Route 53 Resolver DNS Firewall

Avec Route 53 Resolver DNS Firewall, vous pouvez filtrer et réguler le trafic DNS sortant pour votre cloud privé virtuel (VPC). Pour ce faire, créez des collections réutilisables de règles de filtrage dans les groupes de règles de pare-feu DNS, associez les groupes de règles à votre VPC, puis contrôlez l'activité dans les journaux et les métriques du pare-feu DNS. En fonction de l'activité, vous pouvez ajuster le comportement du pare-feu DNS en conséquence.

Le pare-feu DNS fournit une protection pour les demandes DNS sortantes provenant de vos VPC. Ces demandes sont acheminées via Resolver pour la résolution des noms de domaine. Une utilisation principale des protections de pare-feu DNS consiste à empêcher l'exfiltration DNS de vos données. L'exfiltration DNS peut se produire lorsqu'un acteur malveillant compromet une instance d'application dans votre VPC, puis utilise la recherche DNS pour extraire des données du VPC et les envoyer vers un domaine qu'il contrôle. Avec le pare-feu DNS, vous pouvez surveiller et contrôler les domaines que vos applications peuvent interroger. Vous pouvez refuser l'accès aux domaines malveillants et autoriser le passage de toutes les autres requêtes. Vous pouvez également refuser l'accès à tous les domaines, sauf ceux que vous approuvez explicitement.

Vous pouvez également utiliser le pare-feu DNS pour bloquer les demandes de résolution aux ressources dans des zones hébergées privées (partagées ou locales), y compris les noms de points de terminaison de VPC. Il peut également bloquer les demandes de noms d'instance Amazon EC2 publiques ou privées.

Le pare-feu DNS est une fonction de Route 53 Resolver et ne nécessite aucune configuration supplémentaire de Resolver.

AWS Firewall Manager prend en charge le pare-feu DNS

Vous pouvez utiliser Firewall Manager pour configurer et gérer de manière centralisée vos associations de groupes de règles de pare-feu DNS pour vos VPC sur vos comptes dans AWS Organizations. Firewall Manager ajoute automatiquement des associations pour les VPC qui entrent dans la portée de votre stratégie de pare-feu DNS Firewall Manager. Pour plus d'informations, consultez AWS Firewall Managerle AWS WAF AWS Firewall Manager, et le Guide AWS Shield Advanced du développeur.

Comment fonctionne le pare-feu DNS avec AWS Network Firewall

Le pare-feu DNS et Network Firewall offrent tous deux le filtrage des noms de domaine, mais pour différents types de trafic. En utilisant à la fois le pare-feu DNS et Network Firewall, vous pouvez configurer le filtrage basé sur le domaine pour le trafic de la couche d'application sur deux chemins réseau différents.

Le pare-feu DNS fournit le filtrage des requêtes DNS sortantes qui passent par Route 53 Resolver à partir des applications de vos VPC. Vous pouvez également configurer le pare-feu DNS pour envoyer des réponses personnalisées pour les requêtes adressées à des noms de domaine bloqués.
Network Firewall fournit un filtrage pour le trafic de la couche réseau et d'application, mais n'a pas de visibilité sur les requêtes effectuées par Route 53 Resolver.

Pour plus d'informations sur Network Firewall, consultez le Guide du développeur Network Firewall.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation des versions d'API antérieures au 2012-12-12

Fonctionnement de Route 53 Resolver DNS Firewall