Route 53 Global Resolver 的重要概念和元件 - Amazon Route 53
現場部署和遠端位置用戶端的 DNS 解析程式DNS 用戶端身分驗證分割流量 DNS 解析高可用性和全球影響力DNS 解析和轉送DNS 篩選和網域清單進階 DNS 威脅偵測監控和記錄

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Route 53 Global Resolver 的重要概念和元件

Route 53 Global Resolver 使用數個關鍵元件共同運作,以提供分割流量 DNS 解析、透過全域 Anycast 架構實現高可用性,並為您的組織提供全面的 DNS 安全。了解這些 Route 53 Global Resolver 概念可協助您設計和部署解決方案,以無縫存取私有和公有資源、確保跨多個區域的服務持續性,並防範 DNS 型威脅。

現場部署和遠端位置用戶端的 DNS 解析程式

若要為您的分散式工作負載、客戶位置和使用者部署 Route 53 Global Resolver,請設定下列關鍵元件:

全域解析程式

為您的組織跨多個 AWS 區域提供 DNS 解析和篩選的主要服務執行個體。您的全域解析程式使用 Anycast 技術,自動將 DNS 查詢路由到最近的可用區域,確保所有用戶端無論其位置為何都能快速回應。

Anycast IP 地址

指派給全域解析程式的兩個唯一 IPv4 或 IPv6 地址,您在用戶端裝置和網路設備上設定。這些廣播 IP 地址全域相同,可簡化所有位置的 DNS 組態。Anycast IP 定址可讓 DNS 請求自動路由至最近的全域解析程式、最佳化回應時間並改善服務可靠性。

DNS 檢視

組態範本可讓您將不同的 DNS 政策套用至網路中的不同用戶端群組。使用 DNS 檢視實作分割期限 DNS,例如,對遠端位置套用嚴格的篩選和字符驗證,同時使用 IP 型存取和分支辦公室的不同安全政策。

DNS 用戶端身分驗證

選取最適合您部署的身分驗證方法:

字符型驗證

使用 DNS-over-HTTPS (DoH) 和 DNS-over-TLS (DoT) 的加密字符來保護 DNS 連線。 DoT 您可以為個別用戶端或裝置群組產生唯一的存取權杖、設定過期期間,並視需要撤銷權杖。

存取以來源為基礎的身分驗證

使用 IP 地址和 CIDR 範圍允許清單控制存取。您可以設定分支辦公室公有 IP 地址或網路範圍,然後根據您的安全需求,指定每個位置可以使用的 DNS 通訊協定 (DNS-over-port-53、DoT 或 DoH)。

DNS 通訊協定選擇

根據您的安全性和相容性需求選擇適當的 DNS 通訊協定

  • DNS-over-port-53 (Do53) - 用於與現有網路基礎設施的最大相容性

  • DNS-over-TLS (DoT) - 當您需要具有專用連接埠分隔的加密 DNS 進行網路監控時使用

  • DNS-over-HTTPS (DoH) - 當您需要繞過網路限制時使用,因為流量顯示為一般 HTTPS

分割流量 DNS 解析

Route 53 Global Resolver 可讓組織從任何位置無縫解析私有和公有網域,無需複雜的 VPN 組態或區域特定的 DNS 設定。

混合 DNS 解析

混合 DNS 解析可讓 Route 53 Global Resolver 同時將內部部署使用者和應用程式的查詢解析為私有應用程式 AWS。

全域私有區域存取

全域私有區域存取可將 Amazon Route 53 私有託管區域的覆蓋範圍延伸到 VPC 邊界之外。網際網路上任何位置的授權用戶端都可以解析私有網域名稱,讓分散式團隊存取內部資源,而不需要傳統的網路連線需求。

無縫容錯移轉

即使個別 AWS 區域無法使用,無縫容錯移轉也能確保持續存取私有和公有資源。Anycast 架構會自動將查詢路由至運作狀態良好的區域,同時維持一致的解析度行為。

高可用性和全球影響力

Route 53 Global Resolver 透過分散式架構和自動容錯移轉功能提供企業級可用性。

多區域部署

多區域部署會將 Route 53 Global Resolver 執行個體分散到至少 2 AWS 個區域,以確保高可用性,並在服務中斷期間允許容錯移轉。您可以根據您的地理需求和合規需求選取特定區域。

自動地理最佳化

自動地理最佳化會根據網路拓撲和延遲,將 DNS 查詢路由至最接近的可用 AWS 區域。這可減少回應時間,並改善全球分散式組織的使用者體驗。

內建備援

內建備援可在主要區域無法使用時,透過自動容錯移轉至替代區域來確保服務連續性。當流量以透明方式重新路由時,用戶端會繼續使用相同的廣播 IP 地址。

DNS 解析和轉送

私有託管區域解析

私有託管區域解析可讓 Route 53 Global Resolver 解析跨 AWS 區域的 Route 53 私有託管區域的 DNS 查詢。這可讓授權用戶端從網際網路的任何位置解析 Route 53 託管的應用程式和資源網域。

