Konsep dan komponen kunci untuk Route 53 Global Resolver - Amazon Route 53
DNS resolver untuk klien di lokasi lokal dan terpencilAutentikasi klien DNSResolusi DNS lalu lintas terpisahKetersediaan tinggi dan kehadiran globalResolusi dan penerusan DNSPemfilteran DNS dan daftar domainDeteksi ancaman DNS tingkat lanjutPencatatan dan pemantauan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep dan komponen kunci untuk Route 53 Global Resolver

Route 53 Global Resolver menggunakan beberapa komponen kunci yang bekerja sama untuk menyediakan resolusi DNS split-traffic, ketersediaan tinggi melalui arsitektur anycast global, dan keamanan DNS komprehensif untuk organisasi Anda. Memahami konsep Route 53 Global Resolver ini membantu Anda merancang dan menerapkan solusi yang memungkinkan akses tanpa batas ke sumber daya swasta dan publik, memastikan kelangsungan layanan di berbagai Wilayah, dan melindungi dari ancaman berbasis DNS.

DNS resolver untuk klien di lokasi lokal dan terpencil

Untuk menerapkan Route 53 Global Resolver untuk beban kerja terdistribusi, lokasi pelanggan, dan pengguna, konfigurasikan komponen utama ini:

Penyelesai global

Instans layanan utama yang menyediakan resolusi dan pemfilteran DNS untuk organisasi Anda di beberapa AWS Wilayah. Penyelesai global Anda menggunakan teknologi anycast untuk secara otomatis merutekan kueri DNS ke Wilayah terdekat yang tersedia, memastikan waktu respons yang cepat untuk semua klien terlepas dari lokasi mereka.

Alamat IP anycast

Dua IPv6 alamat unik IPv4 atau yang ditetapkan ke resolver global yang Anda konfigurasikan pada perangkat klien dan peralatan jaringan. Alamat IP anycast ini sama secara global, yang menyederhanakan konfigurasi DNS di semua lokasi Anda. Pengalamatan IP Anycast memungkinkan perutean otomatis permintaan DNS ke resolver global terdekat, mengoptimalkan waktu respons dan meningkatkan keandalan layanan.

Tampilan DNS

Templat konfigurasi yang memungkinkan Anda menerapkan kebijakan DNS yang berbeda ke grup klien yang berbeda di jaringan Anda. Gunakan tampilan DNS untuk menerapkan DNS split-horizon — Misalnya, terapkan pemfilteran ketat dan otentikasi token untuk lokasi terpencil, saat menggunakan akses berbasis IP dan kebijakan keamanan yang berbeda untuk kantor cabang.

Autentikasi klien DNS

Pilih metode otentikasi yang paling sesuai untuk penerapan Anda:

Otentikasi berbasis token

Amankan koneksi DNS menggunakan token terenkripsi untuk DNS-over-HTTPS (DoH) dan DNS-over-TLS (DoT). Anda dapat menghasilkan token akses unik untuk klien individu atau grup perangkat, menetapkan periode kedaluwarsa, dan mencabut token sesuai kebutuhan.

Akses otentikasi berbasis sumber

Kontrol akses menggunakan alamat IP dan daftar izin rentang CIDR. Anda dapat mengonfigurasi alamat IP publik kantor cabang atau rentang jaringan, lalu menentukan protokol DNS (DNS-over-port-53, DoT, atau DoH) yang dapat digunakan setiap lokasi berdasarkan persyaratan keamanan Anda.

Pemilihan protokol DNS

Pilih protokol DNS yang sesuai berdasarkan kebutuhan keamanan dan kompatibilitas Anda:

  • DNS-over-port-53 (Do53) - Gunakan untuk kompatibilitas maksimum dengan infrastruktur jaringan yang ada

  • DNS-over-TLS (DoT) - Gunakan saat Anda membutuhkan DNS terenkripsi dengan pemisahan port khusus untuk pemantauan jaringan

  • DNS-over-HTTPS (DoH) - Gunakan saat Anda perlu melewati batasan jaringan, karena lalu lintas muncul sebagai HTTPS biasa

Resolusi DNS lalu lintas terpisah

Route 53 Global Resolver memungkinkan organisasi menyelesaikan domain pribadi dan publik dengan mulus dari lokasi mana pun, menghilangkan kebutuhan akan konfigurasi VPN yang kompleks atau pengaturan DNS khusus Wilayah.

