本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Route 53 Global Resolver 的 DNS 安全性和分割期限使用案例
Route 53 Global Resolver 解決了組織的三個主要 DNS 挑戰:
- 啟用公有和私有 DNS 解析之間的分割流量
-
從任何位置啟用 Amazon Route 53 上私有託管區域 (PHZs) 的全域存取,同時解析網際網路上的公有網域。允許遠端位置和分支辦公室在沒有複雜 VPN 組態或區域特定轉送的情況下解析內部應用程式名稱。實作分割期限 DNS,根據進行查詢的用戶端提供不同的 DNS 回應,協助遠端用戶端解決私有和公有網域的查詢。
- 保護來自 DNS 外洩攻擊的 DNS 流量
-
透過篩選惡意網域的查詢,保護遠端位置和分支辦公室免受 DNS 型資料外洩攻擊。使用 DNS-over-HTTPS (DoH) 和 DNS-over-TLS (DoT) 加密傳輸中的 DNS 流量,以確保只有授權用戶端可以存取您的 DNS 服務,藉此改善隱私權。套用安全政策來封鎖威脅,例如 DNS 通道和網域產生演算法 (DGAs)。使用 DNSSEC 簽署網域的 DNSSEC (網域名稱系統安全延伸) 驗證 DNS 回應真偽,以防止 DNS 詐騙和快取中毒攻擊。
- 高可用性和全球影響力
-
透過全球部署實現高可用性,並從單一管理界面維持全球一致的 DNS 組態。Route 53 Global Resolver 會在 AWS 區域 您選擇的 中執行,使用可自動將查詢路由至最接近可用區域的任何廣播 IP 地址,以獲得最佳效能和可靠性。全球企業可以集中設定和管理 DNS 政策,同時為用戶端提供一組 IP 地址,以自動地理最佳化在全球範圍內運作。即使個別區域無法使用,內建備援也能確保服務持續性。
其他功能支援這些主要使用案例:
- 實作 DNS 篩選和內容政策
-
透過建立自訂網域清單或使用 AWS 受管網域清單,跨多個位置管理網際網路存取。為了協助您根據您的需求實作篩選和內容政策,受管網域清單包含涵蓋多個網域的多種 DNS 威脅類別。使用 IP 允許清單或存取字符設定存取來源,並為不同的辦公室位置或用戶端群組設定不同的篩選政策。
- 適用於不同部署案例的彈性身分驗證
-
選擇最適合您部署的身分驗證方法:使用來源 CIDR 範圍允許清單的字符型身分驗證或 IP 型身分驗證。
- 維持可見性和合規性
-
透過將日誌交付至 Amazon CloudWatch、Firehose 或 Amazon Simple Storage Service 來監控整個組織的 DNS 活動。為集中式日誌儲存選擇單一目的地區域,以支援安全稽核、合規要求和威脅調查。
