Como o Firewall DNS do Route 53 Resolver funciona - Amazon Route 53
Componentes e configurações do Firewall DNSComo o Firewall DNS do Route 53 Resolver filtra consultas de DNSEtapas de nível superior para usar o Firewall DNSComo usar grupos de regras do Firewall DNS em várias regiões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Firewall DNS do Route 53 Resolver funciona

O Firewall DNS do Route 53 Resolver permite controlar o acesso a sites e bloquear ameaças no nível de DNS para consultas de DNS que saem da sua VPC através do Route 53 Resolver. Com o Firewall DNS, você define regras de filtragem de nomes de domínio em grupos de regras que você associa ao seu. VPCs Você pode especificar listas de nomes de domínio para permitir ou bloquear ou regras do Firewall de DNS Avançado do Route 53 Resolver que oferecem proteção contra tunelamento de DNS e ameaças baseadas no Algoritmo de geração de domínios (DGA). É possível personalizar as respostas para as consultas ao DNS que você bloqueia. Para regras que contêm uma lista de domínios, você também pode ajustar a regra para permitir determinados tipos de consulta, como registros MX.

O Firewall DNS filtra apenas o nome de domínio. Ele não resolve esse nome para um endereço IP a ser bloqueado. Além disso, o DNS Firewall filtra tráfego de DNS, mas não filtra outros protocolos da camada de aplicação, como HTTPS, SSH, TLS, FTP etc.

Componentes e configurações do Firewall DNS do Route 53 Resolver

Você gerencia o Firewall DNS com os seguintes componentes centrais e configurações.

Grupo de regras do Firewall DNS

Define uma coleção nomeada e reutilizável de regras de Firewall DNS para filtrar consultas de DNS. Você preenche o grupo de regras com as regras de filtragem e associa o grupo de regras a uma ou mais. VPCs Quando você associa um grupo de regras a uma VPC, você habilita a filtragem do Firewall DNS para a VPC. Em seguida, quando o Resolver recebe uma consulta de DNS para uma VPC que tenha um grupo de regras associado a ela, ele passa a consulta para o Firewall DNS para filtragem.

Se você associar vários grupos de regras a uma única VPC, indique sua ordem de processamento por meio da configuração de prioridade em cada associação. O Firewall DNS processa grupos de regras para uma VPC a partir da configuração de prioridade numérica mais baixa para alta.

Para obter mais informações, consulte Regras e grupos de regras do Firewall DNS.

Regra do Firewall DNS

Define uma regra de filtragem para consultas de DNS em um grupo de regras do Firewall DNS. Cada regra especifica uma lista de domínios ou proteção do Firewall de DNS e uma ação a ser tomada em consultas ao DNS cujos domínios correspondam às especificações de domínio na regra. Você pode permitir (apenas regras com listas de domínios), bloquear ou alertar sobre consultas correspondentes. Nas regras com listas de domínios, também é possível especificar tipos de consulta para os domínios da lista. Por exemplo, você pode bloquear ou permitir um tipo de consulta MX para um ou mais domínios específicos. Você também pode definir respostas personalizadas para consultas bloqueadas.

Para regras do Firewall de DNS, você pode apenas bloquear ou alertar sobre consultas correspondentes.

Cada regra em um grupo de regras tem uma configuração de prioridade exclusiva dentro do grupo de regras. O Firewall DNS processa as regras em um grupo de regras por ordem de prioridade, começando pela configuração mais baixa.

As regras do Firewall DNS existem apenas no contexto do grupo de regras no qual estão definidas. Não é possível reutilizar uma regra ou referenciá-la independentemente do grupo de regras.

Para obter mais informações, consulte Regras e grupos de regras do Firewall DNS.

Lista de domínios

Define uma coleção nomeada e reutilizável de especificações de domínio para uso na filtragem DNS. Cada regra em um grupo de regras requer uma única lista de domínios. Você pode optar por especificar os domínios aos quais deseja permitir acesso, os domínios aos quais deseja negar acesso ou uma combinação de ambos. Você pode criar suas próprias listas de domínios e usar listas de domínios que AWS gerenciam para você.

Para obter mais informações, consulte Listas de domínios do Firewall DNS do Route 53 Resolver.

Configuração do redirecionamento do domínio (apenas listas de domínios)

A configuração de redirecionamento de domínio permite que você configure uma regra do DNS Firewall para inspecionar todos os domínios na cadeia de redirecionamento de DNS (padrão), como CNAME, DNAME etc., ou para inspecionar apenas o primeiro domínio e confiar no resto. Se você optar por inspecionar toda a cadeia de redirecionamento de DNS, deverá adicionar os domínios subsequentes a uma lista de domínios definida como PERMITIR na regra. Se optar por inspecionar toda a cadeia de redirecionamento de DNS, você deverá adicionar os domínios subsequentes a uma lista de domínios e definir a ação que deseja que a regra aplique, PERMITIR, BLOQUEAR ou ALERTAR.