Resolusi DNS hibrida

Resolusi DNS Hybrid memungkinkan Route 53 Global Resolver untuk secara bersamaan menyelesaikan kueri dari pengguna dan aplikasi lokal ke aplikasi pribadi. AWS

Akses zona pribadi global

Akses zona pribadi global memperluas jangkauan zona host pribadi Amazon Route 53 di luar batas VPC. Klien resmi di mana saja di internet dapat menyelesaikan nama domain pribadi, memungkinkan tim terdistribusi untuk mengakses sumber daya internal tanpa persyaratan konektivitas jaringan tradisional.

Failover mulus

Failover yang mulus memastikan akses berkelanjutan ke sumber daya swasta dan publik bahkan ketika AWS Wilayah individu menjadi tidak tersedia. Arsitektur anycast secara otomatis merutekan kueri ke wilayah sehat sambil mempertahankan perilaku resolusi yang konsisten.

Ketersediaan tinggi dan kehadiran global

Route 53 Global Resolver menyediakan ketersediaan tingkat perusahaan melalui arsitektur terdistribusi dan kemampuan failover otomatis.

Penyebaran multi-wilayah

Penerapan multi-wilayah mendistribusikan instans Route 53 Global Resolver di setidaknya 2 AWS Wilayah untuk memastikan ketersediaan tinggi dan memungkinkan failover selama pemadaman layanan. Anda dapat memilih Wilayah tertentu berdasarkan persyaratan geografis dan kebutuhan kepatuhan Anda.

Optimalisasi geografis otomatis

Optimasi geografis otomatis merutekan kueri DNS ke AWS Wilayah terdekat yang tersedia berdasarkan topologi dan latensi jaringan. Ini mengurangi waktu respons dan meningkatkan pengalaman pengguna untuk organisasi yang didistribusikan secara global.

Redundansi bawaan

Redundansi bawaan memastikan kontinuitas layanan melalui failover otomatis ke wilayah alternatif ketika wilayah utama menjadi tidak tersedia. Klien terus menggunakan alamat IP anycast yang sama sementara lalu lintas dialihkan secara transparan.

Resolusi dan penerusan DNS

Resolusi zona yang dihosting pribadi

Resolusi zona yang dihosting pribadi memungkinkan Route 53 Global Resolver untuk menyelesaikan kueri DNS untuk zona host pribadi Route 53 di seluruh Wilayah. AWS Ini memungkinkan klien yang berwenang untuk menyelesaikan domain untuk aplikasi dan sumber daya yang dihosting oleh Route 53 dari mana saja di internet.

DNS cakrawala terpisah

DNS split-horizon menyediakan respons DNS yang berbeda berdasarkan klien yang membuat kueri. Route 53 Global Resolver dapat menyelesaikan domain publik di internet sekaligus menyelesaikan domain pribadi, menyediakan akses tanpa batas ke sumber daya publik dan swasta.

Validasi DNSSEC

Validasi DNSSEC memverifikasi keaslian dan integritas respons DNS dari server nama publik untuk domain yang ditandatangani DNSSEC. Validasi ini memastikan respons DNS tidak dirusak selama transmisi, memberikan perlindungan terhadap spoofing DNS dan serangan keracunan cache.

Subnet Klien EDNS (ECS)

EDNS Client Subnet adalah fitur opsional yang meneruskan informasi subnet klien dalam kueri DNS ke server nama otoritatif. Ini memungkinkan respons DNS berbasis geografis yang lebih akurat, berpotensi mengurangi latensi dengan mengarahkan klien ke jaringan atau server pengiriman konten yang lebih dekat. Untuk koneksi DNS-over-TLS (DoT) dan DNS-over-HTTPS (DoH), Anda dapat menggunakan EDNS0 untuk meneruskan informasi alamat IP klien. Ketika ECS diaktifkan pada Global Resolver, layanan secara otomatis menyuntikkan IP klien jika tidak disediakan dalam kueri.

Pemfilteran DNS dan daftar domain

Route 53 Global Resolver menyediakan pemfilteran berbasis domain menggunakan daftar domain yang dikelola oleh AWS untuk memblokir atau mengizinkan domain tertentu.

Aturan penyaringan DNS

Aturan pemfilteran DNS menentukan cara Route 53 Global Resolver menangani kueri DNS berdasarkan kriteria pencocokan domain. Aturan dievaluasi dalam urutan prioritas dan dapat menentukan tindakan (ALLOW, BLOCK, atau ALERT) untuk kueri ke domain atau kategori domain tertentu.

