Amazon Route 53 Global Resolver（预览版）

Route 53 提供具有不同用途的两种解析器服务：Global Resolver 任播 DNS 解析器，可通过互联网在全球范围内从任何提供加密 DNS 查询（通过 DoH 或 DoT）的地方进行访问，专为需要安全解析私有和公共域的本地客户端和多区域部署而设计。相比之下，VPC 解析器（前身为 Route 53 Resolver）是您在每个区域的 Amazon VPC 的默认递归解析器，可通过由 VPC 托管的客户端或通过解析器端点借由 VPN 或 Direct Connect 等私有连接进行访问，其 DNS 加密仅适用于通过这些端点进行的混合查询。

Route 53 Global Resolver 一款可在互联网上的任何位置从全球范围访问的 DNS resolver，它能让您轻松地对公共和私有域进行解析和流量转发，从而有助于确保通过互联网进行的查询的安全性和真实性。Global Resolver 有助于企业简化对来自本地、分支机构以及远程客户端所发出查询的解析，这些查询涉及通过 AWS 托管的 Route 53 私有托管区访问的公共域和私有域。该服务提供了一种可通过全球任播 IP 访问的统一解决方案。Global Resolver 还通过提供加密的 DNS 连接（使用 DNS-over-HTTPs/DNS-over-TLS）以及帮助管理和阻止对潜在恶意域和低信誉域的查询的功能，帮助保护客户的 DNS 查询。 

网络管理员应使用 Global Resolver，他们负责管理客户端的 DNS 解析和连接，并强制执行符合组织安全要求的 DNS 过滤策略。Global Resolver 还能帮助网络管理员降低使用自定义 DNS 转发器的运营成本，这些转发器用于转发和拆分指向公有和私有域的 DNS 流量。

Global Resolver 为客户提供了三项主要优势：

1. 简化 DNS 解析 – Global Resolver 通过最大限度地减少配置和维护客户转发解决方案所需的管理工作，降低其成本和复杂性，帮助客户简化 DNS 解析以及客户向互联网上的公共域以及与客户托管的 Route 53 私有托管区相关的私有域的查询的转发。
2. 改善安全状况 – Global Resolver 使管理员能够提升其组织的整体安全状况，方法是针对托管在本地、分支机构或远程客户端的用户，持续执行统一的策略，从而对可能来自恶意域或声誉较低域的 DNS 查询进行管控和过滤。客户还可以持续访问用户查询日志，借此他们能够生成详细报告，以帮助审查查询活动以及确保符合安全和业务规定。Global Resolver 通过为所有客户端提供配置、审核和强制执行策略的单一位置，简化了网络和安全团队的安全操作。
3. 全球可用性 – 客户可以将 Global Resolver 配置为在多个 AWS 区域运行，以帮助从任何位置响应客户的查询，同时针对最近的地理位置和延迟进行优化。

客户可以通过五个简单步骤开始使用 Global Resolver：

1. 选择要实例化 Global Resolver 的 AWS 区域。 
2. 选择身份验证机制，即访问源（IP ACL）和/或访问令牌，来识别和对客户端进行身份验证。对于这两种身份验证选项，客户还必须选择协议类型（Do53、DoH 或 DoT）。客户可以为不同的 IP 范围集选择一个或多个协议。 
3. 通过指定域列表和要应用的任何高级 DNS 保护以及操作（允许、阻止、警报）和规则优先级，配置 DNS 过滤规则。 
4. 确定要将流量转发到的 Route 53 私有托管区。 
5. （可选）：通过指定日志记录选项（Amazon S3、Amazon Data Firehose、Amazon CloudWatch）和存储日志所在的 AWS 区域来配置日志记录。

可以。使用 VPN 和公司网络的客户可以使用 Global Resolver。

可以。客户可以在两个或更多 AWS 区域或所有的可用区域中实例化该服务。在客户实例化的区域中，该服务将从距离查询地点最近的那个地理区域来解析查询。经过身份验证的客户设备可通过 DNS-over-UDP、DNS-over-HTTPS 或 DNS-over-TLS 连接访问 Global Resolver，连接至一组两个针对特定客户的、公开可路由的全球任播 IPv4 地址。

Global Resolver 将支持两种身份验证机制 1.) DoH 和 DoT 的基于令牌的身份验证 2.) Do53、DoT 或 DoH 的基于 ACL 的 IP 和 CIDR 允许列表。

