Come funziona Resolver DNS Firewall - Amazon Route 53
Componenti e impostazioni di DNS FirewallIn che modo Resolver DNS Firewall filtra le query DNSFasi avanzate per l'utilizzo di DNS FirewallUtilizzo dei gruppi di regole di DNS Firewall in più regioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona Resolver DNS Firewall

Resolver DNS Firewall ti consente di controllare l'accesso ai siti e bloccare le minacce a livello DNS per le query DNS che escono dal tuo VPC tramite il VPC Resolver Route 53. Con DNS Firewall, definisci le regole di filtraggio dei nomi di dominio nei gruppi di regole che associ al tuo. VPCs È possibile specificare elenchi di nomi di dominio da consentire o bloccare oppure regole Resolver DNS Firewall Advanced che offrono protezione dal tunneling DNS e dalle minacce basate su Domain Generation Algorithm (DGA). Puoi personalizzare le risposte per le query DNS che blocchi. Per le regole che contengono un elenco di domini, puoi anche perfezionare la regola per consentire la trasmissione di determinati tipi di query, come MX-Records.

DNS Firewall filtra solo il nome di dominio. Non risolve tale nome in un indirizzo IP da bloccare. Inoltre, DNS Firewall filtra il traffico DNS, ma non filtra altri protocolli a livello di applicazione, come HTTPS, SSH, TLS, FTP e così via.

Componenti e impostazioni del firewall DNS Resolver

Gestire DNS Firewall con i seguenti componenti e impostazioni centrali.

Gruppo di regole DNS Firewall

Definisce una raccolta denominata e riutilizzabile di regole di DNS Firewall per filtrare le query DNS. Si compila il gruppo di regole con le regole di filtraggio, quindi si associa il gruppo di regole a una o più regole. VPCs Quando associ un gruppo di regole a un VPC, si abilita il filtro DNS Firewall per il VPC. Quindi, quando VPC Resolver riceve una query DNS per un VPC a cui è associato un gruppo di regole, VPC Resolver passa la query a DNS Firewall per il filtraggio.

Se associ più gruppi di regole a un singolo VPC, è necessario indicare il relativo ordine di elaborazione tramite l'impostazione di priorità in ogni associazione. DNS Firewall elabora i gruppi di regole per un VPC dall'impostazione della priorità numerica più bassa a salire.

Per ulteriori informazioni, consulta Gruppi di regole e regole in DNS Firewall.

Regola DNS Firewall

Definisce una regola di filtro per le query DNS in un gruppo di regole di DNS Firewall Ogni regola specifica un elenco di domini, o protezione DNS Firewall, e un'azione da eseguire sulle query DNS i cui domini corrispondono alle specifiche di dominio indicate nella regola. È possibile consentire (solo regole con elenchi di domini), bloccare o inviare avvisi sulle query corrispondenti. Nelle regole con elenchi di domini è inoltre possibile specificare i tipi di query per i domini dell'elenco, ad esempio è possibile bloccare o consentire un tipo di query MX per uno o più domini specifici. Puoi inoltre definire risposte personalizzate per le query bloccate.

Per quanto riguarda le regole DNS Firewall, è possibile bloccare o inviare avvisi solo in caso di query corrispondenti.

Ogni regola di un gruppo di regole ha un'impostazione di priorità univoca all'interno del gruppo di regole. DNS Firewall elabora le regole in un gruppo di regole a partire dalla priorità più bassa a salire.

Le regole di DNS Firewall esistono solo nel contesto del gruppo di regole in cui sono definite. Non è possibile riutilizzare una regola o fare riferimento a essa indipendentemente dal relativo gruppo di regole.

Per ulteriori informazioni, consulta Gruppi di regole e regole in DNS Firewall.

Elenco di domini

Definisce una raccolta denominata e riutilizzabile di specifiche di dominio da utilizzare nel filtro DNS. Ogni regola in un gruppo di regole richiede un singolo elenco di domini. È possibile scegliere di specificare i domini a cui si desidera consentire l'accesso, i domini a cui si desidera negare l'accesso o una combinazione di entrambi. Puoi creare elenchi di domini personalizzati e utilizzare elenchi di domini che AWS gestiscono per te.

Per ulteriori informazioni, consulta Elenchi di domini Resolver DNS Firewall.

Impostazione di reindirizzamento del dominio (solo elenchi di domini)

L'impostazione di reindirizzamento del dominio consente di configurare una regola del firewall DNS per ispezionare tutti i domini della catena di reindirizzamento DNS (impostazione predefinita), come CNAME, DNAME e così via, oppure solo il primo dominio e considerare attendibile il resto. Se scegli di controllare l'intera catena di reindirizzamento DNS, devi aggiungere i domini successivi a un elenco di domini impostato su ALLOW nella regola. Se scegli di ispezionare l'intera catena di reindirizzamento DNS, devi aggiungere i domini successivi a un elenco di domini e impostare l'azione che desideri venga intrapresa dalla regola, ovvero ALLOW, BLOCK o ALERT.

