Amazon Route 53 Global Resolver (Vorschau)

Route 53 bietet zwei Resolver-Dienste mit unterschiedlichen Zwecken: Global Resolver Anycast DNS Resolver, der weltweit über das Internet erreichbar ist, verschlüsselte DNS-Abfragen (über DoH oder DoT) bereitstellt und für On-Premises-Clients sowie Bereitstellungen in mehreren Regionen konzipiert ist, die eine sichere Auflösung sowohl privater als auch öffentlicher Domains benötigen. Im Gegensatz dazu ist VPC Resolver (früher Route 53 Resolver) der standardmäßige rekursive Resolver für Ihre Amazon VPCs in jeder Region, auf den von VPC gehostete Clients oder über private Verbindungen wie VPN oder Direct Connect via Resolver-Endpunkte zugegriffen werden kann, wobei die DNS-Verschlüsselung nur für hybride Abfragen über diese Endpunkte verfügbar ist.

Route 53 Global Resolver ist ein DNS-Resolver, der global von überall über das Internet erreichbar ist und es Ihnen ermöglicht, den Datenverkehr sowohl für öffentliche als auch für private Domains einfach aufzulösen und weiterzuleiten, um die Sicherheit und Authentizität der Abfragen über das Internet zu gewährleisten. Global Resolver hilft Unternehmen dabei, die Auflösung von Abfragen zu vereinfachen, die aus On-Premises-Umgebungen, Zweigstellen und Remote-Clients an öffentliche Domains und private Domains im Zusammenhang mit privaten, auf AWS gehosteten Route-53-Zonen gestellt werden, indem eine einheitliche Lösung angeboten wird, die über globale Anycast-IPs erreichbar ist. Global Resolver hilft auch dabei, DNS-Abfragen für Clients zu sichern, indem es Optionen für verschlüsselte DNS-Konnektivität (mit DNS-over-HTTPS/DNS-over-TLS) und Funktionen zur Verwaltung und Blockierung von Abfragen an potenziell bösartige Domains mit geringer Reputation bietet. 

Global Resolver sollte von Netzwerkadministratoren verwendet werden, die für die Verwaltung der DNS-Auflösung und Konnektivität für Clients und die Durchsetzung von DNS-Filterrichtlinien verantwortlich sind, die den organisatorischen Sicherheitsvorschriften entsprechen. Global Resolver hilft Netzwerkadministratoren auch dabei, die Kosten für den Betrieb benutzerdefinierter DNS-Forwarder zu reduzieren, die für die Weiterleitung und Aufteilung des an öffentliche und private Domains gerichteten DNS-Datenverkehrs verwendet werden.

Global Resolver bietet Kunden drei wichtige Vorteile:

1. Vereinfachen Sie die DNS-Auflösung – Global Resolver hilft Clients dabei, die DNS-Auflösung und Weiterleitung von Anfragen von Kunden an öffentliche Domains im Internet und an private Domains, die den vom Kunden gehosteten privaten Route-53-Zonen zugeordnet sind, zu vereinfachen, indem das Management, die Kosten und die Komplexität minimiert werden, die für die Konfiguration und Wartung von Kundenweiterleitungslösungen erforderlich sind.
2. Verbessertes Sicherheitsniveau – Global Resolver ermöglicht es Administratoren, die allgemeine Sicherheitslage ihres Unternehmens zu verbessern, indem Richtlinien konsistent für On-Premises-Clients, Clients in Zweigstellen sowie für Remote-Clients durchgesetzt werden, um DNS-Abfragen an potenziell bösartige oder Domains mit geringer Vertrauenswürdigkeit zu steuern und zu filtern. Kunden erhalten außerdem kontinuierlichen Zugriff auf Benutzerabfrageprotokolle, sodass sie detaillierte Berichte erstellen können, anhand derer die Abfrageaktivitäten und die Einhaltung von Sicherheits- und Geschäftsvorschriften überprüft werden können. Global Resolver vereinfacht die Sicherheitsabläufe für Netzwerk- und Sicherheitsteams, indem er eine zentrale Stelle bietet, an der Richtlinien für alle Clients konfiguriert, geprüft und durchgesetzt werden können.
3. Weltweite Verfügbarkeit – Kunden können Global Resolver so konfigurieren, dass er sich in mehreren AWS-Regionen befindet, um Kundenanfragen von überall aus zu beantworten und gleichzeitig den nächstgelegenen geografischen Standort und die Latenz zu optimieren.

