亚马逊AWS官方博客

现在 Amazon Route 53 Resolver 中可以使用 DNS over HTTPS



即日起,Amazon Route 53 Resolver 支持对入站和出站解析器端点使用 DNS over HTTPS(DoH)协议。顾名思义,DoH 支持 HTTP 或 HTTP/2 over TLS 来加密与域名系统(DNS)解析交换的数据。

使用 TLS 加密,DoH 可在 DoH 客户端和基于 DoH 的 DNS 解析器之间交换 DNS 数据时防止侦听和操纵 DNS 数据,从而提高隐私和安全性。

这可以帮助您实现零信任架构,在该架构中,在安全边界之外或之内运行的任何参与者、系统、网络或服务都不受信任,并且所有网络流量都经过加密。使用 DoH 还有助于遵循建议,例如美国管理和预算办公室(OMB)的这份备忘录中所述的建议。

Amazon Route 53 Resolver 支持 DNS over HTTPS
您可以使用 Amazon Route 53 Resolver 解析混合云环境中的 DNS 查询。例如,它允许 AWS 服务从混合网络中的任何位置访问 DNS 请求。为此,您可以设置入站和出站解析器端点:

  • 入站解析器端点允许从本地网络或其他 VPC 对 VPC 进行 DNS 查询。Amazon Route 53 Resolver 入站端点架构。
  • 出站解析器端点允许从 VPC 向本地网络或其他 VPC 进行 DNS 查询。Amazon Route 53 Resolver 出站端点架构。

配置解析器端点后,您可以设置规则,指定要将 DNS 查询从 VPC 转发到本地 DNS 解析器(出站)以及从本地转发到 VPC(入站)的域的名称。

现在,创建或更新入站或出站解析器端点时可以指定要使用的协议:

  • 端口 53 上的 DNS(Do53),使用 UDP 或 TCP 发送数据包。
  • DNS over HTTPS(DoH),使用 TLS 对数据加密。
  • 两者都取决于 DNS 客户端使用哪一个。
  • 为确保 FIPS 合规,入站端点有特定的实现(Doh-FIPS)。

我们来看看该功能的实际应用。

对 Amazon Route 53 Resolver 使用 DNS over HTTPS
Route 53 控制台中,我从导航窗格的解析器部分选择入站端点。然后我选择创建入站端点

我输入端点的名称,选择 VPC、安全组和端点类型(IPv4、IPv6 或双栈)。为便于同时使用已加密和未加密的 DNS 解析,我在此端点的协议选项中选择 Do53DoHDoh-FIPS

控制台屏幕截图。

之后,我为 DNS 查询配置 IP 地址。我选择两个可用区,并为每个区域选择一个子网。在此设置中,我使用选项自动选择子网中可用的 IP 地址。

在完成入站端点的创建后,我配置网络中的 DNS 服务器将 amazonaws.com 域(由 AWS 服务端点使用)的请求转发到入站端点 IP 地址。

同样,我创建一个出站解析器端点,并选择 Do53DoH 作为协议。然后,我创建转发规则,指示出站解析器端点应将请求转发到网络中 DNS 服务器的域。

现在,当我的混合环境中的 DNS 客户端在其请求中使用基于 DNS over HTTPS 时,DNS 解析会加密。或者,我可以强制加密,在入站和出站端点的配置中仅选择 DoH

注意事项
目前,所有提供 Route 53 Resolver 的 AWS 区域均支持对 Amazon Route 53 Resolver 使用 DNS over HTTPS,包括 GovCloud 区域和位于中国的区域。

端口 53 上的 DNS 仍然是入站或出站解析器端点的默认设置。因此,除非想采用 DNS over HTTPS,否则无需更新现有的自动化工具。

对解析器端点使用 DNS over HTTPS 不会产生额外费用。有关更多信息,请参阅 Route 53 定价

开始对 Amazon Route 53 Resolver 使用 DNS over HTTPS,以提高混合云环境的隐私和安全性。

Danilo