Como o Firewall DNS do Route 53 Resolver funciona - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Firewall DNS do Route 53 Resolver funciona

O Firewall DNS do Route 53 Resolver permite controlar o acesso a sites e bloquear ameaças no nível de DNS para consultas de DNS que saem da sua VPC através do Route 53 Resolver. Com o Firewall DNS, você define regras de filtragem de nomes de domínio em grupos de regras que você associa às VPCs. Você pode especificar listas de nomes de domínio para permitir ou bloquear e personalizar as respostas para as consultas DNS que você bloqueia. Você também pode ajustar as listas de domínios para permitir a passagem de determinados tipos de consulta, como registros MX.

O Firewall DNS filtra apenas o nome de domínio. Ele não resolve esse nome para um endereço IP a ser bloqueado. Além disso, o DNS Firewall filtra o tráfego DNS, mas não filtra outros protocolos da camada de aplicativos, como HTTPS, SSH, TLS, FTP e assim por diante.

Componentes e configurações do Firewall DNS do Route 53 Resolver

Você gerencia o Firewall DNS com os seguintes componentes centrais e configurações.

Grupo de regras do Firewall DNS

Define uma coleção nomeada e reutilizável de regras de Firewall DNS para filtrar consultas de DNS. Preencha o grupo de regras com as regras de filtragem e, em seguida, associe o grupo de regras a uma ou mais VPCs. Quando você associa um grupo de regras a uma VPC, você habilita a filtragem do Firewall DNS para a VPC. Em seguida, quando o Resolver recebe uma consulta de DNS para uma VPC que tenha um grupo de regras associado a ela, ele passa a consulta para o Firewall DNS para filtragem.

Se você associar vários grupos de regras a uma única VPC, indique sua ordem de processamento por meio da configuração de prioridade em cada associação. O Firewall DNS processa grupos de regras para uma VPC a partir da configuração de prioridade numérica mais baixa para alta.

Para ter mais informações, consulte Regras e grupos de regras do Firewall DNS.

Regra do Firewall DNS

Define uma regra de filtragem para consultas de DNS em um grupo de regras do Firewall DNS. Cada regra especifica uma lista de domínios e uma ação a ser executada em consultas de DNS cujos domínios correspondem às especificações de domínio na lista. Você pode permitir, bloquear ou alertar sobre consultas ou tipos de consulta correspondentes para os domínios na lista. Por exemplo, você pode bloquear ou permitir um tipo de consulta MX para um domínio ou domínios específicos. Você também pode definir respostas personalizadas para consultas bloqueadas.

Cada regra em um grupo de regras tem uma configuração de prioridade exclusiva dentro do grupo de regras. O Firewall DNS processa as regras em um grupo de regras por ordem de prioridade, começando pela configuração mais baixa.

As regras do Firewall DNS existem apenas no contexto do grupo de regras no qual estão definidas. Não é possível reutilizar uma regra ou referenciá-la independentemente do grupo de regras.

Para ter mais informações, consulte Regras e grupos de regras do Firewall DNS.

Lista de domínios

Define uma coleção nomeada e reutilizável de especificações de domínio para uso na filtragem DNS. Cada regra em um grupo de regras requer uma única lista de domínios. Você pode optar por especificar os domínios aos quais deseja permitir acesso, os domínios aos quais deseja negar acesso ou uma combinação de ambos. Você pode criar suas próprias listas de domínios e usar listas de domínios que AWS gerenciam para você.

Para ter mais informações, consulte Listas de domínios do Firewall DNS do Route 53 Resolver.

Configuração de redirecionamento de domínio

A configuração de redirecionamento de domínio permite que você configure uma regra de firewall de DNS para inspecionar todos os domínios na cadeia de redirecionamento de DNS (padrão), como CNAME, DNAME etc., ou apenas o primeiro domínio e confie no resto. Se você optar por inspecionar toda a cadeia de redirecionamento de DNS, deverá adicionar os domínios subsequentes a uma lista de domínios definida como PERMITIR na regra. Se você optar por inspecionar toda a cadeia de redirecionamento de DNS, deverá adicionar os domínios subsequentes a uma lista de domínios e definir a ação que deseja que a regra execute, seja PERMITIR, BLOQUEAR ou ALERTAR.