Kunden können in fünf einfachen Schritten mit Global Resolver beginnen:

1. Wählen Sie die AWS-Region(en) aus, in denen Global Resolver instanziiert werden soll. 
2. Wählen Sie den Authentifizierungsmechanismus – Zugriffsquelle (IP-ACLs) und/oder Zugriffstoken – aus, um Clients zu identifizieren und zu authentifizieren. Für beide Authentifizierungsoptionen müssen Kunden auch den Protokolltyp auswählen (Do53, DoH oder DoT). Der Kunde kann ein oder mehrere Protokolle für verschiedene IP-Bereiche auswählen. 
3. Konfigurieren Sie die DNS-Filterregeln, indem Sie die Domain-Liste und alle anzuwendenden erweiterten DNS-Schutzmaßnahmen sowie die Aktion (Zulassen, Blockieren, Warnen) und die Regelpriorität angeben. 
4. Identifizieren Sie privaten gehosteten Zonen der Route 53, zu denen der Datenverkehr weitergeleitet werden soll. 
5. (Optional): Konfigurieren Sie die Protokollierung, indem Sie die Protokollierungsoption (Amazon S3, Amazon Data Firehose, Amazon CloudWatch) und die AWS-Region angeben, in der die Protokolle gespeichert werden.

Ja. Global Resolver kann von Kunden verwendet werden, die VPN- und Unternehmensnetzwerke nutzen.

Ja. Kunden können den Service in zwei oder mehr AWS-Regionen oder in allen verfügbaren Regionen instanziieren. Von den vom Kunden instanziierten Regionen löst der Service die Anfrage von der geografisch nächstgelegenen Region aus. Auf Global Resolver können authentifizierte Kundengeräte über DNS-over-UDP-, DNS-over-HTTPS- oder DNS-over-TLS-Verbindungen zu einer Reihe von zwei kundenspezifischen, öffentlich routbaren globalen Anycast-IP-Adressen mit IPv4 zugreifen.

Global Resolver unterstützt zwei Authentifizierungsmechanismen 1.) Token-basierte Authentifizierung für DoH und DoT 2.) ACL-basiertes IP- und CIDR-Allowlisting für Do53, DoT oder DoH.

Administratoren können eine Global-Resolver-Instance einrichten und eindeutige Zugriffs-Token für verschiedene Clients in ihrer Organisation generieren. Diese Token bieten flexible Verwaltungsoptionen, einschließlich anpassbarer Ablaufzeiten und der Wahl zwischen gemeinsamen oder individuellen Token. Administratoren können ganz einfach neue Token erstellen oder bestimmte Token nach Bedarf widerrufen. Global Resolver verwendet einen robusten Authentifizierungsprozess, der jeden Token-Anspruch validiert, bevor DNS-Abfragen verarbeitet werden.

Anfragen mit gültigen Tokens sind zulässig, während Anfragen mit ungültigen Ansprüchen umgehend abgelehnt werden, was dazu beiträgt, einen sicheren und kontrollierten Zugriff auf DNS-Auflösungsdienste zu gewährleisten.

Mit ACL-basiertem Allowlisting können Administratoren den Zugriff auf Global Resolver kontrollieren, indem sie definieren, welche Quell-IP-Adressen oder CIDR-Bereiche den Dienst verwenden können. Für jeden Eintrag auf der Allowlist können Administratoren angeben, welche DNS-Protokolle (Do53, DoT oder DoH) zulässig sind. Wenn sich die Anforderungen an den Netzwerkzugriff ändern, können Administratoren IP-Adressen und CIDR-Bereiche einfach aktualisieren oder aus der Zulassungsliste entfernen, um die Sicherheit zu gewährleisten.

Die DNS-Filterfunktion von Global Resolver nutzt dieselbe bewährte Funktionalität wie die Route 53 Resolver DNS Firewall. Administratoren erstellen eine DNS-Filterregel, die geordnete Listen von Regeln enthält, wobei jede Regel eine Aktion (ALLOW, BLOCK oder ALERT) und ein passendes Kriterium für die Domain(s) angibt. Wenn eine DNS-Abfrage eintrifft, bewertet Global Resolver sie anhand der Regeln in der Reihenfolge ihrer Priorität, bis eine Übereinstimmung gefunden wird. Jede Regel kann auf von Route 53 verwaltete Domain-Listen für bekannte Bedrohungen, benutzerdefinierte Domain-Listen, die von Administratoren erstellt wurden, oder auf erweiterten Bedrohungsschutz verweisen. Bei verwalteten Domain-Listen können Administratoren anhand von Domain-Listen filtern, die nach Webinhalten (z. B. Spiele, soziale Medien) und DNS-Bedrohungen wie Malware, Spam oder Phishing klassifiziert sind. Für BLOCK-Aktionen können Administratoren benutzerdefinierte Antworten konfigurieren und NXDOMAIN-, NODATA- oder bestimmte DNS-Antworten zurückgeben. ALERT-Aktionen ermöglichen die Durchführung der Abfrage und protokollieren sie gleichzeitig für die Sicherheitsüberprüfung.

