Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du pare-feu DNS pour filtrer le trafic DNS sortant
Avec Route 53 Resolver DNS Firewall, vous pouvez filtrer et réguler le trafic DNS sortant pour votre cloud privé virtuel (VPC). Pour ce faire, créez des collections réutilisables de règles de filtrage dans les groupes de règles de pare-feu DNS, associez les groupes de règles à votre VPC, puis contrôlez l'activité dans les journaux et les métriques du pare-feu DNS. En fonction de l'activité, vous pouvez ajuster le comportement du pare-feu DNS en conséquence.
Le pare-feu DNS protège les requêtes DNS sortantes provenant de votre VPCs. Ces demandes sont acheminées via Resolver pour la résolution des noms de domaine. Une utilisation principale des protections de pare-feu DNS consiste à empêcher l'exfiltration DNS de vos données. L'exfiltration DNS peut se produire lorsqu'un acteur malveillant compromet une instance d'application dans votre VPC, puis utilise la recherche DNS pour extraire des données du VPC et les envoyer vers un domaine qu'il contrôle. Avec le pare-feu DNS, vous pouvez surveiller et contrôler les domaines que vos applications peuvent interroger. Vous pouvez refuser l'accès aux domaines malveillants et autoriser le passage de toutes les autres requêtes. Vous pouvez également refuser l'accès à tous les domaines, sauf ceux que vous approuvez explicitement.
Vous pouvez également utiliser le pare-feu DNS pour bloquer les demandes de résolution aux ressources dans des zones hébergées privées (partagées ou locales), y compris les noms de points de terminaison de VPC. Il peut également bloquer les demandes de noms d' EC2 instances Amazon publics ou privés.
Le pare-feu DNS est une fonction de Route 53 Resolver et ne nécessite aucune configuration supplémentaire de Resolver.
AWS Firewall Manager prend en charge le pare-feu DNS
Vous pouvez utiliser Firewall Manager pour configurer et gérer de manière centralisée vos associations de groupes de règles de pare-feu DNS pour VPCs l'ensemble de vos comptes dans AWS Organizations. Firewall Manager ajoute automatiquement les associations VPCs qui entrent dans le champ d'application de votre politique de pare-feu DNS Firewall Manager. Pour plus d'informations, consultez AWS Firewall Managerle AWS WAF AWS Firewall Manager, et le Guide AWS Shield Advanced du développeur.
Comment fonctionne le pare-feu DNS avec AWS Network Firewall
Le pare-feu DNS et Network Firewall offrent tous deux le filtrage des noms de domaine, mais pour différents types de trafic. En utilisant à la fois le pare-feu DNS et Network Firewall, vous pouvez configurer le filtrage basé sur le domaine pour le trafic de la couche d'application sur deux chemins réseau différents.
-
Le pare-feu DNS permet de filtrer les requêtes DNS sortantes qui transitent par le résolveur Route 53 à partir d'applications internes à votre compte. VPCs Vous pouvez également configurer le pare-feu DNS pour envoyer des réponses personnalisées pour les requêtes adressées à des noms de domaine bloqués.
-
Network Firewall fournit un filtrage pour le trafic de la couche réseau et d'application, mais n'a pas de visibilité sur les requêtes effectuées par Route 53 Resolver.
Pour plus d'informations sur Network Firewall, consultez le Guide du développeur Network Firewall.