Veröffentlicht am: Mar 31, 2021

Heute kündigte AWS die Einführung von Amazon Route 53 Resolver DNS Firewall an, einer verwalteten Firewall, die es Kunden ermöglicht, DNS-Abfragen für bekannte schädliche Domänen zu blockieren und Abfragen für vertrauenswürdige Domänen zuzulassen. DNS Firewall bietet eine präzisere Kontrolle über das DNS-Abfrageverhalten von Ressourcen innerhalb Ihrer Amazon Virtual Private Clouds (VPCs).  

Route 53 Resolver ist ein DNS-Server (manchmal auch als „AmazonProvidedDNS“ oder „.2-Resolver“ bezeichnet), der standardmäßig in allen Amazon VPCs verfügbar ist. Route 53 Resolver reagiert auf DNS-Abfragen von AWS-Ressourcen innerhalb einer VPC für öffentliche DNS-Einträge, VPC-spezifische Domänennamen und von Route 53 privat gehostete Zonen. Kunden haben sich eine genauere Kontrolle über die DNS-Abfragen gewünscht, die Ressourcen innerhalb ihrer VPCs stellen dürfen. Diese Kunden befürchten möglicherweise eine DNS-Exfiltration (bei der böswillige Akteure DNS-Abfragen verwenden, um sensible Daten aus dem Netzwerk zu schmuggeln) oder möchten einfach mehr Kontrolle über die Websites ausüben, auf die Benutzer innerhalb ihrer Organisation zugreifen dürfen.

Mit Route 53 Resolver DNS Firewall können Sie „Blocklisten“ für Domänen erstellen, mit denen Ihre VPC-Ressourcen nicht über DNS kommunizieren dürfen. Sie können auch einen strikteren Ansatz mit einer geschlossenen Plattform wählen, indem Sie „Zulassungslisten“ erstellen, die ausgehende DNS-Abfragen nur an von Ihnen festgelegte Domänen zulassen. Sie können auch Warnungen erstellen, wenn ausgehende DNS-Abfragen bestimmten Firewall-Regeln entsprechen, sodass Sie Ihre Regeln testen können, bevor Sie sie für den Produktionsdatenverkehr bereitstellen. Route 53 Resolver DNS Firewall bietet zwei verwaltete Domänenlisten – Malware-Domänen und Botnet Command-and-Control-Domänen – und ermöglicht Ihnen so einen schnellen Einstieg in den verwalteten Schutz vor gängigen Bedrohungen.

Wenn Sie mehrere AWS-Konten mit AWS Organizations verwalten, können Sie mit AWS Firewall Manager Regeln von Route 53 Resolver DNS Firewall über ein einziges Administratorkonto für mehrere Konten und VPCs bereitstellen. Firewall Manager bietet Sicherheitsadministratoren einen zentralen Ort, an dem sie verschiedene Firewall-Regelsätze für ihre Organisation konfigurieren und verwalten können, und erkennt automatisch alle neuen Konten und Ressourcen, um sie mit den Sicherheitsregeln der Organisation in Einklang zu bringen. Mit Route 53 Resolver DNS Firewall können Kunden DNS-Firewall-Regeln zentral über Konten, Organisationseinheiten (OEs) und VPCs in ihrer Organisation hinweg bereitstellen. Alternativ können Kunden ihre Firewall-Regeln auch direkt für ihre Konten freigeben, indem sie AWS Resource Access Manager (RAM) verwenden. AWS Resource Access Manager ermöglicht Kunden die zentrale Freigabe von AWS-Ressourcen aus verschiedenen AWS-Services für andere AWS-Konten. Sie können Amazon CloudWatch Metrics nutzen, um die Anzahl der DNS-Abfragen zu erfahren, die von ihrer Firewall blockiert oder zugelassen werden, und zwar bis auf die Regelebene. Sie können auch die Protokollierung aktivieren, indem sie Route 53 Resolver Query Logs verwenden, um Informationen auf Instance-Ebene über blockierte und zugelassene Abfragen für jede VPC-Ressource zu erhalten. Wenn Sie sich dafür entscheiden, Ihre Protokolle in CloudWatch-Protokollgruppen zu speichern, können Sie mit CloudWatch Contributor Insights Regeln erstellen, um Daten mit hoher Kardinalität zu generieren, z. B. die Ressourcen, die die meisten Abfragen stellen und von der Firewall blockiert werden.

Amazon Route 53 Resolver DNS Firewall ist jetzt in folgenden Regionen verfügbar: USA Ost (Nord-Virginia), EU (Irland), Asien-Pazifik (Mumbai) und USA West (Oregon). In allen anderen kommerziellen AWS-Regionen und Regionen vom Typ AWS GovCloud (USA) erfolgt die Einführung in den nächsten Tagen. Lesen Sie für die ersten Schritte mit dieser Funktion die Route 53-Dokumentation. Weitere Informationen zu Preisen finden Sie auf der Route 53-Preisseite