Daftar domain

Daftar domain adalah kumpulan domain yang digunakan dalam aturan pemfilteran. Mereka bisa:

  • Daftar domain khusus - Koleksi domain yang Anda buat dan pelihara

  • AWS daftar domain terkelola - Daftar ancaman yang telah dikonfigurasi sebelumnya dan kategori konten yang dikelola oleh AWS yang memanfaatkan intelijen ancaman untuk mengidentifikasi domain berbahaya. Daftar ancaman yang tersedia meliputi:

    • Domain malware - Domain yang dikenal untuk meng-host atau mendistribusikan malware

    • Perintah dan kontrol botnet - Domain yang digunakan oleh botnet untuk komunikasi perintah dan kontrol

    • Spam - Domain yang terkait dengan spam dan kampanye email yang tidak diinginkan

    • Phishing - Domain yang digunakan dalam serangan phishing untuk mencuri kredensyal dan informasi pribadi

    • Daftar GuardDuty ancaman Amazon - Domain diidentifikasi oleh intelijen GuardDuty ancaman

    Kategori konten yang tersedia termasuk media sosial, perjudian, dan kategori lain yang membantu organisasi mengontrol akses ke jenis konten tertentu.

    Spesifikasi domain individual dalam daftar terkelola tidak dapat dilihat atau diedit untuk melindungi kekayaan intelektual dan menjaga efektivitas keamanan.

Deteksi ancaman DNS tingkat lanjut

Route 53 Global Resolver menggunakan analisis algoritmik dinamis untuk mendeteksi ancaman DNS tingkat lanjut seperti tunneling DNS dan Algoritma Pembuatan Domain. Tidak seperti daftar domain yang cocok dengan domain buruk yang diketahui, deteksi algoritmik menganalisis pola kueri DNS secara real-time untuk mengidentifikasi perilaku yang mencurigakan.

Deteksi terowongan DNS

Tunneling DNS digunakan oleh penyerang untuk mengekstrasi data dari klien dengan menggunakan terowongan DNS tanpa membuat koneksi jaringan ke klien.

Deteksi Algoritma Pembuatan Domain (DGA)

Domain Generation Algorithms (DGAs) digunakan oleh penyerang untuk membuat sejumlah besar nama domain untuk servernya command-and-control.

Ambang kepercayaan

Setiap algoritma deteksi menghasilkan skor kepercayaan yang menentukan pemicu aturan. Ambang kepercayaan yang lebih tinggi mengurangi positif palsu tetapi mungkin melewatkan serangan canggih. Ambang batas yang lebih rendah meningkatkan sensitivitas deteksi tetapi memerlukan analisis peringatan tambahan untuk menyaring positif palsu.

Batasan tindakan

Aturan perlindungan ancaman tingkat lanjut hanya mendukung ALERT dan BLOCK tindakan. ALLOWTindakan ini tidak didukung karena deteksi algoritmik tidak dapat secara definitif mengklasifikasikan lalu lintas jinak, hanya mengidentifikasi pola yang berpotensi berbahaya.

Pencatatan dan pemantauan

Log kueri

Log kueri memberikan informasi rinci tentang kueri DNS yang diproses oleh Route 53 Global Resolver, termasuk IP sumber, domain kueri, kode respons, tindakan kebijakan yang diambil, dan cap waktu. Log dapat dikirimkan ke Amazon CloudWatch, Amazon Data Firehose, atau Amazon Simple Storage Service untuk analisis dan pelaporan kepatuhan.

Format OCSF

Format Open Cybersecurity Schema Framework (OCSF) adalah format logging standar yang digunakan oleh Route 53 Global Resolver untuk log query DNS. Format ini menyediakan data yang konsisten dan terstruktur yang terintegrasi dengan mudah dengan sistem informasi keamanan dan manajemen peristiwa (SIEM) dan alat keamanan lainnya.

Log tujuan

Tujuan log menentukan di mana log kueri DNS dikirimkan, masing-masing dengan karakteristik yang berbeda:

  • Amazon Simple Storage Service - Penyimpanan jangka panjang hemat biaya yang ideal untuk kepatuhan dan analisis batch. Terintegrasi dengan alat analitik seperti Amazon Athena dan Amazon EMR.

  • Amazon CloudWatch Logs - Pemantauan dan peringatan waktu nyata dengan integrasi ke CloudWatch alarm dan dasbor Amazon. Mendukung wawasan log untuk kueri ad-hoc.

  • Amazon Data Firehose - Streaming real-time ke sistem eksternal dengan kemampuan transformasi data bawaan. Mendukung penskalaan dan buffering otomatis.

Wilayah Observabilitas

Wilayah Observabilitas menentukan tempat log kueri DNS dikirimkan.