Route 53 全球解析器的 DNS 安全和水平分割用例

允许从任何位置全局访问 Amazon Route 53 上的私有托管区域 (PHZs)，同时解析互联网上的公共域。允许远程位置和分支机构解析内部应用程序名称，而无需复杂的 VPN 配置或特定于区域的转发。实施水平分割 DNS 以根据进行查询的客户端提供不同的 DNS 响应，从而帮助远程客户端解析私有域和公共域的查询。

通过筛选对恶意域的查询，保护远程位置和分支机构免受基于 DNS 的数据泄露攻击。使用 DNS-over-HTTPS (DoH) 和 DNS-over-TLS (DoT) 对传输中的 DNS 流量进行加密，确保只有经过授权的客户端才能访问您的 DNS 服务，从而提高隐私。应用安全策略来阻止 DNS 隧道和域生成算法（）DGAs等威胁。使用 DNSSEC 签名域的 DNSSEC（域名系统安全扩展）验证 DNS 响应的真实性，以防范 DNS 欺骗和缓存中毒攻击。

通过全球部署实现高可用性，并通过单一管理界面在全球范围内保持一致的 DNS 配置。Route 53 Global Resolver 在 AWS 区域 您选择的范围内运行，使用任播 IP 地址自动将查询路由到最近的可用区域，以实现最佳性能和可靠性。全球企业可以集中配置和管理 DNS 策略，同时为客户提供一组 IP 地址，这些地址可在全球范围内自动进行地理优化。内置冗余功能可确保即使个别区域不可用，也能保持服务连续性。

通过创建自定义域名列表或使用 AWS 托管域名列表来管理多个位置的互联网访问。为了帮助您根据需要实施筛选和内容策略，托管域列表包括涵盖多个域的多类 DNS 威胁。使用 IP 许可名单或访问令牌配置访问源，并为不同的办公地点或客户群组设置不同的筛选策略。

选择最适合您的部署的身份验证方法：基于令牌的身份验证或使用源 CIDR 范围许可名单的基于 IP 的身份验证。

通过向亚马逊 CloudWatch、Firehose 或亚马逊简单存储服务传输日志，监控整个组织的 DNS 活动。为集中日志存储选择一个目标区域，以支持安全审计、合规性要求和威胁调查。