Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Elenchi di domini Resolver DNS Firewall
Un *elenco di domini* è un insieme riutilizzabile di specifiche di dominio utilizzate in una regola DNS Firewall all'interno di un gruppo di regole. Quando associ un gruppo di regole a un VPC, DNS Firewall confronta le query DNS con gli elenchi di dominio utilizzati nelle regole. Se trova una corrispondenza, la query DNS viene gestita in base all'operazione della regola corrispondente. Per ulteriori informazioni sui gruppi di regole e sulle regole, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).
Gli elenchi di domini consentono di separare le specifiche esplicite del dominio dalle operazioni che si desidera eseguire su di essi. È possibile utilizzare un singolo elenco di domini in più regole e tutti gli aggiornamenti apportati all'elenco di domini influiranno automaticamente su tutte le regole che lo utilizzano.
Gli elenchi di domini rientrano in due categorie principali:
+ Elenchi di domini gestiti, che AWS creano e gestiscono per te.
+ Elenchi di domini personalizzati, creati e gestiti da te.
In questa sezione vengono descritti i tipi di elenchi di domini gestiti disponibili e sono fornite le linee guida per la creazione e la gestione dei propri elenchi di domini, se si sceglie di farlo.
# Elenchi di domini gestiti
Gli elenchi di domini gestiti contengono nomi di dominio associati ad attività dannose o altre potenziali minacce. AWS gestisce questi elenchi per consentire ai clienti di Route 53 VPC Resolver di verificare gratuitamente le query DNS in uscita utilizzando DNS Firewall.
Mantenersi aggiornati sul panorama delle minacce in continua evoluzione può essere dispendioso in termini di tempo e denaro. Gli elenchi di domini gestiti possono farti risparmiare tempo durante l'implementazione e l'utilizzo di DNS Firewall. AWS aggiorna automaticamente gli elenchi quando emergono nuove vulnerabilità e minacce. AWS riceve spesso notifiche in merito a nuove vulnerabilità prima della divulgazione pubblica, quindi DNS Firewall può implementare misure di mitigazione per voi spesso prima che una nuova minaccia diventi nota a tutti.
Gli elenchi di domini gestiti sono progettati per aiutarti a proteggerti dalle minacce Web comuni e aggiungono un altro livello di sicurezza alle applicazioni. Gli elenchi di domini AWS gestiti traggono i dati sia da AWS fonti interne che da fonti interne e vengono continuamente [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future)aggiornati. Tuttavia, gli elenchi di domini AWS gestiti non sono intesi come sostituti di altri controlli di sicurezza Amazon GuardDuty, ad esempio quelli determinati dalle AWS risorse selezionate.
Come procedura consigliata, prima di utilizzare un elenco di domini gestiti in produzione, verificarlo in un ambiente non di produzione, con l'azione della regola impostata su `Alert`. Valuta la regola utilizzando i CloudWatch parametri di Amazon combinati con le richieste campionate di Resolver DNS Firewall o i log DNS Firewall. Quando sei certo che la regola esegue ciò che desideri, modifica l'impostazione dell'operazione in base alle necessità.
**Elenchi di domini gestiti disponibili AWS**
In questa sezione vengono descritti gli elenchi di domini gestiti attualmente disponibili. Quando ti trovi in una regione in cui sono supportati tali elenchi, li visualizzi sulla console quando gestisci gli elenchi di domini e quando specifichi l'elenco di domini per una regola. Nei log, l'elenco dei domini viene registrato all'interno del `firewall_domain_list_id field`.
AWS fornisce i seguenti elenchi di domini gestiti, nelle regioni in cui sono disponibili, per tutti gli utenti di Resolver DNS Firewall.
+ `AWSManagedDomainsMalwareDomainList`: i domini associati all'invio di malware, all'hosting di malware o alla distribuzione di malware.
+ `AWSManagedDomainsBotnetCommandandControl`: i domini associati al controllo delle reti di computer infettati da malware spam.
+ `AWSManagedDomainsAggregateThreatList`— Domini associati a diverse categorie di minacce DNS tra cui malware, ransomware, botnet, spyware e tunneling DNS per aiutare a bloccare diversi tipi di minacce. `AWSManagedDomainsAggregateThreatList`include tutti i domini negli altri elenchi di domini gestiti elencati qui. AWS
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Domini associati ai risultati di sicurezza di Amazon GuardDuty DNS. I domini provengono esclusivamente dai sistemi di intelligence sulle minacce GuardDuty dell'azienda e non contengono domini provenienti da fonti esterne di terze parti. Più specificamente, attualmente questo elenco bloccherà solo i domini generati internamente e utilizzati per i seguenti rilevamenti in: Impact:ec2/ .Reputation, Impact:ec2/ .Reputation, Impact:ec2/ .Reputation, Impact GuardDutyAbusedDomainRequest: .Reputation. BitcoinDomainRequest MaliciousDomainRequest Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest
Per ulteriori informazioni, consulta [Finding types](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) in the *Amazon GuardDuty User Guide*.
