Definir configurações para visualizações de DNS no Route 53 Global Resolver - Amazon Route 53
Definindo configurações de DNS para grupos de clientesPráticas recomendadas para organizar grupos de dispositivos clientes

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Definir configurações para visualizações de DNS no Route 53 Global Resolver

O Route 53 Global Resolver permite que você configure diferentes políticas de DNS e controles de acesso para diferentes grupos de dispositivos clientes com base em seus requisitos de segurança e necessidades de acesso. Configure políticas de DNS e controles de acesso no Route 53 Global Resolver para diferentes grupos de dispositivos clientes com base em seus requisitos de segurança e necessidades de acesso.

Definindo configurações de DNS para grupos de clientes

Cada visualização de DNS tem várias configurações que controlam como as consultas de DNS são processadas e resolvidas para diferentes grupos de dispositivos clientes.

Validação de DNSSEC

A validação do DNSSEC ajuda a garantir que as respostas de DNS para domínios públicos sejam autênticas e não tenham sido adulteradas. Quando você ativa a validação do DNSSEC, o Route 53 Global Resolver verifica as assinaturas do DNSSEC e retorna SERVFAIL para domínios com assinaturas inválidas.

Considere ativar a validação do DNSSEC se:

  • Sua organização precisa de verificação criptográfica das respostas do DNS

  • Você quer proteção contra ataques de falsificação de DNS e envenenamento de cache

  • Você tem requisitos de conformidade que exigem a validação do DNSSEC

nota

A validação do DNSSEC só se aplica a domínios públicos. As zonas hospedadas privadas usam seus próprios mecanismos de autenticação.

Sub-rede do cliente EDNS (ECS)

A sub-rede do cliente EDNS inclui informações sobre a localização da rede do cliente em consultas de DNS enviadas para servidores autorizados. Isso permite que redes de distribuição de conteúdo e serviços distribuídos geograficamente forneçam respostas adequadas à localização.

O ECS pode ajudá-lo a:

  • Obtenha melhor desempenho de serviços distribuídos geograficamente

  • Melhore a precisão do roteamento da rede de distribuição de conteúdo

  • Cumpra melhor as restrições de conteúdo regional

Considerações de privacidade:

  • O ECS revela informações parciais de IP do cliente para servidores autorizados (máximo /24 para e /48 para IPv4) IPv6

  • Considere os requisitos de privacidade da sua organização antes de ativar

Falha na abertura do firewall

A configuração de falha na abertura do firewall determina o que acontece quando as regras de firewall do DNS não podem ser avaliadas devido a falhas no serviço ou problemas de configuração.

Desativado (padrão)

As consultas de DNS são bloqueadas quando as regras de firewall não podem ser avaliadas. Isso oferece segurança máxima, mas pode afetar a disponibilidade durante problemas de serviço.

Habilitado

As consultas de DNS são permitidas quando as regras de firewall não podem ser avaliadas. Isso prioriza a disponibilidade em detrimento da segurança durante problemas de serviço.

Práticas recomendadas para organizar grupos de dispositivos clientes

Siga estas práticas recomendadas ao criar visualizações de DNS para diferentes grupos de dispositivos clientes:

Veja as estratégias da organização

  • Separado por requisitos de segurança - Crie visualizações diferentes para dispositivos clientes com diferentes autorizações de segurança ou níveis de acesso

  • Organize por localização - Use visualizações separadas para diferentes localizações geográficas ou segmentos de rede

  • Agrupar por tipo de dispositivo - Crie visualizações dedicadas para servidores, estações de trabalho, dispositivos móveis ou dispositivos de IoT

  • Use nomes descritivos - escolha nomes que indiquem claramente a finalidade da visualização e os dispositivos clientes-alvo

Considerações sobre segurança

  • Princípio do menor privilégio - Configure cada visualização com o acesso mínimo necessário para seus dispositivos clientes

  • Negação padrão - comece com regras restritivas de firewall e adicione exceções conforme necessário

  • Revisão regular - revise e atualize periodicamente as configurações de visualização do DNS

  • Monitore o uso - Use os registros de consulta do DNS para monitorar e analisar os padrões de uso da visualização do DNS