Para obter mais informações, consulte Configurações de regra no Firewall DNS.

Tipo de consulta (apenas listas de domínios)

Definir o tipo de consulta permite que você configure uma regra do DNS Firewall para filtrar um determinado tipo de consulta ao DNS. Se você não selecionar um tipo de consulta, a regra será aplicada a todos os tipos de consulta ao DNS. Por exemplo, talvez você queira bloquear todos os tipos de consulta de um domínio específico, mas permitir registros MX.

Para obter mais informações, consulte Configurações de regra no Firewall DNS.

Proteção do Firewall de DNS Avançado.

Detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. Cada regra em um grupo de regras precisa de uma única configuração de proteção do Firewall de DNS Avançado. É possível escolher proteção contra:

  • Algoritmos de geração de domínio (DGAs)

    DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.

  • Tunelamento de DNS

    O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.

  • Dicionário DGA

    DGAs Os dicionários são usados pelos atacantes para gerar domínios usando palavras do dicionário para evitar a detecção nas comunicações de malware. command-and-control

Em uma regra do Firewall de DNS Avançado, você pode optar por bloquear ou alertar sobre uma consulta que corresponda à ameaça. Os algoritmos de proteção contra ameaças são gerenciados e atualizados pelo AWS.

Para obter mais informações, consulte Firewall de DNS Avançado do Route 53 Resolver.

Limiar de confiança (apenas proteção do Firewall de DNS Avançado)

O limiar de confiança para proteção contra ameaças ao DNS. Você deve fornecer esse valor ao criar uma regra do DNS Firewall Advanced. Os valores do nível de confiança indicam o seguinte:

  • Alto: detecta somente as ameaças mais bem corroboradas com uma baixa taxa de falsos positivos.

  • Médio: fornece um equilíbrio entre a detecção de ameaças e falsos positivos.

  • Baixo: fornece a maior taxa de detecção de ameaças, mas também aumenta os falsos positivos.

Para obter mais informações, consulte Configurações de regra no Firewall DNS.

Associação entre um grupo de regras do Firewall DNS e uma VPC

Define uma proteção para uma VPC usando um grupo de regras do Firewall DNS e habilita a configuração do Firewall DNS do Resolver para a VPC.

Se você associar vários grupos de regras a uma única VPC, indique sua ordem de processamento por meio da configuração de prioridade nas associações. O Firewall DNS processa grupos de regras para uma VPC a partir da configuração de prioridade numérica mais baixa para alta.

Para obter mais informações, consulte Como habilitar as proteções do Firewall DNS do Route 53 Resolver para a VPC.

Configuração do Firewall DNS do Resolver para uma VPC

Especifica como o Resolver deve lidar com as proteções do Firewall DNS no nível da VPC. Essa configuração terá efeito sempre que você tiver pelo menos um grupo de regras do Firewall DNS associado à VPC.

Essa configuração especifica como o Route 53 Resolver lida com consultas quando o Firewall DNS não consegue filtrá-las. Por padrão, se o Resolver não receber uma resposta do Firewall DNS para uma consulta, ele não será fechado e bloqueará a consulta.

Para obter mais informações, consulte Configuração da VPC do Firewall DNS.

Monitoramento de ações do DNS Firewall

Você pode usar CloudWatch a Amazon para monitorar o número de consultas de DNS que são filtradas por grupos de regras do DNS Firewall. CloudWatch coleta e processa dados brutos em métricas legíveis e quase em tempo real.

Para obter mais informações, consulte Monitorando grupos de regras do firewall DNS do Route 53 Resolver com a Amazon CloudWatch.

Você pode usar a Amazon EventBridge, um serviço sem servidor que usa eventos para conectar componentes do aplicativo e criar aplicativos escaláveis orientados por eventos.

Para obter mais informações, consulte Gerenciando eventos do Route 53 Resolver DNS Firewall usando Amazon EventBridge.

Como o Firewall DNS do Route 53 Resolver filtra consultas de DNS

Quando um grupo de regras de Firewall DNS está associado ao Route 53 Resolver da VPC, o seguinte tráfego é filtrado pelo firewall:

  • Consultas ao DNS que são originadas nessa VPC e passam pelo DNS da VPC.

  • Consultas de DNS que passam por endpoints do Resolver de recursos on-premises para a mesma VPC que tem o DNS Firewall associado ao seu resolvedor.

Quando o Firewall DNS recebe uma consulta de DNS, ele filtra a consulta usando os grupos de regras, regras e outras configurações que você configurou e envia os resultados de volta para o Resolver:

  • O Firewall DNS avalia a consulta de DNS usando os grupos de regras associados à VPC até encontrar uma correspondência ou esgotar todos os grupos de regras. O Firewall DNS avalia os grupos de regras na ordem da prioridade que você definiu na associação, começando com a configuração numérica mais baixa. Para obter mais informações, consulte Regras e grupos de regras do Firewall DNS e Como habilitar as proteções do Firewall DNS do Route 53 Resolver para a VPC.