Per ulteriori informazioni, consulta Impostazioni delle regole in DNS Firewall.

Tipo di query (solo elenchi di domini)

L'impostazione del tipo di query consente di configurare una regola DNS Firewall per filtrare un particolare tipo di query DNS. Se non si seleziona un tipo di query, la regola viene applicata a tutti i tipi di query DNS. Ad esempio, potresti voler bloccare tutti i tipi di query per un determinato dominio, ma consentire i record MX.

Per ulteriori informazioni, consulta Impostazioni delle regole in DNS Firewall.

Protezione DNS Firewall Advanced

Rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. Ogni regola in un gruppo di regole richiede una singola impostazione di protezione DNS Firewall Advanced. È possibile scegliere la protezione tra:

  • Algoritmi di generazione di domini () DGAs

    DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.

  • tunneling DNS

    Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.

  • Dizionario DGA

    DGAs I dizionari vengono utilizzati dagli aggressori per generare domini utilizzando parole del dizionario per eludere il rilevamento nelle comunicazioni di malware. command-and-control

In una regola DNS Firewall Advanced puoi scegliere di bloccare o avvisare una query che corrisponde alla minaccia. Gli algoritmi di protezione dalle minacce sono gestiti e aggiornati da. AWS

Per ulteriori informazioni, consulta Resolver DNS Firewall Advanced.

Soglia di confidenza (solo protezione DNS Firewall Advanced)

La soglia di confidenza per la protezione dalle minacce DNS. È necessario fornire questo valore quando si crea una regola DNS Firewall Advanced. I valori del livello di confidenza indicano:

  • Alto: rileva solo le minacce più confermate con un basso tasso di falsi positivi.

  • Medio: fornisce un equilibrio tra il rilevamento di minacce e i falsi positivi.

  • Basso: fornisce il più alto tasso di rilevamento delle minacce, ma aumenta anche i falsi positivi.

Per ulteriori informazioni, consulta Impostazioni delle regole in DNS Firewall.

Associazione tra un gruppo di regole DNS Firewall e un VPC

Definisce una protezione per un VPC utilizzando un gruppo di regole DNS Firewall e abilita la configurazione del firewall DNS VPC Resolver per il VPC.

Se associ più gruppi di regole a un singolo VPC, è necessario indicare il relativo ordine di elaborazione tramite l'impostazione di priorità in ogni associazione. DNS Firewall elabora i gruppi di regole per un VPC dall'impostazione della priorità numerica più bassa a salire.

Per ulteriori informazioni, consulta Attivazione delle protezioni Resolver DNS Firewall per il tuo VPC.

Configurazione DNS Firewall per un VPC

Specifica in che modo VPC Resolver deve gestire le protezioni DNS Firewall a livello di VPC. Questa configurazione è attiva ogni volta che al VPC è associato almeno un gruppo di regole DNS Firewall.

Questa configurazione specifica in che modo Route 53 VPC Resolver gestisce le query quando DNS Firewall non riesce a filtrarle. Per impostazione predefinita, se VPC Resolver non riceve una risposta da DNS Firewall per una query, fallisce la chiusura e blocca la query.

Per ulteriori informazioni, consulta Configurazione del VPC di DNS Firewall.

Monitoraggio delle azioni del firewall DNS

Puoi utilizzare Amazon CloudWatch per monitorare il numero di query DNS filtrate dai gruppi di regole del firewall DNS. CloudWatch raccoglie ed elabora dati grezzi in metriche leggibili e quasi in tempo reale.

Per ulteriori informazioni, consulta Monitoraggio dei gruppi di regole Resolver DNS Firewall con Amazon CloudWatch.

Puoi usare Amazon EventBridge, un servizio serverless che utilizza gli eventi per connettere tra loro i componenti delle applicazioni, per creare applicazioni scalabili basate sugli eventi.

Per ulteriori informazioni, consulta Gestione degli eventi Resolver DNS Firewall utilizzando Amazon EventBridge.

In che modo Resolver DNS Firewall filtra le query DNS

Quando un gruppo di regole DNS Firewall è associato al Route 53 VPC Resolver del tuo VPC, il seguente traffico viene filtrato dal firewall:

  • Query DNS che provengono da quel VPC e passano attraverso il DNS VPC.

  • Query DNS che passano attraverso gli endpoint di Resolver dalle risorse on-premise allo stesso VPC che ha il DNS Firewall associato al relativo resolver.

Quando DNS Firewall riceve una query DNS, filtra la query utilizzando i gruppi di regole, le regole e altre impostazioni che hai configurato e invia i risultati a VPC Resolver:

  • DNS Firewall valuta la query DNS utilizzando i gruppi di regole associati al VPC fino a quando non trova una corrispondenza o esaurisce tutti i gruppi di regole. DNS Firewall valuta i gruppi di regole in ordine della priorità impostata nell'associazione, a partire dall'impostazione numerica più bassa. Per ulteriori informazioni, consultare Gruppi di regole e regole in DNS Firewall e Attivazione delle protezioni Resolver DNS Firewall per il tuo VPC.