Verwaltete Domain-Listen enthalten Domain-Namen, die mit böswilligen Aktivitäten oder anderen Domains in Verbindung gebracht werden, die für die Arbeit nicht sicher sind. AWS verwaltet diese Listen, damit Kunden von Route 53 Global Resolver sicherstellen können, dass ausgehende DNS-Abfragen diese Bedrohungen vermeiden. Verwaltete Domain-Listen werden nach Webinhalten (z. B. soziale Medien, Spiele, Websites für Erwachsene, Glücksspiele usw.) und DNS-Bedrohungen (z. B. Malware, Phishing, Spam, Botnets usw.) klassifiziert.

Ja. Global Resolver bietet fortschrittlichen Schutz vor ausgeklügelten DNS-basierten Bedrohungen. Zu den spezifischen Sicherheitsfunktionen gehören: 1) Erkennung des Domain-Generierungsalgorithmus (DGA): Global Resolver kann Abfragen an Domains identifizieren und blockieren, die wahrscheinlich von DGAs erstellt wurden, die häufig von Malware verwendet werden, um der Erkennung zu entgehen und die Kommunikation mit Command-and-Control-Servern aufrechtzuerhalten; 2) DNS-Tunneling-Erkennung: Dieser Dienst kann Versuche erkennen und blockieren, DNS als verdeckten Kanal für Datenexfiltration oder Command-and-Control-Kommunikation zu verwenden. Diese erweiterten Schutzfunktionen sind als Opt-in-Option bei der Konfiguration der DNS-Firewall-Regeln verfügbar. Durch die Aktivierung dieser Schutzmaßnahmen können Unternehmen ihren Schutz vor sich entwickelnden und komplexen DNS-basierten Bedrohungen deutlich verbessern und so traditionelle Domain-Blocklisten und Inhaltsfilter ergänzen.

Ja. Kunden, die sich mit Global Resolver authentifizieren, können PHZs in allen AWS-Regionen lösen.

Ja, Global Resolver unterstützt die DNSSEC-Validierung (Domain Name System Security Extensions). Wenn diese Option aktiviert ist, überprüft sie die Authentizität und Integrität von DNS-Antworten von öffentlichen Nameservern für DNSSEC-zugewiesene Domains. Diese Validierung stellt sicher, dass DNS-Antworten während der Übertragung nicht manipuliert wurden, und bietet eine zusätzliche Sicherheitsebene gegen DNS-Spoofing- und Cache-Poisoning-Angriffe. Administratoren können die DNSSEC-Validierung pro DNS-Ansicht aktivieren oder deaktivieren, was flexible Sicherheitskonfigurationen ermöglicht. 

Global Resolver ist in der Vorschauversion in 11 kommerziellen Regionen verfügbar. Kunden haben die Möglichkeit, Global Resolver in all diesen Regionen verfügbar zu machen oder bestimmte Regionen auszuwählen.

Ja. Global Resolver unterstützt das EDNS-Client-Subnetz mit einer Opt-in-Funktion zur Weiterleitung der von den Clients verfügbaren Client-Subnetzinformationen. Diese Funktion ermöglicht genauere, geografisch basierte DNS-Antworten, was möglicherweise zu einer geringeren Latenz bei der Auflösung von DNS-Anfragen von Kunden führt, da diese an näher gelegene Netzwerke oder Server zur Inhaltsbereitstellung weitergeleitet werden.

Global Resolver verfügt über mehrere Mechanismen zur Abwehr von DDoS-Bedrohungen: 1) Global Resolver verlässt sich auf AWS Shield, um sich vor DDoS-Angriffen zu schützen. 2) Global Resolver verfügt auch über eine benutzerdefinierte dynamische DDoS-Implementierung, die Top-Talker-Metriken und Ratenlimits verwendet, die auf dynamischen Regeln basieren, die vom Route53-Serviceteam im Bedarfsfall aktualisiert werden. Dadurch kann Global Resolver bei einem hohen Volumen oder einer hohen Rate von Ausfällen von bestimmten Quell-IPs schnell reagieren. Standarddrosselung und Lastabwurf werden ebenfalls erstellt.

Ja, Kunden müssen ein Onboarding mit privaten gehosteten Zonen (PHZ) durchführen.