Amazon Route 53 Global Resolver (versión preliminar)

Route 53 ofrece dos servicios de resolución con propósitos distintos: Global Resolver de DNS Resolver de difusión por proximidad, al que se puede acceder globalmente a través de Internet desde cualquier lugar, proporciona consultas de DNS cifradas (a través de DoH o DoT) y está diseñado para clientes locales e implementaciones multirregionales que necesitan una resolución segura de dominios públicos y privados. Por el contrario, VPC Resolver (anteriormente Route 53 Resolver) es el solucionador recursivo predeterminado para las VPC de Amazon en todas las regiones, al que pueden acceder los clientes alojados en VPC o mediante conexiones privadas como VPN o Direct Connect a través de puntos de enlace de Resolver, con el cifrado de DNS disponible solo para consultas híbridas en estos puntos de enlace.

Route 53 Global Resolver es un solucionador de DNS al que se puede acceder globalmente desde cualquier lugar en Internet, lo que le permite al cliente resolver y reenviar fácilmente el tráfico de dominios públicos y privados, a fin de garantizar la seguridad y la autenticidad de las consultas a través de Internet. Global Resolver ayuda a las empresas a simplificar la resolución de consultas realizadas desde clientes locales, sucursales y remotos a dominios públicos y dominios privados asociados a las zonas alojadas privadas de Route 53 en AWS, al ofrecer una solución unificada accesible a través de IP de difusión por proximidad globales. Global Resolver también ayuda a proteger las consultas de DNS para los clientes al ofrecer opciones de conectividad DNS cifrada (con DNS a través de HTTPS/DNS a través de TLS) y capacidades para ayudar a controlar y bloquear las consultas a dominios potencialmente maliciosos y de baja reputación. 

Los administradores de red responsables de administrar la resolución y la conectividad del DNS para los clientes y de hacer cumplir las políticas de filtrado de DNS que cumplan con las políticas de seguridad de la organización deben utilizar Global Resolver. Global Resolver también ayuda a los administradores de red a reducir el costo de operar reenviadores de DNS personalizados que se utilizan para reenviar y dividir el tráfico de DNS dirigido a dominios públicos y privados.

Global Resolver ofrece a los clientes tres beneficios clave:

1. Simplifica la resolución de DNS: Global Resolver ayuda a los clientes a simplificar la resolución de DNS y el reenvío de las consultas realizadas por los clientes a los dominios públicos de Internet y a los dominios privados asociados a las zonas alojadas privadas de Route 53 del cliente, al minimizar la administración, el costo y la complejidad que se necesitan para configurar y mantener las soluciones de reenvío de clientes.
2. Mejora de la seguridad: Global Resolver permite a los administradores mejorar la seguridad general de su organización al aplicar políticas de manera coherente para los clientes alojados localmente o en las sucursales o, en el caso de los clientes remotos, para controlar y filtrar las consultas de DNS a dominios potencialmente maliciosos o de baja reputación. Los clientes también tienen acceso continuo a los registros de consultas de los usuarios, lo que les permite generar informes detallados que ayudan a auditar la actividad de las consultas y el cumplimiento de los mandatos empresariales y de seguridad. Global Resolver simplifica las operaciones de seguridad para los equipos de redes y seguridad al proporcionar un lugar único para configurar, controlar y hacer cumplir las políticas para todos los clientes.
3. Disponibilidad global: los clientes pueden configurar Global Resolver para que esté en varias regiones de AWS, a fin de responder a las consultas de los clientes desde cualquier lugar y, al mismo tiempo, optimizar la latencia y la ubicación geográfica más cercanas.

Los clientes pueden empezar a usar Global Resolver en cinco sencillos pasos:

1. Seleccione la o las regiones de AWS en las que se instanciará Global Resolver. 
2. Seleccione el mecanismo de autenticación (fuente de acceso [ACL IP] y/o token de acceso) para identificar y autenticar a los clientes. Para ambas opciones de autenticación, los clientes también deben seleccionar el tipo de protocolo (Do53, DoH o DoT). El cliente puede seleccionar uno o más protocolos para diferentes conjuntos de rangos de IP. 
3. Configure las reglas de filtrado de DNS especificando la lista de dominios y cualquier protección de DNS avanzada que desee aplicar, junto con la acción (permitir, bloquear, alertar) y la prioridad de la regla. 
4. Identifique las zonas alojadas privadas de Route 53 a las que reenviar el tráfico. 
5. (opcional): configure el registro especificando la opción de registro (Amazon S3, Amazon Data Firehose, Amazon CloudWatch) y la región de AWS en la que se almacenarán los registros.

