Veröffentlicht am: Apr 7, 2021
Vergangene Woche kündigte AWS Amazon Route 53 Resolver DNS Firewall an, eine verwaltete Firewall, die es Kunden ermöglicht, DNS-Abfragen für bekannte schädliche Domänen zu blockieren und Abfragen für vertrauenswürdige Domänen zuzulassen. DNS Firewall bietet eine präzisere Kontrolle über das DNS-Abfrageverhalten von Ressourcen innerhalb Ihrer Amazon Virtual Private Clouds (VPCs).
Mit Route 53 Resolver DNS Firewall können Sie „Blocklisten“ für Domänen erstellen, mit denen Ihre VPC-Ressourcen nicht über DNS kommunizieren dürfen. Sie können auch einen strikteren Ansatz mit einer geschlossenen Plattform wählen, indem Sie „Zulassungslisten“ erstellen, die ausgehende DNS-Abfragen nur an von Ihnen festgelegte Domänen zulassen. Sie können auch Warnungen erstellen, wenn ausgehende DNS-Abfragen bestimmten Firewall-Regeln entsprechen, sodass Sie Ihre Regeln testen können, bevor Sie sie für den Produktionsdatenverkehr bereitstellen. Route 53 Resolver DNS Firewall bietet zwei verwaltete Domänenlisten – Malware-Domänen und Botnet Command-and-Control-Domänen – und ermöglicht Ihnen so einen schnellen Einstieg in den verwalteten Schutz vor gängigen Bedrohungen.
Route 53 Resolver DNS Firewall ist in AWS Firewall Manager integriert, mit dem Sie Regeln über mehrere Konten und VPCs von einem einzigen Administratorkonto aus pushen können. Alternativ können Kunden ihre Firewall-Regeln auch direkt für ihre Konten freigeben, indem sie AWS Resource Access Manager (RAM) verwenden. Mit Route 53 Resolver Query Logs erhalten Sie Protokolle mit Informationen auf Instance-Ebene für Ihre Firewall, z. B. blockierte und erlaubte Anfragen für jede VPC-Ressource. Wenn Sie sich dafür entscheiden, Ihre Protokolle in CloudWatch-Protokollgruppen zu speichern, können Sie mit CloudWatch Contributor Insights Regeln erstellen, um Daten mit hoher Kardinalität zu generieren, z. B. die Ressourcen, die die meisten Abfragen stellen und von der Firewall blockiert werden.
Amazon Route 53 Resolver DNS Firewall ist in allen kommerziellen AWS-Regionen und AWS GovCloud (US)-Regionen allgemein verfügbar. Lesen Sie für die ersten Schritte mit dieser Funktion die Route-53-Dokumentation. Weitere Informationen zu Preisen finden Sie auf der Route 53-Preisseite.