分割期限 DNS

分割期限 DNS 會根據進行查詢的用戶端提供不同的 DNS 回應。Route 53 Global Resolver 可以解析網際網路上的公有網域,同時解析私有網域,提供公有和私有資源的無縫存取。

DNSSEC 驗證

DNSSEC 驗證會驗證 DNSSEC 簽署網域的公有名稱伺服器對 DNS 回應的真實性和完整性。此驗證可確保 DNS 回應在傳輸期間未遭到竄改,提供 DNS 詐騙和快取中毒攻擊的保護。

EDNS 用戶端子網路 (ECS)

EDNS 用戶端子網路是一項選用功能,可將 DNS 查詢中的用戶端子網路資訊轉送給授權名稱伺服器。這可實現更準確的地理 DNS 回應,透過將用戶端導向更接近的內容交付網路或伺服器來降低延遲。對於 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 連線,您可以使用 EDNS0 傳遞用戶端 IP 地址資訊。在全域解析程式上啟用 ECS 時,如果查詢中未提供,服務會自動注入用戶端 IP。

DNS 篩選和網域清單

Route 53 Global Resolver 使用 管理的網域清單提供以網域為基礎的篩選 AWS ,以封鎖或允許特定網域。

DNS 篩選規則

DNS 篩選規則定義 Route 53 Global Resolver 根據網域比對條件處理 DNS 查詢的方式。規則會依優先順序評估,並可針對特定網域或網域類別的查詢指定動作 (ALLOW、BLOCK 或 ALERT)。

網域清單

網域清單是用於篩選規則的網域集合。它們可以是:

  • 自訂網域清單 - 您建立和維護的網域集合

  • AWS 受管網域清單 - 維護的預先設定威脅清單和內容類別 AWS ,利用威脅情報來識別惡意網域。可用的威脅清單包括:

    • 惡意軟體網域 - 已知託管或分發惡意軟體的網域

    • 殭屍網路命令和控制 - 殭屍網路用於命令和控制通訊的網域

    • 垃圾郵件 - 與垃圾郵件和不需要的電子郵件行銷活動相關聯的網域

    • 網路釣魚 - 用於網路釣魚攻擊的網域,用於竊取登入資料和個人資訊

    • Amazon GuardDuty 威脅清單 - GuardDuty 威脅情報識別的網域

    可用的內容類別包括社交媒體、賭博和其他類別,可協助組織控制對特定類型內容的存取。

    無法檢視或編輯受管清單中的個別網域規格,以保護智慧財產權並維持安全有效性。

進階 DNS 威脅偵測

Route 53 Global Resolver 使用動態演算法分析來偵測進階 DNS 威脅,例如 DNS 通道和網域產生演算法。與符合已知錯誤網域的網域清單不同,演算法偵測會即時分析 DNS 查詢模式,以識別可疑行為。

DNS 通道偵測

攻擊者會使用 DNS 通道,透過使用 DNS 通道從用戶端洩漏資料,而無需與用戶端建立網路連線。

網域產生演算法 (DGA) 偵測

攻擊者會使用網域產生演算法 (DGAs)command-and-control伺服器建立大量網域名稱。

可信度閾值

每個偵測演算法都會輸出可信度分數,以決定規則觸發。較高的可信度閾值可減少誤報,但可能會錯過複雜的攻擊。較低的閾值會增加偵測敏感度,但需要額外的提醒分析來篩選誤報。

動作限制

進階威脅防護規則僅支援 ALERTBLOCK動作。不支援 ALLOW動作,因為演算法偵測無法明確分類良性流量,只能識別潛在的惡意模式。

監控和記錄

查詢 日誌

查詢日誌提供 Route 53 Global Resolver 處理之 DNS 查詢的詳細資訊,包括來源 IP、查詢網域、回應碼、採取的政策動作和時間戳記。日誌可交付至 Amazon CloudWatch、Amazon Data Firehose 或 Amazon Simple Storage Service 進行分析和合規報告。

OCSF 格式

Open Cybersecurity Schema Framework (OCSF) 格式是 Route 53 Global Resolver for DNS 查詢日誌所使用的標準化記錄格式。此格式提供一致的結構化資料,可輕鬆與安全資訊和事件管理 (SIEM) 系統和其他安全工具整合。

日誌目的地

日誌目的地會決定 DNS 查詢日誌的交付位置,每個日誌都有不同的特性:

  • Amazon Simple Storage Service - 經濟實惠的長期儲存,非常適合用於合規和批次分析。與 Amazon Athena 和 Amazon EMR 等分析工具整合。

  • Amazon CloudWatch Logs - 即時監控和警示與 Amazon CloudWatch 警示和儀表板的整合。支援臨機操作查詢的日誌洞見。

  • Amazon Data Firehose - 使用內建的資料轉換功能即時串流至外部系統。支援自動擴展和緩衝。

可觀測性區域

可觀測性區域會決定 DNS 查詢日誌的交付位置。