发布于: Apr 7, 2021
上周,AWS 推出了 Amazon Route 53 Resolver DNS Firewall,这是一种托管防火墙,支持客户阻止针对已知恶意域的 DNS 查询,并且允许针对受信任域的查询。DNS Firewall 支持对 Amazon Virtual Private Cloud (VPC) 内资源的 DNS 查询行为进行更精细的控制。
借助 Route 53 Resolver DNS Firewall,您可以为不希望 VPC 资源通过 DNS 与其通信的域创建“阻止列表”。您还可以采用更严格的“围墙花园”方法,创建“允许列表”,只允许对指定的域进行出站 DNS 查询。您还可以在出站 DNS 查询匹配某些防火墙规则时创建警报,从而允许您先测试规则,然后再为生产流量进行部署。Route 53 Resolver DNS Firewall 提供两个托管域列表(恶意软件域以及僵尸网络命令和控制域),支持您快速开始托管保护,以对抗常见的威胁。
Route 53 Resolver DNS Firewall 与 AWS Firewall Manager 相集成,让您可以从单个管理员帐户跨多个帐户和 VPC 推送规则。此外,客户还可以使用 AWS Resource Access Manager (RAM),直接跨账户共享他们的防火墙规则。通过 Route 53 解析程序查询日志,您可以获得有关防火墙实例级信息的日志,如每项 VPC 资源的阻止和允许查询。如果您选择在 CloudWatch 日志组中存储日志,可以使用 CloudWatch Contributor Insights 创建规则以生成高基数数据,例如执行最多查询但查询被防火墙阻止的热门资源。
Amazon Route 53 Resolver DNS Firewall 现已在所有 AWS 商业区域和 AWS GovCloud(美国)区域全面推出。要开始使用此功能,请访问 Route 53 文档。要详细了解定价,您可以访问 Route 53 定价页面。