本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Route 53 全球解析器的关键概念和组件
Route 53 Global Resolver 使用多个关键组件协同工作,为您的组织提供分流的 DNS 解析、通过全球任播架构实现的高可用性以及全面的 DNS 安全。了解这些 Route 53 Global Resolver 概念有助于您设计和部署解决方案,以实现对私有和公共资源的无缝访问,确保跨多个区域的服务连续性,并防范基于 DNS 的威胁。
适用于本地和远程位置客户端的 DNS 解析器
要为分布式工作负载、客户地点和用户部署 Route 53 Global Resolver,请配置以下关键组件:
- 全局解析器
-
主服务实例,可为您的组织提供跨多个 AWS 区域的 DNS 解析和筛选。您的全球解析器使用 anycast 技术将 DNS 查询自动路由到最近的可用区域,从而确保所有客户都能快速响应,无论其位置如何。
- 任播 IP 地址
-
分配给您的全局解析器的两个唯一 IPv6 地址 IPv4 或您在客户端设备和网络设备上配置的地址。这些任播 IP 地址在全球范围内是相同的,这简化了所有位置的 DNS 配置。Anycast IP 寻址支持将 DNS 请求自动路由到最近的全球解析器,从而优化响应时间并提高服务可靠性。
- DNS 视图
-
配置模板允许您将不同的 DNS 策略应用于网络中的不同客户端组。使用 DNS 视图实现水平分割 DNS,例如,对远程位置应用严格的筛选和令牌身份验证,同时对分支机构使用基于 IP 的访问和不同的安全策略。
DNS 客户端身份验证
选择最适合您的部署的身份验证方法:
- 基于令牌的身份验证
-
使用 (DoH) 和 DNS-over-HTTPS DNS-over-TLS (DoT) 的加密令牌保护 DNS 连接。您可以为单个客户端或设备组生成唯一的访问令牌,设置到期期限,并根据需要撤消令牌。
- 基于访问源的身份验证
-
使用 IP 地址和 CIDR 范围许可列表控制访问权限。您可以配置分支机构的公有 IP 地址或网络范围,然后根据您的安全要求指定每个地点可以使用哪些 DNS 协议(DNS-over-Port-53、DoT 或 DoH)。
- DNS 协议选择
-
根据您的安全性和兼容性需求选择适当的 DNS 协议:
-
DNS-over-Port-53 (Do53)-用于最大限度地提高与现有网络基础设施的兼容性
-
DNS-over-TLS (DoT)-需要使用带有专用端口隔离的加密 DNS 进行网络监控时使用
-
DNS-over-HTTPS (DoH)-需要绕过网络限制时使用,因为流量显示为常规 HTTPS
-
分流量 DNS 解析
Route 53 Global Resolver 使组织能够从任何位置无缝解析私有域和公共域,无需复杂的 VPN 配置或特定于区域的 DNS 设置。
- 混合 DNS 解析
-
混合 DNS 解析允许 Route 53 Global Resolver 同时解析来自本地用户和应用程序到私有应用程序的 AWS查询。
- 全球私有区域访问权限
-
全球私有区域访问将 Amazon Route 53 私有托管区域的覆盖范围扩展到了 VPC 边界之外。Internet 上任何地方的授权客户都可以解析私有域名,从而使分散的团队无需传统的网络连接要求即可访问内部资源。
- 无缝故障转移
-
无缝故障转移可确保即使个别 AWS 区域不可用,也能持续访问私有和公共资源。anycast 架构可自动将查询路由到健康区域,同时保持一致的解析行为。
高可用性和全球影响力
Route 53 Global Resolver 通过分布式架构和自动故障转移功能提供企业级可用性。
- 多区域部署
-
多区域部署将 Route 53 Global Resolver 实例分布到至少 2 个 AWS 区域,以确保高可用性并允许在服务中断期间进行故障转移。您可以根据地理要求和合规性需求选择特定的区域。
- 自动地理优化
-
自动地理优化会根据网络拓扑和延迟将 DNS 查询路由到最近的可用 AWS 区域。这缩短了响应时间,改善了分布在全球的组织的用户体验。
- 内置冗余
-
内置冗余功能可在主区域不可用时自动故障转移到备用区域,从而确保服务的连续性。当流量被透明地重新路由时,客户端继续使用相同的任播 IP 地址。
DNS 解析和转发
- 私有托管区域解析
-
私有托管区域解析使 Route 53 全球解析器能够跨 AWS 区域解析对 Route 53 私有托管区域的 DNS 查询。这样,授权的客户端就可以从互联网上的任何地方解析由 Route 53 托管的应用程序和资源的域名。