管理员可以建立 Global Resolver 实例，并为他们组织中的各个客户端生成唯一的访问令牌。这些令牌提供了灵活的管理选项，包括可自定义的过期期限以及可以选择共享令牌或个人令牌。管理员可以轻松创建新令牌，或根据需要撤销特定令牌。Global Resolver 采用强大的身份验证流程，在处理 DNS 查询之前验证每个令牌声明。

允许附带有效令牌的请求，而具有无效声明的请求会被立即拒绝，这有助于确保安全可控地访问 DNS 解析服务。

基于 ACL 的允许列表使管理员能够通过定义哪些源 IP 地址或 CIDR 范围可以使用该服务来控制对 Global Resolver 的访问权限。对于每个列入允许列表的条目，管理员可以指定允许使用哪些 DNS 协议（Do53、DoT 或 DoH）。当网络访问要求发生变化时，管理员能够轻松地从允许列表中更新或移除 IP 地址及 CIDR 范围，以维护安全。

Global Resolver 的 DNS 过滤功能利用了与 Route 53 Resolver DNS 防火墙相同的成熟功能。管理员创建一个 DNS 过滤规则，其中包含有序的规则列表，其中每条规则都指定了一个操作（ALLOW、BLOCK 或 ALERT）和一条匹配域的匹配条件。当 DNS 查询到达时，Global Resolver 会根据规则按优先顺序对其进行评估，直到找到匹配项。每条规则都可以引用已知威胁的 Route 53 托管域列表、管理员创建的自定义域列表或高级威胁防护。对于托管域列表，管理员可以根据按 Web 内容分类的域列表（例如游戏、社交媒体）以及诸如恶意软件、垃圾邮件或网络钓鱼等 DNS 威胁进行过滤。对于 BLOCK 操作，管理员可以配置自定义响应，以返回 NXDOMAIN、NODATA 或特定 DNS 响应。ALERT 操作允许查询通过，同时记录查询以供安全审查。

托管域列表包含与恶意活动或其他无法安全工作的域相关的域名。AWS 维护这些列表是为了让 Route 53 Global Resolver 客户能够确保出站 DNS 查询避免这些威胁。托管域列表按 Web 内容（例如社交媒体、游戏、成人网站、赌博等）和 DNS 威胁（例如恶意软件、网络钓鱼、垃圾邮件、僵尸网络等）进行分类

可以。Global Resolver 提供针对复杂的基于 DNS 的威胁的高级防护措施。特定的安全功能包括：1) 域生成算法（DGA）检测：Global Resolver 可以识别和阻止对可能由 DGA 创建的域的查询，恶意软件通常使用这些域来逃避检测并保持与命令和控制服务器的通信；2) DNS 隧道检测：该服务可以检测和阻止企图使用 DNS 作为数据泄露或命令和控制通信的隐蔽通道。配置 DNS 防火墙规则时，这些高级保护功能可作为选择加入选项提供。通过启用这些保护，组织能够显著加强其对不断演变且复杂的基于 DNS 的威胁的防御能力，从而与传统的域黑名单和内容过滤技术相辅相成。

可以。使用 Global Resolver 进行身份验证的客户能够解析 AWS 区域中的 PHZ。

是的，Global Resolver 支持 DNSSEC（域名系统安全扩展）验证。启用后，它将验证公有名称服务器针对 DNSSEC 分配域的 DNS 响应的真实性和完整性。此验证确保了 DNS 响应在传输过程中未被篡改，从而为抵御 DNS 欺骗和缓存中毒攻击提供了额外的安全保障层。管理员可以根据每个 DNS 视图启用或禁用 DNSSEC 验证，从而实现灵活的安全配置。 

Global Resolver 在预览版期间在 11 个商业区域可用。客户可以选择在所有这些区域使用 Global Resolver，也可以选择在特定区域使用。

可以。Global Resolver 将支持 EDNS 客户端子网功能，并提供一种选择加入选项，以便转发来自客户端的客户端子网信息。此功能能够实现更准确的基于地理位置的 DNS 响应，从而有可能通过将客户 DNS 查询导向更近的内容分发网络或服务器，来降低查询的解析延迟。

Global Resolver 具备多种机制来应对 DDoS 威胁：1) Global Resolver 依赖 AWS Shield 来抵御 DDoS 攻击。2) Global Resolver 还具备一种自定义的动态 DDoS 实施方法，该方式利用了主要生成者指标，并根据由 Route53 服务团队在出现任何影响时更新的动态规则设置速率限制。这使 Global Resolver 能够在特定源 IP 地址出现大量或高频率故障情况时迅速做出响应。它还将建立默认的节流和削减负载功能。

是的，客户需要加入私有托管区（PHZ）。