AWS Gli elenchi di domini gestiti non possono essere scaricati o sfogliati. Per proteggere la proprietà intellettuale, non è possibile visualizzare o modificare le specifiche dei singoli domini all'interno di un elenco di domini AWS gestiti. Questa restrizione consente anche di impedire agli utenti malintenzionati di pianificare minacce che possano eludere in modo specifico gli elenchi pubblicati.
**Per testare gli elenchi di domini gestiti**
Il seguente set di domini è fornito per testare gli elenchi di domini gestiti:
**AWSManagedDomainsBotnetCommandandControl**
+ controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.botnetlist.firewall. route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsMalwareDomainList**
+ controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsAggregateThreatList e AWSManaged DomainsAmazonGuardDutyThreatList**
+ controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
Se non vengono bloccati, questi domini verranno risolti in 1.2.3.4. Se utilizzi gli elenchi di domini gestiti su un VPC, l'esecuzione di query per questi domini restituirà la risposta su cui è impostata un'azione di blocco nella regola (ad esempio NODATA).
Per ulteriori informazioni sugli elenchi di domini gestiti, contatta il [Centro Supporto AWS](https://console.aws.amazon.com/support/home#/).
La tabella seguente elenca la disponibilità delle regioni per gli elenchi di domini AWS gestiti.
**Disponibilità delle regioni per gli elenchi di domini gestiti**
| Region | Sono disponibili elenchi di domini gestiti? |
| --- | --- |
| Africa (Città del Capo) | Sì |
| Asia Pacifico (Hong Kong) | Sì |
| Asia Pacifico (Hyderabad) | Sì |
| Asia Pacifico (Giacarta) | Sì |
| Asia Pacifico (Malesia) | Sì |
| Asia Pacifico (Melbourne) | Sì |
| Asia Pacifico (Mumbai) | Sì |
| Regione Asia Pacifico (Osaka-Locale) | Sì |
| Asia Pacifico (Seul) | Sì |
| Asia Pacifico (Singapore) | Sì |
| Asia Pacifico (Sydney) | Sì |
| Asia Pacifico (Thailandia) | Sì |
| Asia Pacifico (Tokyo) | Sì |
| Regione Canada (Centrale) | Sì |
| Canada occidentale (Calgary) | Sì |
| Regione Europa (Francoforte) | Sì |
| Europa (Irlanda) | Sì |
| Regione Europa (Londra) | Sì |
| Europa (Milano) | Sì |
| Regione Europa (Parigi) | Sì |
| Europa (Spagna) | Sì |
| Europa (Stoccolma) | Sì |
| Europa (Zurigo) | Sì |
| Israele (Tel Aviv) | Sì |
| Medio Oriente (Bahrein) | Sì |
| Medio Oriente (Emirati Arabi Uniti) | Sì |
| Sud America (San Paolo) | Sì |
| Stati Uniti orientali (Virginia settentrionale) | Sì |
| Stati Uniti orientali (Ohio) | Sì |
| Stati Uniti occidentali (California settentrionale) | Sì |
| US West (Oregon) | Sì |
| Cina (Pechino) | Sì |
| Cina (Ningxia) | Sì |
| AWS GovCloud (US) | Sì |
**Ulteriori considerazioni sulla sicurezza**
AWS Gli elenchi di domini gestiti sono progettati per aiutarti a proteggerti dalle minacce web più comuni. Se utilizzati in maniera conforme alla documentazione, questi elenchi aggiungono un altro livello di sicurezza alle applicazioni. Gli elenchi di domini gestiti, tuttavia, non sono concepiti in sostituzione di altri controlli di sicurezza, determinati dalle risorse AWS selezionate. Per garantire che le risorse in uso AWS siano adeguatamente protette, consulta la guida contenuta nel [Modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/).
**Mitigazione degli scenari di falsi positivi**
Se si verificano scenari di falsi positivi nelle regole che utilizzano elenchi di domini gestiti per bloccare le query, procedi come indicato di seguito:
1. Nei log di VPC Resolver, identifica il gruppo di regole e l'elenco dei domini gestiti che causano il falso positivo. A tale scopo, individua il log per la query che DNS Firewall sta bloccando, ma che si desidera consentire. Il record di log elenca il gruppo di regole, l'azione della regola e l'elenco di domini gestiti. Per ulteriori informazioni sui log, consulta [Valori che appaiono nei log delle query di VPC Resolver](resolver-query-logs-format.md).
1. Crea una nuova regola nel gruppo di regole che consenta esplicitamente la query bloccata. Quando crei la regola, puoi definire un elenco di domini personalizzato con la sola specifica del dominio che desideri consentire. Segui le istruzioni per la gestione dei gruppi di regole e delle regole riportate in [Creazione di gruppi di regole e regole](resolver-dns-firewall-rule-group-adding.md).
1. Assegna la priorità alla nuova regola all'interno del gruppo di regole in modo che venga eseguita prima della regola che utilizza l'elenco dei domini gestiti. A tale scopo, assegna alla nuova regola un'impostazione di priorità inferiore.
Dopo aver aggiornato il gruppo di regole, la nuova regola consentirà esplicitamente il nome di dominio che desideri consentire prima dell'esecuzione della regola di blocco.
