda mengaktifkan validasi DNSSEC, Route 53 Global Resolver memeriksa tanda tangan DNSSEC dan mengembalikan SERVFAIL untuk domain dengan tanda tangan tidak valid.

Pertimbangkan untuk mengaktifkan validasi DNSSEC jika:

  • Organisasi Anda memerlukan verifikasi kriptografi tanggapan DNS

  • Anda menginginkan perlindungan terhadap spoofing DNS dan serangan keracunan cache

  • Anda memiliki persyaratan kepatuhan yang memerlukan validasi DNSSEC

catatan

Validasi DNSSEC hanya berlaku untuk domain publik. Zona yang dihosting pribadi menggunakan mekanisme otentikasi mereka sendiri.

Subnet Klien EDNS (ECS)

EDNS Client Subnet mencakup informasi tentang lokasi jaringan klien dalam kueri DNS yang dikirim ke server otoritatif. Hal ini memungkinkan jaringan pengiriman konten dan layanan yang didistribusikan secara geografis untuk memberikan tanggapan yang sesuai lokasi.

ECS dapat membantu Anda:

  • Dapatkan kinerja yang lebih baik dari layanan yang didistribusikan secara geografis

  • Meningkatkan akurasi perutean jaringan pengiriman konten

  • Lebih baik mematuhi pembatasan konten regional

Pertimbangan privasi:

  • ECS mengungkapkan sebagian informasi IP klien ke server otoritatif (maksimum/24 untuk IPv4 dan /48 untuk) IPv6

  • Pertimbangkan persyaratan privasi organisasi Anda sebelum mengaktifkan

Firewall gagal terbuka

Firewall gagal membuka pengaturan menentukan apa yang terjadi ketika aturan firewall DNS tidak dapat dievaluasi karena gangguan layanan atau masalah konfigurasi.

Dinonaktifkan (default)

Kueri DNS diblokir ketika aturan firewall tidak dapat dievaluasi. Ini memberi Anda keamanan maksimum tetapi dapat memengaruhi ketersediaan selama masalah layanan.

Diaktifkan

Kueri DNS diperbolehkan ketika aturan firewall tidak dapat dievaluasi. Ini memprioritaskan ketersediaan daripada keamanan selama masalah layanan.

Praktik terbaik untuk mengatur grup perangkat klien

Ikuti praktik terbaik ini saat mendesain tampilan DNS untuk grup perangkat klien yang berbeda:

Lihat strategi organisasi

  • Pisahkan dengan persyaratan keamanan - Buat tampilan berbeda untuk perangkat klien dengan izin keamanan atau tingkat akses yang berbeda

  • Atur berdasarkan lokasi - Gunakan tampilan terpisah untuk lokasi geografis atau segmen jaringan yang berbeda

  • Kelompokkan berdasarkan jenis perangkat - Buat tampilan khusus untuk server, workstation, perangkat seluler, atau perangkat IoT

  • Gunakan nama deskriptif - Pilih nama yang secara jelas menunjukkan tujuan tampilan dan perangkat klien target

Pertimbangan keamanan

  • Prinsip hak istimewa terkecil - Konfigurasikan setiap tampilan dengan akses minimum yang diperlukan untuk perangkat kliennya

  • Default deny - Mulai dengan aturan firewall terbatas dan tambahkan pengecualian sesuai kebutuhan

  • Tinjauan rutin - Tinjau dan perbarui konfigurasi tampilan DNS secara berkala

  • Memantau penggunaan - Gunakan log kueri DNS untuk memantau dan menganalisis pola penggunaan tampilan DNS