Publicado en: Mar 31, 2021
Hoy, AWS anunció el lanzamiento de DNS Firewall de Amazon Route 53 Resolver, un firewall administrado que permite a los clientes bloquear las consultas de DNS que se realizaron para dominios maliciosos conocidos y permitir consultas de dominios de confianza. DNS Firewall proporciona un control más granular sobre el comportamiento de las consultas de DNS de los recursos dentro de la Amazon Virtual Private Cloud (VPC).
Route 53 Resolver es un servidor de DNS (a veces denominado "AmazonProvidedDNS" o ".2 resolver") que está disponible en todas las Amazon VPC de forma predeterminada. Route 53 Resolver responde a las consultas de DNS de los recursos de AWS dentro de una VPC para los registros de DNS públicos, los nombres de dominio específicos de la VPC y las zonas alojadas privadas de Route 53. Los clientes han pedido un control más preciso de las consultas de DNS que pueden realizar los recursos dentro de las VPC. Es posible que estos clientes estén preocupados por la exfiltración de DNS (cuando los actores maliciosos utilizan las consultas de DNS para contrabandear datos confidenciales fuera de las redes) o que simplemente quieran ejercer más control sobre los sitios a los que pueden acceder los usuarios dentro de su organización.
DNS Firewall de Route 53 Resolver permite crear "listas de bloqueo" para los dominios con los que no desea que se comuniquen los recursos de su VPC a través de DNS. También puede adoptar un enfoque de "jardín cerrado" más estricto mediante la creación de "listas de permisos" que permitan consultas de DNS salientes solo a los dominios que especifique. También puede crear alertas para cuando las consultas de DNS salientes coincidan con ciertas reglas del firewall, lo que permite probar sus reglas antes de implementarlas en el tráfico de producción. DNS Firewall de Route 53 Resolver ofrece dos listas de dominios administrados (dominios de malware y dominios de comando y control de botnets) que permiten comenzar con protecciones administradas contra amenazas comunes rápidamente.
Si usa AWS Organizations para administrar diferentes cuentas de AWS, puede utilizar AWS Firewall Manager a fin de implementar las reglas de DNS Firewall de Route 53 Resolver en varias cuentas y VPC desde una única cuenta de administrador. Firewall Manager proporciona a los administradores de seguridad un lugar único a fin de configurar y administrar de forma centralizada diferentes conjuntos de reglas de firewall para las organizaciones y detecta automáticamente cualquier cuenta y recurso nuevo para que cumpla con el conjunto de reglas de seguridad de la organización. Los clientes, con DNS Firewall de Route 53 Resolver, pueden implementar reglas de firewall de DNS en todas las cuentas, unidades organizativas (OU) y VPC de la organización de forma centralizada. Como alternativa, los clientes también pueden optar por compartir directamente sus reglas de firewall entre sus cuentas mediante AWS Resource Access Manager (RAM). AWS Resource Access Manager permite a los clientes compartir los recursos de AWS de diferentes servicios de AWS con otras cuentas de AWS de forma centralizada. Pueden utilizar las métricas de Amazon CloudWatch para conocer la cantidad de consultas de DNS bloqueadas o permitidas por su firewall, hasta el nivel de las reglas. También pueden habilitar el registro mediante los Registros de consultas de Route 53 Resolver a fin de obtener información a nivel de instancia sobre consultas bloqueadas y permitidas para cada recurso de la VPC. Si elige almacenar los registros en grupos de registros de CloudWatch, puede utilizar CloudWatch Contributor Insights para crear reglas que generen datos de alta cardinalidad, como los recursos principales que realizan la mayoría de las consultas que son bloqueadas por el firewall.
Amazon Route 53 Resolver DNS Firewall ya está disponible en el Este de EE. UU. (Norte de Virginia), Europa (Irlanda), Asia-Pacífico (Mumbai) y el Oeste de EE. UU. (Oregón). Además, se pondrá en marcha en todas las demás regiones comerciales de AWS y regiones de AWS GovCloud (EE. UU.) en los próximos días. Para comenzar a utilizar esta característica, consulte la documentación de Route 53 y el anuncio de Route 53 Resolver DNS Firewall en el blog de novedades de AWS. Para obtener más información sobre los precios, puede consultar la página de precios de Route 53.