Concetti e componenti chiave per Route 53 Global Resolver

L'istanza di servizio principale che fornisce la risoluzione e il filtraggio DNS per l'organizzazione in più regioni. AWS Il tuo resolver globale utilizza la tecnologia anycast per indirizzare automaticamente le query DNS alla regione disponibile più vicina, garantendo tempi di risposta rapidi per tutti i client indipendentemente dalla loro posizione.

Due IPv6 indirizzi IPv4 o univoci assegnati al resolver globale che configuri sui dispositivi client e sulle apparecchiature di rete. Questi indirizzi IP anycast sono gli stessi a livello globale, il che semplifica la configurazione DNS in tutte le sedi. L'indirizzamento IP Anycast consente l'instradamento automatico delle richieste DNS verso il resolver globale più vicino, ottimizzando i tempi di risposta e migliorando l'affidabilità del servizio.

Modelli di configurazione che consentono di applicare politiche DNS diverse a diversi gruppi di client della rete. Utilizza le viste DNS per implementare il DNS con orizzonte diviso, ad esempio applica filtri rigorosi e autenticazione tramite token per le postazioni remote, utilizzando al contempo l'accesso basato su IP e diverse politiche di sicurezza per le filiali.

Connessioni DNS sicure utilizzando token crittografati per DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT). È possibile generare token di accesso univoci per singoli client o gruppi di dispositivi, impostare periodi di scadenza e revocare i token in base alle esigenze.

Controlla l'accesso utilizzando gli elenchi di indirizzi IP e intervalli CIDR. È possibile configurare gli indirizzi IP pubblici o gli intervalli di rete della filiale, quindi specificare quali protocolli DNS (DNS-over-Port-53, DoT o DoH) può utilizzare ciascuna sede in base ai requisiti di sicurezza.

Scegli il protocollo DNS appropriato in base alle tue esigenze di sicurezza e compatibilità:

La risoluzione DNS ibrida consente a Route 53 Global Resolver di risolvere simultaneamente le query degli utenti e delle applicazioni locali alle applicazioni private. AWS

L'accesso alle zone private globali estende la portata delle zone ospitate private di Amazon Route 53 oltre i confini dei VPC. I clienti autorizzati ovunque su Internet possono risolvere nomi di dominio privati, consentendo ai team distribuiti di accedere alle risorse interne senza i tradizionali requisiti di connettività di rete.

Il failover senza interruzioni garantisce l'accesso continuo alle risorse private e pubbliche anche quando le singole AWS regioni non sono più disponibili. L'architettura anycast indirizza automaticamente le interrogazioni verso aree integre mantenendo un comportamento di risoluzione coerente.

La distribuzione multiregionale distribuisce le istanze Global Resolver di Route 53 in almeno 2 AWS regioni per garantire un'elevata disponibilità e consentire il failover durante le interruzioni del servizio. È possibile selezionare regioni specifiche in base ai requisiti geografici e alle esigenze di conformità.

L'ottimizzazione geografica automatica indirizza le query DNS alla AWS regione disponibile più vicina in base alla topologia e alla latenza della rete. Ciò riduce i tempi di risposta e migliora l'esperienza utente per le organizzazioni distribuite a livello globale.

La ridondanza integrata garantisce la continuità del servizio attraverso il failover automatico verso aree alternative quando le regioni primarie non sono più disponibili. I client continuano a utilizzare gli stessi indirizzi IP anycast mentre il traffico viene reindirizzato in modo trasparente.

La risoluzione delle zone ospitate private consente a Route 53 Global Resolver di risolvere le query DNS per le zone ospitate private Route 53 in tutte le regioni. AWS Ciò consente ai client autorizzati di risolvere i domini per le applicazioni e le risorse ospitate da Route 53 da qualsiasi punto su Internet.

Il DNS Split-horizon fornisce risposte DNS diverse in base al client che effettua la query. Route 53 Global Resolver è in grado di risolvere i domini pubblici su Internet risolvendo contemporaneamente i domini privati, fornendo un accesso senza interruzioni a risorse pubbliche e private.

La convalida DNSSEC verifica l'autenticità e l'integrità delle risposte DNS dei nameserver pubblici per i domini con firma DNSSEC. Questa convalida garantisce che le risposte DNS non siano state manomesse durante la trasmissione, fornendo protezione contro lo spoofing del DNS e gli attacchi di avvelenamento della cache.

EDNS Client Subnet è una funzionalità opzionale che inoltra le informazioni sulla sottorete del client nelle query DNS a nameserver autorevoli. Ciò consente risposte DNS più accurate su base geografica, riducendo potenzialmente la latenza indirizzando i client verso reti o server di distribuzione dei contenuti più vicini. Per le connessioni DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH), puoi utilizzare EDNS0 per trasmettere le informazioni sull'indirizzo IP del client. Quando ECS è abilitato su Global Resolver, il servizio inserisce automaticamente l'IP del client se non fornito nella query.

Le regole di filtraggio DNS definiscono il modo in cui Route 53 Global Resolver gestisce le query DNS in base ai criteri di corrispondenza del dominio. Le regole vengono valutate in ordine di priorità e possono specificare azioni (ALLOW, BLOCK o ALERT) per le query a domini o categorie di domini specifici.

Gli elenchi di domini sono raccolte di domini utilizzati nelle regole di filtraggio. Possono essere:

Il tunneling DNS viene utilizzato dagli aggressori per sottrarre dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.

Gli algoritmi di generazione di domini (DGAs) vengono utilizzati dagli aggressori per creare un gran numero di nomi di dominio per i propri server. command-and-control

Ogni algoritmo di rilevamento emette un punteggio di confidenza che determina l'attivazione delle regole. Soglie di confidenza più elevate riducono i falsi positivi, ma possono non consentire l'accesso ad attacchi sofisticati. Le soglie più basse aumentano la sensibilità di rilevamento, ma richiedono un'analisi aggiuntiva degli avvisi per filtrare i falsi positivi.

Le regole avanzate di protezione dalle minacce supportano solo BLOCK azioni ALERT e azioni. L'ALLOWazione non è supportata perché il rilevamento algoritmico non può classificare in modo definitivo il traffico innocuo, ma solo identificare modelli potenzialmente dannosi.

I log delle query forniscono informazioni dettagliate sulle query DNS elaborate da Route 53 Global Resolver, tra cui IP di origine, dominio interrogato, codice di risposta, azioni politiche intraprese e timestamp. I log possono essere inviati ad Amazon CloudWatch, Amazon Data Firehose o Amazon Simple Storage Service per analisi e report di conformità.

Il formato Open Cybersecurity Schema Framework (OCSF) è un formato di registrazione standardizzato utilizzato da Route 53 Global Resolver per i log delle query DNS. Questo formato fornisce dati coerenti e strutturati che si integrano facilmente con i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) e altri strumenti di sicurezza.

Le destinazioni dei log determinano dove vengono consegnati i log delle query DNS, ognuno con caratteristiche diverse:

La regione di osservabilità determina dove vengono consegnati i log delle query DNS.