Route 53 Resolver DNS Firewall - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Route 53 Resolver DNS Firewall

Mit der Route-53-Resolver-DNS-Firewall können Sie ausgehenden DNS-Datenverkehr für Ihre virtuelle private Cloud (VPCs, Virtual Private Clouds) filtern und regulieren. Dazu erstellen Sie wiederverwendbare Sammlungen von Filterregeln in Regelgruppen der DNS-Firewall, ordnen die Regelgruppen Ihrer VPC zu und überwachen dann Aktivitäten in DNS-Firewall-Protokollen und -Metriken. Je nach Aktivität können Sie das Verhalten der DNS-Firewall entsprechend anpassen.

Die DNS-Firewall bietet Schutz für ausgehende DNS-Anforderungen von Ihren VPCs. Diese Anforderungen leiten über Resolver für die Auflösung von Domainnamen. Eine primäre Verwendung des DNS-Firewall-Schutzes besteht darin, die DNS-Exfiltration Ihrer Daten zu verhindern. Die DNS-Exfiltration kann auftreten, wenn ein schlechter Akteur eine Anwendungs-Instance in Ihrer VPC gefährdet und dann DNS-Lookup verwendet, um Daten aus der VPC an eine Domain zu senden, die sie steuern. Mit der DNS-Firewall können Sie die Domains überwachen und steuern, die Ihre Anwendungen abfragen können. Sie können den Zugriff auf die Domains verweigern, von denen Sie wissen, dass sie schlecht sind und alle anderen Abfragen durchlaufen können. Alternativ können Sie allen Domains den Zugriff verweigern, außer jenen, denen Sie explizit vertrauen.

Sie können die DNS-Firewall auch verwenden, um Auflösungsanforderungen an Ressourcen in privaten gehosteten Zonen (gemeinsam oder lokal) einschließlich VPC-Endpunktnamen zu blockieren. Es kann auch Anfragen für öffentliche oder private Amazon-EC2-Instance-Namen blockieren.

Die DNS-Firewall ist ein Feature von Route 53 Resolver und erfordert keine zusätzliche Einrichtung des Resolvers.

AWS Firewall Manager unterstützt DNS-Firewall

Sie können Firewall Manager verwenden, um Ihre DNS-Firewall-Regelgruppenzuordnungen für Ihre VPCs in Ihren Konten in AWS Organizations zentral zu konfigurieren und zu verwalten. Firewall Manager fügt automatisch Zuordnungen für VPCs hinzu, die in den Geltungsbereich Ihrer Firewall Manager-DNS-Firewall-Richtlinie fallen. Weitere Informationen finden Sie AWS Firewall Managerim AWS Shield Advanced Entwicklerhandbuch AWS WAF AWS Firewall Manager,, und.

Wie funktioniert die DNS-Firewall mit AWS Network Firewall

Die DNS-Firewall und die Network Firewall bieten eine Filterung von Domainnamen, jedoch für verschiedene Arten von Datenverkehr. Zusammen mit DNS-Firewall und Network Firewall können Sie Domain-basierte Filterung für den Datenverkehr auf Anwendungsebene über zwei verschiedene Netzwerkpfade konfigurieren.

  • Die DNS-Firewall bietet Filterung für ausgehende DNS-Abfragen, die den Route 53 Resolver von Anwendungen innerhalb Ihrer VPCs durchlaufen. Sie können die DNS-Firewall auch so konfigurieren, dass benutzerdefinierte Antworten für Abfragen an blockierte Domainnamen gesendet werden.

  • Die Network Firewall bietet Filterung für den Datenverkehr auf Netzwerk- und Anwendungsebene, hat jedoch keine Einsicht in Abfragen, die von Route 53 Resolver durchgeführt werden.

Weitere Informationen finden über Network Firewall im Network-Firewall-Entwicklerhandbuch.