Para ter mais informações, consulte Configurações de regra no Firewall DNS.

Tipo da consulta

A configuração do tipo de consulta permite que você configure uma regra de firewall de DNS para filtrar um determinado tipo de consulta de DNS. Se você não selecionar um tipo de consulta, a regra será aplicada a todos os tipos de consulta DNS. Por exemplo, talvez você queira bloquear todos os tipos de consulta de um domínio específico, mas permitir registros MX.

Para ter mais informações, consulte Configurações de regra no Firewall DNS.

Associação entre um grupo de regras do Firewall DNS e uma VPC

Define uma proteção para uma VPC usando um grupo de regras do Firewall DNS e habilita a configuração do Firewall DNS do Resolver para a VPC.

Se você associar vários grupos de regras a uma única VPC, indique sua ordem de processamento por meio da configuração de prioridade nas associações. O Firewall DNS processa grupos de regras para uma VPC a partir da configuração de prioridade numérica mais baixa para alta.

Para ter mais informações, consulte Como habilitar as proteções do Firewall DNS do Route 53 Resolver para a VPC.

Configuração do Firewall DNS do Resolver para uma VPC

Especifica como o Resolver deve lidar com as proteções do Firewall DNS no nível da VPC. Essa configuração terá efeito sempre que você tiver pelo menos um grupo de regras do Firewall DNS associado à VPC.

Essa configuração especifica como o Route 53 Resolver lida com consultas quando o Firewall DNS não consegue filtrá-las. Por padrão, se o Resolver não receber uma resposta do Firewall DNS para uma consulta, ele não será fechado e bloqueará a consulta.

Para ter mais informações, consulte Configuração da VPC do Firewall DNS.

Monitorando ações do firewall DNS

Você pode usar CloudWatch a Amazon para monitorar o número de consultas de DNS que são filtradas por grupos de regras do DNS Firewall. CloudWatch coleta e processa dados brutos em métricas legíveis e quase em tempo real.

Para ter mais informações, consulte Monitorando grupos de regras do firewall DNS do Route 53 Resolver com a Amazon CloudWatch.

Você pode usar a Amazon EventBridge, um serviço sem servidor que usa eventos para conectar componentes do aplicativo e criar aplicativos escaláveis orientados por eventos.

Para ter mais informações, consulte Gerenciando eventos do Route 53 Resolver DNS Firewall usando Amazon EventBridge.

Como o Firewall DNS do Route 53 Resolver filtra consultas de DNS

Quando um grupo de regras de Firewall DNS está associado ao Route 53 Resolver da VPC, o seguinte tráfego é filtrado pelo firewall:

  • Consultas de DNS originadas nessa VPC.

  • Consultas de DNS que passam por endpoints do Resolver de recursos on-premises para a mesma VPC que tem o DNS Firewall associado ao seu resolvedor.

Quando o Firewall DNS recebe uma consulta de DNS, ele filtra a consulta usando os grupos de regras, regras e outras configurações que você configurou e envia os resultados de volta para o Resolver:

  • O Firewall DNS avalia a consulta de DNS usando os grupos de regras associados à VPC até encontrar uma correspondência ou esgotar todos os grupos de regras. O Firewall DNS avalia os grupos de regras na ordem da prioridade que você definiu na associação, começando com a configuração numérica mais baixa. Para obter mais informações, consulte Regras e grupos de regras do Firewall DNS e Como habilitar as proteções do Firewall DNS do Route 53 Resolver para a VPC.

  • Dentro de cada grupo de regras, o Firewall DNS avalia a consulta de DNS em relação à lista de domínios de cada regra até encontrar uma correspondência ou esgotar todas as regras. O DNS Firewall avalia as regras em ordem de prioridade, começando com a configuração numérica mais baixa. Para ter mais informações, consulte Regras e grupos de regras do Firewall DNS.

