Publicado en: Apr 7, 2021
La semana pasada, AWS anunció el lanzamiento de DNS Firewall de Amazon Route 53 Resolver, un firewall administrado que permite a los clientes bloquear las consultas de DNS realizadas a dominios maliciosos conocidos y permitir consultas a dominios de confianza. DNS Firewall proporciona un control más granular sobre el comportamiento de las consultas de DNS de los recursos dentro de la Amazon Virtual Private Cloud (VPC).
DNS Firewall de Route 53 Resolver permite crear “listas de bloqueo” para los dominios con los que no desea que se comuniquen los recursos VPC a través de DNS. También puede adoptar un enfoque de "jardín cerrado" más estricto mediante la creación de "listas de permisos" que permitan consultas de DNS salientes solo a los dominios que especifique. También puede crear alertas para cuando las consultas de DNS salientes coincidan con ciertas reglas del firewall, lo que permite probar sus reglas antes de implementarlas en el tráfico de producción. DNS Firewall de Route 53 Resolver ofrece dos listas de dominios administrados (dominios de malware y comando de botnet y dominios de control) que permiten comenzar a utilizar rápidamente protecciones administradas contra amenazas comunes.
DNS Firewall de Route 53 Resolver viene integrado a AWS Firewall Manager, que permite enviar reglas a múltiples cuentas y VPC a partir de una cuenta de administrador. Como alternativa, los clientes también pueden optar por compartir directamente sus reglas de firewall entre sus cuentas mediante AWS Resource Access Manager (RAM). Con los Registros de consultas de Route 53 Resolver, puede obtener información a nivel de instancia sobre un firewall, como consultas bloqueadas y permitidas para cada recurso de la VPC. Si elige almacenar los registros en grupos de registros de CloudWatch, puede utilizar CloudWatch Contributor Insights para crear reglas que generen datos de alta cardinalidad, como los recursos principales que realizan la mayoría de las consultas que son bloqueadas por el firewall.
DNS Firewall de Amazon Route 53 Resolver está habitualmente disponible en todas las regiones comerciales de AWS y de AWS GovCloud (EE. UU.). Para comenzar a utilizar esta característica, consulte la documentación de Route 53. Para obtener más información sobre los precios, puede consultar la página de precios de Route 53.