Principais conceitos e componentes do Route 53 Global Resolver

O Route 53 Global Resolver usa vários componentes principais que trabalham juntos para fornecer resolução de DNS de tráfego dividido, alta disponibilidade por meio da arquitetura anycast global e segurança de DNS abrangente para sua organização. A compreensão desses conceitos do Route 53 Global Resolver ajuda você a projetar e implantar soluções que permitem acesso contínuo a recursos públicos e privados, garantem a continuidade do serviço em várias regiões e protegem contra ameaças baseadas em DNS.

Resolvedor de DNS para clientes em locais locais e remotos

Para implantar o Route 53 Global Resolver para suas cargas de trabalho distribuídas, locais de clientes e usuários, configure estes componentes principais:

Resolvedor global

A principal instância de serviço que fornece resolução e filtragem de DNS para sua organização em várias AWS regiões. Seu resolvedor global usa a tecnologia anycast para rotear automaticamente as consultas de DNS para a região disponível mais próxima, garantindo tempos de resposta rápidos para todos os clientes, independentemente de sua localização.

Endereços IP Anycast

Dois IPv6 endereços IPv4 ou endereços exclusivos atribuídos ao seu resolvedor global que você configura em dispositivos cliente e equipamentos de rede. Esses endereços IP anycast são os mesmos globalmente, o que simplifica a configuração do DNS em todos os seus locais. O endereçamento IP Anycast permite o roteamento automático de solicitações de DNS para o resolvedor global mais próximo, otimizando os tempos de resposta e melhorando a confiabilidade do serviço.

Visualizações de DNS

Modelos de configuração que permitem aplicar diferentes políticas de DNS a diferentes grupos de clientes em sua rede. Use visualizações de DNS para implementar DNS de horizonte dividido — por exemplo, aplique filtragem estrita e autenticação de token para locais remotos, enquanto usa acesso baseado em IP e diferentes políticas de segurança para filiais.

Autenticação do cliente DNS

Selecione o método de autenticação que funciona melhor para sua implantação:

Autenticação baseada em token

Conexões DNS seguras usando tokens criptografados para DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT). Você pode gerar tokens de acesso exclusivos para clientes individuais ou grupos de dispositivos, definir períodos de expiração e revogar tokens conforme necessário.

Autenticação baseada na fonte de acesso

Controle o acesso usando listas de permissões de endereços IP e intervalos CIDR. Você pode configurar os endereços IP públicos ou intervalos de rede da sua filial e, em seguida, especificar quais protocolos DNS (DNS-over-Port-53, DoT ou DoH) cada local pode usar com base em seus requisitos de segurança.

Seleção do protocolo DNS

Escolha o protocolo DNS apropriado com base em suas necessidades de segurança e compatibilidade:

• DNS-over-Port-53 (Do53) - Use para máxima compatibilidade com a infraestrutura de rede existente

• DNS-over-TLS (DoT) - Use quando precisar de DNS criptografado com separação de portas dedicada para monitoramento de rede

• DNS-over-HTTPS (DoH) - Use quando precisar ignorar as restrições de rede, pois o tráfego aparece como HTTPS normal

Resolução de DNS de tráfego dividido

O Route 53 Global Resolver permite que as organizações resolvam perfeitamente domínios públicos e privados de qualquer local, eliminando a necessidade de configurações complexas de VPN ou configurações de DNS específicas da região.

Resolução de DNS híbrida

A resolução de DNS híbrida permite que o Route 53 Global Resolver resolva simultaneamente consultas de usuários e aplicativos locais para aplicativos privados. AWS

Acesso global à zona privada

O acesso global à zona privada amplia o alcance das zonas hospedadas privadas do Amazon Route 53 além dos limites da VPC. Clientes autorizados em qualquer lugar da Internet podem resolver nomes de domínio privados, permitindo que equipes distribuídas acessem recursos internos sem os requisitos tradicionais de conectividade de rede.

Failover contínuo

O failover contínuo garante acesso contínuo a recursos públicos e privados, mesmo quando AWS regiões individuais ficam indisponíveis. A arquitetura anycast encaminha automaticamente as consultas para regiões saudáveis, mantendo um comportamento de resolução consistente.

Alta disponibilidade e presença global

O Route 53 Global Resolver fornece disponibilidade de nível corporativo por meio de arquitetura distribuída e recursos de failover automático.

Implantação em várias regiões

A implantação em várias regiões distribui as instâncias do Route 53 Global Resolver em pelo menos duas AWS regiões para garantir alta disponibilidade e permitir o failover durante interrupções no serviço. Você pode selecionar regiões específicas com base em seus requisitos geográficos e necessidades de conformidade.

Otimização geográfica automática

A otimização geográfica automática direciona as consultas de DNS para a AWS região disponível mais próxima com base na topologia e latência da rede. Isso reduz os tempos de resposta e melhora a experiência do usuário em organizações distribuídas globalmente.

Redundância integrada

A redundância integrada garante a continuidade do serviço por meio de failover automático para regiões alternativas quando as regiões primárias ficam indisponíveis. Os clientes continuam usando os mesmos endereços IP anycast enquanto o tráfego é redirecionado de forma transparente.

Resolução e encaminhamento de DNS

Resolução de zona hospedada privada

A resolução de zona hospedada privada permite que o Route 53 Global Resolver resolva consultas de DNS para zonas hospedadas privadas do Route 53 em AWS todas as regiões. Isso permite que clientes autorizados resolvam domínios para aplicativos e recursos hospedados pelo Route 53 de qualquer lugar na Internet.

DNS de horizonte dividido

O Split-horizon DNS fornece diferentes respostas de DNS com base no cliente que faz a consulta. O Route 53 Global Resolver pode resolver domínios públicos na Internet e, ao mesmo tempo, resolver domínios privados, fornecendo acesso contínuo a recursos públicos e privados.

Validação de DNSSEC

A validação do DNSSEC verifica a autenticidade e a integridade das respostas de DNS de servidores de nomes públicos para domínios assinados pelo DNSSEC. Essa validação garante que as respostas do DNS não tenham sido adulteradas durante a transmissão, fornecendo proteção contra ataques de falsificação de DNS e envenenamento de cache.

Sub-rede do cliente EDNS (ECS)

A sub-rede do cliente EDNS é um recurso opcional que encaminha as informações da sub-rede do cliente em consultas de DNS para servidores de nomes autorizados. Isso permite respostas de DNS com base geográfica mais precisas, potencialmente reduzindo a latência ao direcionar os clientes para redes ou servidores de entrega de conteúdo mais próximos. Para conexões DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH), você pode usar o EDNS0 para transmitir as informações do endereço IP do cliente. Quando o ECS está ativado no Global Resolver, o serviço injeta automaticamente o IP do cliente se não for fornecido na consulta.

Filtragem de DNS e listas de domínios

O Route 53 Global Resolver fornece filtragem baseada em domínio usando listas de domínios gerenciadas por AWS para bloquear ou permitir domínios específicos.

Regras de filtragem de DNS

As regras de filtragem de DNS definem como o Route 53 Global Resolver lida com consultas de DNS com base nos critérios de correspondência de domínio. As regras são avaliadas em ordem de prioridade e podem especificar ações (PERMITIR, BLOQUEAR ou ALERTAR) para consultas em domínios ou categorias de domínio específicos.

Listas de domínios

As listas de domínios são coleções de domínios usadas nas regras de filtragem. Eles podem ser:

• Listas de domínios personalizadas - coleções de domínios que você cria e mantém

• AWS listas de domínios gerenciados — listas de ameaças e categorias de conteúdo pré-configuradas mantidas pela AWS That utilizam a inteligência de ameaças para identificar domínios maliciosos. As listas de ameaças disponíveis incluem:

  • Domínios de malware - Domínios conhecidos por hospedar ou distribuir malware

  • Comando e controle de botnets - Domínios usados por botnets para comunicações de comando e controle

  • Spam - Domínios associados a spam e campanhas de e-mail indesejadas

  • Phishing - Domínios usados em ataques de phishing para roubar credenciais e informações pessoais

  • Lista de GuardDuty ameaças da Amazon — Domínios identificados pela inteligência de GuardDuty ameaças

  As categorias de conteúdo disponíveis incluem mídias sociais, jogos de azar e outras categorias que ajudam as organizações a controlar o acesso a tipos específicos de conteúdo.

  As especificações de domínio individuais em listas gerenciadas não podem ser visualizadas ou editadas para proteger a propriedade intelectual e manter a eficácia da segurança.

Detecção avançada de ameaças de DNS

O Route 53 Global Resolver usa análise algorítmica dinâmica para detectar ameaças avançadas de DNS, como tunelamento de DNS e algoritmos de geração de domínio. Ao contrário das listas de domínios que correspondem a domínios inválidos conhecidos, a detecção algorítmica analisa os padrões de consulta de DNS em tempo real para identificar comportamentos suspeitos.

Detecção de tunelamento de DNS

O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.

Detecção do algoritmo de geração de domínio (DGA)

Os algoritmos de geração de domínio (DGAs) são usados por atacantes para criar um grande número de nomes de domínio para seus command-and-control servidores.

Limites de confiança

Cada algoritmo de detecção gera uma pontuação de confiança que determina o acionamento da regra. Limites de confiança mais altos reduzem os falsos positivos, mas podem ignorar ataques sofisticados. Limites mais baixos aumentam a sensibilidade de detecção, mas exigem análise adicional de alertas para filtrar falsos positivos.

Limitações de ação

As regras avançadas de proteção contra ameaças oferecem suporte somente ALERT BLOCK às ações. A ALLOW ação não é suportada porque a detecção algorítmica não pode classificar definitivamente o tráfego benigno, apenas identificar padrões potencialmente maliciosos.

Monitorar e registrar em log

Consultar logs do

Os registros de consulta fornecem informações detalhadas sobre consultas de DNS processadas pelo Route 53 Global Resolver, incluindo IP de origem, domínio consultado, código de resposta, ações políticas tomadas e registros de data e hora. Os registros podem ser entregues à Amazon CloudWatch, Amazon Data Firehose ou Amazon Simple Storage Service para análise e relatórios de conformidade.

Formato OCSF

O formato Open Cybersecurity Schema Framework (OCSF) é um formato de registro padronizado usado pelo Route 53 Global Resolver para registros de consultas de DNS. Esse formato fornece dados consistentes e estruturados que se integram facilmente aos sistemas de gerenciamento de eventos e informações de segurança (SIEM) e outras ferramentas de segurança.

Destinos de logs

Os destinos de registro determinam onde os registros de consulta de DNS são entregues, cada um com características diferentes:

• Amazon Simple Storage Service — Armazenamento econômico de longo prazo, ideal para conformidade e análise de lotes. Integra-se com ferramentas de análise como Amazon Athena e Amazon EMR.

• Amazon CloudWatch Logs - Monitoramento e alertas em tempo real com integração aos CloudWatch alarmes e painéis da Amazon. Oferece suporte a insights de log para consultas ad hoc.

• Amazon Data Firehose — Streaming em tempo real para sistemas externos com recursos integrados de transformação de dados. Suporta escalonamento e buffer automáticos.

Região de observabilidade

A região de observabilidade determina onde os registros de consultas de DNS são entregues.