Sí. Los clientes que utilizan redes VPN y corporativas pueden usar Global Resolver.

Sí. Los clientes pueden crear instancias del servicio en dos o más regiones de AWS o en todas las regiones disponibles. De todas las regiones en que el cliente haya creado instancias, el servicio elegirá la más cercana geográficamente para resolver la consulta. Los dispositivos de los clientes autenticados pueden acceder a Global Resolver mediante conexiones DNS sobre UDP, DNS sobre HTTPS o DNS sobre TLS a un conjunto de dos direcciones IP de difusión por proximidad globales, direccionables públicas y específicas del cliente de IPv4.

Global Resolver admitirá dos mecanismos de autenticación: 1.) Autenticación basada en tokens para DoH y DoT 2.) Listas de permisos de IP y CIDR basados en ACL para Do53, DoT o DoH.

Los administradores pueden establecer una instancia de Global Resolver y generar tokens de acceso únicos para varios clientes de su organización. Estos tokens ofrecen opciones de administración flexibles, que incluyen períodos de caducidad personalizables y la posibilidad de elegir entre tokens compartidos o individuales. Los administradores pueden crear fácilmente nuevos tokens o revocar tokens específicos según sea necesario. Global Resolver emplea un proceso de autenticación sólido, que valida cada reclamación de token antes de procesar las consultas de DNS.

Se permiten las solicitudes acompañadas de tokens válidos, mientras que aquellas con reclamaciones no válidas se rechazan de inmediato, lo que ayuda a garantizar un acceso seguro y controlado a los servicios de resolución de DNS.

Las listas de permisos basadas en ACL permiten a los administradores controlar el acceso a Global Resolver definiendo qué direcciones IP de origen o rangos de CIDR pueden usar el servicio. Para cada entrada de la lista de permisos, los administradores pueden especificar qué protocolos DNS (Do53, DoT o DoH) están permitidos. Cuando cambian los requisitos de acceso a la red, los administradores pueden actualizar o eliminar fácilmente las direcciones IP y los rangos de CIDR de la lista de permisos para mantener la seguridad.

La capacidad de filtrado de DNS de Global Resolver utiliza la misma funcionalidad comprobada que el firewall DNS de Route 53 Resolver. Los administradores crean una regla de filtrado de DNS que contiene listas ordenadas de reglas y cada regla especifica una acción (PERMITIR, BLOQUEAR o ALERTAR) y un criterio coincidente para coincidir con los dominios. Cuando llega una consulta de DNS, Global Resolver la evalúa según las reglas, en orden de prioridad, hasta que encuentra una coincidencia. Cada regla puede hacer referencia a las listas de dominios administrados de Route 53 para ver las amenazas conocidas, las listas de dominios personalizadas creadas por los administradores o la protección avanzada contra amenazas. En el caso de las listas de dominios administrados, los administradores pueden filtrar en función de las listas de dominios clasificadas por contenido web (por ejemplo, juegos, redes sociales) y amenazas de DNS, como malware, spam o suplantación de identidad. Para las acciones de BLOQUEO, los administradores pueden configurar respuestas personalizadas y devolver respuestas de NXDOMAIN, NODATA o de DNS específicas. Las acciones de ALERTA permiten la consulta y, al mismo tiempo, la registran para su revisión de seguridad.

Las listas de dominios administrados contienen nombres de dominio que están asociados con actividades malintencionadas u otros dominios que no son seguros para trabajar. AWS arma estas listas para que los clientes de Route 53 Global Resolver puedan garantizar que las consultas de DNS salientes eviten estas amenazas. Las listas de dominios administrados se clasifican según el contenido web (por ejemplo, redes sociales, juegos, sitios para adultos, juegos de azar, etc.) y amenazas de DNS (por ejemplo, malware, suplantación de identidad, spam, redes de bots, etc.)

Sí. