发布于: Mar 31, 2021
今天,AWS 宣布推出 Amazon Route 53 Resolver DNS Firewall,这是一种托管防火墙,支持客户阻止针对已知恶意域的 DNS 查询,并且允许针对受信任域的查询。DNS Firewall 支持对 Amazon Virtual Private Cloud (VPC) 内资源的 DNS 查询行为进行更精细的控制。
Route 53 Resolver 是 DNS 服务器(有时称为“AmazonProvidedDNS”或“.2 resolver”),所有 Amazon VPC 中都默认提供该服务器。Route 53 Resolver 回应 VPC 内 AWS 资源对公共 DNS 记录、VPC 特定的域名以及 Route 53 私有托管区的 DNS 查询。客户要求对 VPC 内资源可以执行的 DNS 查询进行更精细的控制。这些客户可能是担心 DNS 泄露(恶意操作者使用 DNS 查询将敏感数据偷偷发送到网络之外),或者只是想对其组织内用户有权访问的站点进行更多控制。
借助 Route 53 Resolver DNS Firewall,您可以为不希望 VPC 资源通过 DNS 与其通信的域创建“阻止列表”。您还可以采用更严格的“围墙花园”方法,创建“允许列表”,只允许对指定的域进行出站 DNS 查询。您还可以在出站 DNS 查询匹配某些防火墙规则时创建警报,从而允许您先测试规则,然后再为生产流量进行部署。Route 53 Resolver DNS Firewall 提供两个托管域列表(恶意软件域以及僵尸网络命令和控制域),支持您快速开始托管保护,以对抗常见的威胁。
如果您使用 AWS Organizations 管理多个 AWS 账户,可以使用 AWS Firewall Manager,通过单个管理员账户跨多个账户和 VPC 部署 Route 53 Resolver DNS Firewall 规则。Firewall Manager 为安全管理员提供了一个单独的位置,用于集中配置和管理其组织的不同防火墙规则集,并自动检测任何新账户和资源,使它们符合组织的安全规则集。借助 Route 53 Resolver DNS Firewall,客户可以在其组织内跨账户、组织部门 (OU) 和 VPC 集中部署 DNS 防火墙规则。此外,客户还可以使用 AWS Resource Access Manager (RAM),直接跨账户共享他们的防火墙规则。AWS Resource Access Manager 支持客户与其他 AWS 账户集中分享各项 AWS 服务中的 AWS 资源。他们可以利用 Amazon CloudWatch 指标,了解防火墙阻止或允许的 DNS 查询数量,直至规则级别。他们还可以使用 Route 53 解析程序查询日志启用日志记录,了解关于每项 VPC 资源的阻止和允许查询的实例级信息。如果您选择在 CloudWatch 日志组中存储日志,可以使用 CloudWatch Contributor Insights 创建规则以生成高基数数据,例如执行最多查询但查询被防火墙阻止的热门资源。
Amazon Route 53 Resolver DNS Firewall 现已在美国东部(弗吉尼亚北部)、欧洲(爱尔兰)、亚太地区(孟买)和美国西部(俄勒冈)推出,其他所有 AWS 商业区域和 AWS GovCloud(美国)区域将在未来几天内推出。 要开始使用此功能,请访问 AWS 新闻博客中的 Route 53 文档和 Route 53 Resolver DNS Firewall 公告。要详细了解定价,您可以访问 Route 53 定价页面。