# Gestione degli elenchi di domini personalizzati
Puoi creare elenchi di domini personalizzati per specificare le categorie di dominio che non trovi nelle offerte degli elenchi di domini gestiti o che preferisci gestire autonomamente.
Oltre alle procedure descritte in questa sezione, nella console è possibile creare un elenco di domini nel contesto della gestione delle regole di Resolver DNS Firewall, quando si crea o si aggiorna una regola.
Ogni specifica di dominio nell'elenco di domini deve soddisfare i seguenti requisiti:
+ Può opzionalmente iniziare con `*` (asterisco).
+ Ad eccezione dell'asterisco iniziale facoltativo e di un punto, come delimitatore tra le etichette, deve contenere solo i seguenti caratteri:,,`A-Z`, `a-z` (trattino). `0-9` `-`
+ La lunghezza deve essere compresa tra 1 e 255 caratteri.
Quando si apportano modifiche alle entità DNS Firewall, ad esempio regole ed elenchi di domini, DNS Firewall propaga le modifiche ovunque le entità sono memorizzate e utilizzate. Le modifiche vengono applicate in pochi secondi, ma potrebbe esserci un breve periodo di incoerenza tra quando le modifiche sono arrivate in alcuni punti e non ancora in altri. Ad esempio, se si aggiunge un dominio a un elenco di domini a cui fa riferimento una regola di blocco, il nuovo dominio potrebbe essere bloccato brevemente in un'area del VPC mentre è ancora consentito in un'altra. Questa incoerenza temporanea può verificarsi quando si configura per la prima volta il gruppo di regole e le associazioni VPC e quando si modificano le impostazioni esistenti. Di solito, eventuali incoerenze di questo tipo durano solo pochi secondi.
**Test dell'elenco di domini prima di utilizzarlo in produzione**
Come best practice, prima di utilizzare un elenco di domini in produzione, testarlo in un ambiente non di produzione, con l'operazione della regola impostata su `Alert`. Valuta la regola utilizzando i CloudWatch parametri di Amazon e i log VPC Resolver. I log forniscono il nome dell'elenco di domini per tutti gli avvisi e le azioni di blocco. Una volta certo che l'elenco dei domini corrisponde alle query DNS nel modo desiderato, modifica l'impostazione dell'operazione della regola in base alle esigenze. Per informazioni sulle CloudWatch metriche e sui log delle query, consulta, e. [Monitoraggio dei gruppi di regole Resolver DNS Firewall con Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md) [Valori che appaiono nei log delle query di VPC Resolver](resolver-query-logs-format.md) [Gestione delle configurazioni di registrazione delle query di Resolver](resolver-query-logging-configurations-managing.md)
**Come aggiungere un elenco di domini**
1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
Nel pannello di navigazione seleziona **Firewall DNS** per aprire la pagina dei **Gruppi di regole** del Firewall DNS sulla console Amazon VPC. Continua alla fase 2.
- O -
Accedi alla Console di gestione AWS e apri la
la console Amazon VPC sotto. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, sotto la voce **Firewall DNS** seleziona **Elenchi di dominio**. Nella pagina **Elenchi di domini** puoi selezionare e modificare gli elenchi di domini esistenti ed aggiungerne di tuoi.
1. Per aggiungere un elenco di domini, scegli **Aggiungi elenco di domini**.
1. Specifica un nome per l'elenco di domini, quindi immetti le specifiche del dominio nella casella di testo, una per riga.
Se imposti **Passa al caricamento in blocco** su **on**, inserisci l'URI del bucket Amazon S3 in cui hai creato un elenco di domini. Questo elenco di domini deve avere un nome di dominio per riga.
**Nota**
I nomi di dominio duplicati impediranno l'importazione in blocco.
1. Scegli **Aggiungi elenco di domini**. La pagina **Elenchi di domini** riporta il nuovo elenco di domini.
Dopo aver creato l'elenco dei domini, sarà possibile farvi riferimento in base al nome dalle regole DNS Firewall.
**Eliminazione delle entità DNS Firewall**
Quando si elimina un'entità che è possibile utilizzare in DNS Firewall, ad esempio un elenco di domini che potrebbe essere in uso in un gruppo di regole o un gruppo di regole che potrebbe essere associato a un VPC, DNS Firewall verifica se l'entità è attualmente in uso. Se rileva che è in uso, DNS Firewall avvisa l'utente. DNS Firewall è quasi sempre in grado di determinare se un'entità è in uso. Tuttavia, in rari casi, potrebbe non essere in grado di farlo. Per essere certo che l'entità non sia utilizzata, controlla nelle configurazioni DNS Firewall prima di eliminarla. Se l'entità è un elenco di domini di riferimento, verifica che nessun gruppo di regole la stia utilizzando. Se l'entità è un gruppo di regole, verifica che non sia associata a nessuno. VPCs
**Come eliminare un elenco di domini**
1. Nel pannello di navigazione, scegli **Elenchi di domini**.
1. Nella barra di navigazione, sceglie la regione per l'elenco di domini.
1. Seleziona l'elenco di domini che desideri eliminare, quindi scegli **Elimina** e conferma l'eliminazione.