- 地平线分割 DNS
-
Split-Horizon DN S 根据进行查询的客户端提供不同的 DNS 响应。Route 53 Global Resolver 可以解析互联网上的公共域,同时解析私有域,从而提供对公共和私有资源的无缝访问。
- DNSSEC 验证
-
DNSSEC 验证验证来自公共域名服务器的 DNSSEC 签名域的 DNS 响应的真实性和完整性。此验证可确保 DNS 响应在传输过程中不会被篡改,从而防范 DNS 欺骗和缓存中毒攻击。
- EDNS 客户端子网 (ECS)
-
EDNS 客户端子网是一项可选功能,可将 DNS 查询中的客户端子网信息转发给权威域名服务器。这可以实现更准确的基于地理位置的 DNS 响应,通过将客户端定向到更近的内容交付网络或服务器,从而有可能减少延迟。对于 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 连接,您可以使用 EDNS0 传递客户端 IP 地址信息。在全局解析器上启用 ECS 后,如果查询中未提供客户端 IP,则该服务会自动注入客户端 IP。
DNS 过滤和域名列表
Route 53 Global Resolver 使用管理的域列表提供基于域的筛选 AWS ,以屏蔽或允许特定域。
- DNS 过滤规则
-
DNS 过滤规则定义了 Route 53 全球解析器如何根据域匹配标准处理 DNS 查询。规则按优先级顺序进行评估,可以为对特定域或域类别的查询指定操作(允许、阻止或警报)。
- 域名列表
-
域列表是过滤规则中使用的域的集合。它们可以是:
-
自定义域名列表-您创建和维护的域名集合
-
AWS 托管域列表-预先配置的威胁列表和由其维护的内容类别 AWS ,它们利用威胁情报来识别恶意域。可用的威胁列表包括:
-
恶意软件域-已知托管或分发恶意软件的域名
-
僵尸网络命令和控制-僵尸网络用于命令和控制通信的域
-
垃圾邮件-与垃圾邮件和有害电子邮件活动相关的域名
-
网络钓鱼-网络钓鱼攻击中用于窃取凭据和个人信息的域名
-
Amazon GuardDuty 威胁列表-由 GuardDuty 威胁情报识别的域名
可用内容类别包括社交媒体、赌博和其他帮助组织控制对特定类型内容的访问权限的类别。
为了保护知识产权和保持安全有效性,无法查看或编辑托管列表中的各个域名规范。
-
-
高级 DNS 威胁检测
Route 53 Global Resolver 使用动态算法分析来检测高级 DNS 威胁,例如 DNS 隧道和域生成算法。与匹配已知不良域名的域列表不同,算法检测会实时分析 DNS 查询模式以识别可疑行为。
- DNS 隧道检测
-
DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据,而无需与客户端建立网络连接。
- 域生成算法 (DGA) 检测
-
攻击者使用域生成算法 (DGAs) 为其 command-and-control服务器创建大量域名。
- 置信度阈值
-
每种检测算法都会输出一个确定规则触发的置信度分数。更高的置信阈值可以减少误报,但可能会错过复杂的攻击。较低的阈值会提高检测灵敏度,但需要额外的警报分析才能过滤误报。
- 操作限制
-
高级威胁防护规则仅支持
ALERT和BLOCK操作。不支持该ALLOW操作,因为算法检测无法对良性流量进行明确分类,只能识别潜在的恶意模式。
监控和日志记录
- 查询 日志
-
查询日志提供有关 Route 53 Global Resolver 处理的 DNS 查询的详细信息,包括源 IP、查询的域、响应代码、采取的策略操作和时间戳。日志可以传送到亚马逊 CloudWatch、Amazon Data Firehose 或亚马逊简单存储服务,用于分析和合规报告。
- OCSF 格式
-
开放网络安全架构框架 (OCSF) 格式是 Route 53 Global Resolver 用于 DNS 查询日志的标准化日志格式。这种格式提供一致的结构化数据,可轻松与安全信息和事件管理 (SIEM) 系统和其他安全工具集成。
- 日志目的地
-
日志目标决定了 DNS 查询日志的传送位置,每个日志都有不同的特征:
-
Amazon 简单存储服务-经济实惠的长期存储,非常适合合规和批量分析。与亚马逊 Athena 和亚马逊 EMR 等分析工具集成。
-
Ama CloudWatch zon Logs-与亚马逊警报和控制面板集成的实时监控和 CloudWatch 警报。支持临时查询的日志见解。
-
Amazon Data Firehose-具有内置数据转换功能的实时流式传输到外部系统。支持自动缩放和缓冲。
-
- 可观测性区域
-
可观察性区域决定 DNS 查询日志的传送位置。