  • Dentro de cada grupo de regras, o Firewall DNS avalia a consulta de DNS em relação à lista de domínios de cada regra ou a proteções do Firewall de DNS Avançado até encontrar uma correspondência ou esgotar todas as regras. O DNS Firewall avalia as regras em ordem de prioridade, começando com a configuração numérica mais baixa. Para obter mais informações, consulte Regras e grupos de regras do Firewall DNS.

  • Quando o Firewall de DNS encontra uma correspondência com a lista de domínios de uma regra ou anomalias identificadas pelas proteções de regras do Firewall de DNS Avançado, ele encerra a avaliação da consulta e responde ao Resolver com o resultado. Se a ação for alert, o Firewall DNS também envia um alerta para os logs do Resolver configurados. Para ter mais informações, consulte Ações de regra no Firewall DNS, Listas de domínios do Firewall DNS do Route 53 Resolver e Firewall de DNS Avançado do Route 53 Resolver.

  • Se o Firewall DNS avaliar todos os grupos de regras sem encontrar uma correspondência, ele responderá à consulta normalmente.

O Resolver encaminhará a consulta, de acordo com a resposta do Firewall DNS. No caso improvável de que o Firewall DNS não responda, o Resolver aplicará o modo de falha do Firewall DNS configurado da VPC. Para obter mais informações, consulte Configuração da VPC do Firewall DNS.

Etapas de nível superior para usar o Firewall DNS do Route 53 Resolver

Para implementar a filtragem do Firewall DNS do Route 53 Resolver na Amazon Virtual Private Cloud VPC, execute as seguintes etapas de alto nível.

  • Defina sua abordagem de filtragem, suas listas de domínios ou proteções do Firewall de DNS: decida como deseja filtrar as consultas, identifique as especificações de domínio necessárias e defina a lógica que você usará para avaliar as consultas. Por exemplo, talvez você queira permitir todas as consultas, exceto aquelas que estão em uma lista de domínios inválidos conhecidos. Ou você pode querer fazer o oposto e bloquear todos, exceto uma lista aprovada de domínios, no que é conhecido como uma abordagem de jardim murado. Você pode criar e gerenciar suas próprias listas de especificações de domínio aprovadas ou bloqueadas e usar listas de domínios que AWS gerenciam para você. Para proteções do DNS Firewall, você pode filtrar as consultas bloqueando todas elas ou pode alertar sobre qualquer tráfego de consulta suspeito para domínios que possam conter anomalias associadas a ameaças (DGA, tunelamento de DNS, Dicionário DGA) para testar suas configurações de firewall de DNS. Para obter mais informações, consulte Listas de domínios do Firewall DNS do Route 53 Resolver e Firewall de DNS Avançado do Route 53 Resolver.

  • Criar um grupo de regras de firewall: no Firewall DNS, crie um grupo de regras para filtrar consultas de DNS para sua VPC. Você deve criar um grupo de regras em cada região onde deseja usá-lo. Talvez você também queira separar seu comportamento de filtragem em mais de um grupo de regras para reutilização em vários cenários de filtragem diferentes. VPCs Para obter informações sobre grupos de regras, consulte Regras e grupos de regras do Firewall DNS.

  • Adicionar e configurar suas regras: adicione uma regra ao grupo de regras para cada lista de domínios e comportamento de filtragem que você deseja que o grupo de regras forneça. Defina as configurações de prioridade para suas regras para que elas sejam processadas na ordem correta dentro do grupo de regras, dando a prioridade mais baixa à regra que você deseja avaliar primeiro. Para obter mais informações sobre regras, consulte Regras e grupos de regras do Firewall DNS.

  • Associar o grupo de regras à sua VPC: para começar a usar o grupo de regras do Firewall DNS, associe-o à sua VPC. Se você estiver usando mais de um grupo de regras para sua VPC, defina a prioridade de cada associação para que os grupos de regras sejam processados na ordem correta, dando a prioridade mais baixa ao grupo de regras que você deseja avaliar primeiro. Para obter mais informações, consulte Como gerenciar associações entre a VPC e o grupo de regras do Firewall DNS do Route 53 Resolver.

  • (Opcional) Alterar a configuração do firewall para a VPC: se você deseja que o Route 53 Resolver bloqueie consultas quando o Firewall DNS não enviar uma resposta para elas, no Resolver, altere a configuração do Firewall DNS da VPC. Para obter mais informações, consulte Configuração da VPC do Firewall DNS.

Como usar grupos de regras do Firewall DNS do Route 53 Resolver em várias regiões

O Route 53 Resolver DNS Firewall é um serviço regional, portanto, os objetos que você cria em uma AWS região estão disponíveis somente nessa região. Para usar o mesmo grupo de regras em mais de uma região, é necessário criar a regra em cada região.

A AWS conta que criou um grupo de regras pode compartilhá-lo com outras AWS contas. Para obter mais informações, consulte Compartilhando grupos de regras do Route 53 Resolver DNS Firewall entre contas AWS.