  • All'interno di ogni gruppo di regole, DNS Firewall valuta la query DNS rispetto all'elenco di domini di ogni regola o alle protezioni DNS Firewall Advanced finché non trova una corrispondenza o esaurisce tutte le regole. DNS Firewall valuta le regole in ordine di priorità, a partire dall'impostazione numerica più bassa. Per ulteriori informazioni, consulta Gruppi di regole e regole in DNS Firewall.

  • Quando DNS Firewall trova una corrispondenza con l'elenco di domini di una regola o anomalie identificate dalle protezioni delle regole DNS Firewall Advanced, interrompe la valutazione della query e risponde a VPC Resolver con il risultato. Se l'azione è questaalert, DNS Firewall invia anche un avviso ai log VPC Resolver configurati. Per ulteriori informazioni, consultare Operazioni delle regole in DNS Firewall, Elenchi di domini Resolver DNS Firewall e Resolver DNS Firewall Advanced.

  • Se DNS Firewall valuta tutti i gruppi di regole senza trovare una corrispondenza, risponde alla query come al solito.

VPC Resolver indirizza la query in base alla risposta di DNS Firewall. Nell'improbabile eventualità che il firewall DNS non risponda, VPC Resolver applica la modalità di errore del firewall DNS configurata dal VPC. Per ulteriori informazioni, consulta Configurazione del VPC di DNS Firewall.

Passaggi di alto livello per l'utilizzo di Resolver DNS Firewall

Per implementare il filtro Resolver DNS Firewall nel tuo VPC Amazon Virtual Private Cloud, esegui i seguenti passaggi di alto livello.

  • Definisci il tuo approccio di filtraggio, i tuoi elenchi di domini o le protezioni del firewall DNS: decidi come filtrare le query, identifica le specifiche di dominio di cui avrai bisogno e definisci la logica da utilizzare per valutare le query. Ad esempio, puoi autorizzare tutte le query ad eccezione di quelle riportate in un elenco di domini non corretti noti. Oppure puoi fare il contrario e bloccare tutti i domini tranne quelli di un elenco di domini approvati, in quello che è noto come un approccio walled garden. Puoi creare e gestire i tuoi elenchi di specifiche di dominio approvate o bloccate e puoi utilizzare elenchi di domini che gestiscono per te. AWS Per quanto riguarda le protezioni DNS Firewall, puoi filtrare le query bloccandole tutte, oppure puoi avvisare in caso di traffico di query sospetto verso domini che potrebbero contenere anomalie associate a minacce (DGA, DNS tunneling, Dictionary DGA) per testare le impostazioni del firewall DNS. Per ulteriori informazioni, consultare Elenchi di domini Resolver DNS Firewall e Resolver DNS Firewall Advanced.

  • Creare un gruppo di regole firewall: in DNS Firewall crea un gruppo di regole per filtrare le query DNS per il VPC. È necessario creare un gruppo di regole in ogni regione in cui desideri utilizzarlo. Potresti anche voler separare il tuo comportamento di filtraggio in più di un gruppo di regole per riutilizzarlo in più scenari di filtraggio diversi. VPCs Per informazioni sui gruppi di regole, consulta Gruppi di regole e regole in DNS Firewall.

  • Aggiungere e configurare le regole: aggiungi una regola al gruppo di regole per ogni elenco di dominio e comportamento di filtro che desideri sia fornito dal gruppo di regole. Definisci le impostazioni di priorità per le regole in modo che vengano elaborate nell'ordine corretto all'interno del gruppo di regole, assegnando la priorità più bassa alla regola che desideri valutare per prima. Per ulteriori informazioni sulle regole, consulta Gruppi di regole e regole in DNS Firewall.

  • Associare il gruppo di regole al VPC: per iniziare a utilizzare il gruppo di regole DNS Firewall, associalo al VPC. Se per il VPC utilizzi più gruppi di regole, imposta la priorità di ogni associazione in modo che i gruppi di regole vengano elaborati nell'ordine corretto, assegnando la priorità più bassa al gruppo di regole che desideri valutare per primo. Per ulteriori informazioni, consulta Gestione delle associazioni tra il tuo VPC e il gruppo di regole Resolver DNS Firewall.

  • (Facoltativo) Modifica la configurazione del firewall per il VPC: se desideri che Route 53 VPC Resolver blocchi le query quando DNS Firewall non riesce a inviare una risposta, in VPC Resolver, modifica la configurazione del firewall DNS del VPC. Per ulteriori informazioni, consulta Configurazione del VPC di DNS Firewall.

Utilizzo dei gruppi di regole Resolver DNS Firewall in più regioni

Resolver DNS Firewall è un servizio regionale, quindi gli oggetti creati in una AWS regione sono disponibili solo in quella regione. Per utilizzare lo stesso gruppo di regole in più di una regione, è necessario creare il gruppo in ciascuna regione.

L' AWS account che ha creato un gruppo di regole può condividerlo con altri account. AWS Per ulteriori informazioni, consulta Condivisione dei gruppi di regole Resolver DNS Firewall tra account AWS.