Configura le impostazioni per le visualizzazioni DNS in Route 53 Global Resolver - Amazon Route 53
Configurazione delle impostazioni DNS per i gruppi di clientLe migliori pratiche per l'organizzazione di gruppi di dispositivi client

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura le impostazioni per le visualizzazioni DNS in Route 53 Global Resolver

Route 53 Global Resolver consente di configurare diverse politiche DNS e controlli di accesso per diversi gruppi di dispositivi client in base ai requisiti di sicurezza e alle esigenze di accesso. Configura le politiche DNS e i controlli di accesso in Route 53 Global Resolver per diversi gruppi di dispositivi client in base ai requisiti di sicurezza e alle esigenze di accesso.

Configurazione delle impostazioni DNS per i gruppi di client

Ogni vista DNS ha diverse impostazioni che controllano il modo in cui le query DNS vengono elaborate e risolte per diversi gruppi di dispositivi client.

Convalida DNSSEC

La convalida DNSSEC aiuta a garantire che le risposte DNS per i domini pubblici siano autentiche e non siano state manomesse. Quando abiliti la convalida DNSSEC, Route 53 Global Resolver controlla le firme DNSSEC e restituisce SERVFAIL per i domini con firme non valide.

Valuta la possibilità di abilitare la convalida DNSSEC se:

  • La tua organizzazione necessita della verifica crittografica delle risposte DNS

  • Desiderate una protezione contro lo spoofing del DNS e gli attacchi di avvelenamento della cache

  • Hai requisiti di conformità che richiedono la convalida DNSSEC

Nota

La convalida DNSSEC si applica solo ai domini pubblici. Le zone ospitate private utilizzano i propri meccanismi di autenticazione.

Sottorete client EDNS (ECS)

La sottorete client EDNS include informazioni sulla posizione di rete del client nelle query DNS inviate a server autorevoli. Ciò consente alle reti di distribuzione dei contenuti e ai servizi distribuiti geograficamente di fornire risposte appropriate alla posizione.

ECS può aiutarti a:

  • Ottieni prestazioni migliori da servizi distribuiti geograficamente

  • Migliora la precisione del routing della rete di distribuzione dei contenuti

  • Rispetta meglio le restrizioni regionali relative ai contenuti

Considerazioni sulla privacy:

  • ECS rivela informazioni parziali sull'IP del client a server autorevoli (massimo /24 per e /48 per) IPv4 IPv6

  • Considerate i requisiti di privacy della vostra organizzazione prima di abilitare

Il firewall non si apre

L'impostazione firewall fail open determina cosa succede quando le regole del firewall DNS non possono essere valutate a causa di problemi di servizio o di configurazione.

Disabilitato (impostazione predefinita)

Le query DNS vengono bloccate quando le regole del firewall non possono essere valutate. Ciò offre la massima sicurezza, ma potrebbe influire sulla disponibilità durante i problemi di servizio.

Abilitato

Le query DNS sono consentite quando le regole del firewall non possono essere valutate. Ciò dà priorità alla disponibilità rispetto alla sicurezza durante i problemi di servizio.

Le migliori pratiche per l'organizzazione di gruppi di dispositivi client

Segui queste best practice durante la progettazione di viste DNS per diversi gruppi di dispositivi client:

Visualizza le strategie organizzative

  • Separate in base ai requisiti di sicurezza: create visualizzazioni diverse per i dispositivi client con autorizzazioni di sicurezza o livelli di accesso diversi

  • Organizza per posizione: utilizza viste separate per diverse località geografiche o segmenti di rete

  • Raggruppa per tipo di dispositivo: crea viste dedicate per server, workstation, dispositivi mobili o dispositivi IoT

  • Usa nomi descrittivi: scegli nomi che indichino chiaramente lo scopo della vista e i dispositivi client di destinazione

Considerazioni relative alla sicurezza

  • Principio del privilegio minimo: configura ogni vista con l'accesso minimo richiesto per i relativi dispositivi client

  • Negazione predefinita: inizia con regole firewall restrittive e aggiungi eccezioni secondo necessità

  • Revisione regolare: rivedi e aggiorna periodicamente le configurazioni delle viste DNS

  • Monitora l'utilizzo: utilizza i log delle query DNS per monitorare e analizzare i modelli di utilizzo delle visualizzazioni DNS