  • Quando o Firewall DNS encontra uma correspondência com a lista de domínios de uma regra, ele encerra a avaliação da consulta e responde ao Resolver com o resultado. Se a ação for alert, o Firewall DNS também envia um alerta para os logs do Resolver configurados. Para obter mais informações, consulte Ações de regra no Firewall DNS e Listas de domínios do Firewall DNS do Route 53 Resolver.

  • Se o Firewall DNS avaliar todos os grupos de regras sem encontrar uma correspondência, ele responderá à consulta normalmente.

O Resolver encaminhará a consulta, de acordo com a resposta do Firewall DNS. No caso improvável de que o Firewall DNS não responda, o Resolver aplicará o modo de falha do Firewall DNS configurado da VPC. Para ter mais informações, consulte Configuração da VPC do Firewall DNS.

Etapas de nível superior para usar o Firewall DNS do Route 53 Resolver

Para implementar a filtragem do Firewall DNS do Route 53 Resolver na Amazon Virtual Private Cloud VPC, execute as seguintes etapas de alto nível.

  • Definir sua abordagem de filtragem e suas listas de domínio: decida como você deseja filtrar consultas, identifique as especificações de domínio necessárias e defina a lógica que você usará para avaliar consultas. Por exemplo, talvez você queira permitir todas as consultas, exceto aquelas que estão em uma lista de domínios inválidos conhecidos. Ou você pode querer fazer o oposto e bloquear todos, exceto uma lista aprovada de domínios, no que é conhecido como uma abordagem de jardim murado. Você pode criar e gerenciar suas próprias listas de especificações de domínio aprovadas ou bloqueadas e usar listas de domínios que AWS gerenciam para você. Para obter informações sobre listas de domínios, consulte. Listas de domínios do Firewall DNS do Route 53 Resolver

  • Criar um grupo de regras de firewall: no Firewall DNS, crie um grupo de regras para filtrar consultas de DNS para sua VPC. Você deve criar um grupo de regras em cada região onde deseja usá-lo. Você também pode querer separar seu comportamento de filtragem em mais de um grupo de regras para reutilização em vários cenários de filtragem para suas diferentes VPCs. Para obter informações sobre grupos de regras, consulte Regras e grupos de regras do Firewall DNS.

  • Adicionar e configurar suas regras: adicione uma regra ao grupo de regras para cada lista de domínios e comportamento de filtragem que você deseja que o grupo de regras forneça. Defina as configurações de prioridade para suas regras para que elas sejam processadas na ordem correta dentro do grupo de regras, dando a prioridade mais baixa à regra que você deseja avaliar primeiro. Para obter mais informações sobre regras, consulte Regras e grupos de regras do Firewall DNS.

  • Associar o grupo de regras à sua VPC: para começar a usar o grupo de regras do Firewall DNS, associe-o à sua VPC. Se você estiver usando mais de um grupo de regras para sua VPC, defina a prioridade de cada associação para que os grupos de regras sejam processados na ordem correta, dando a prioridade mais baixa ao grupo de regras que você deseja avaliar primeiro. Para ter mais informações, consulte Como gerenciar associações entre a VPC e o grupo de regras do Firewall DNS do Route 53 Resolver.

  • (Opcional) Alterar a configuração do firewall para a VPC: se você deseja que o Route 53 Resolver bloqueie consultas quando o Firewall DNS não enviar uma resposta para elas, no Resolver, altere a configuração do Firewall DNS da VPC. Para ter mais informações, consulte Configuração da VPC do Firewall DNS.

Como usar grupos de regras do Firewall DNS do Route 53 Resolver em várias regiões

O Route 53 Resolver DNS Firewall é um serviço regional, portanto, os objetos que você cria em uma AWS região estão disponíveis somente nessa região. Para usar o mesmo grupo de regras em mais de uma região, é necessário criar a regra em cada região.

A AWS conta que criou um grupo de regras pode compartilhá-lo com outras AWS contas. Para ter mais informações, consulte Compartilhando grupos de regras do Route 53 Resolver DNS Firewall entre contas AWS.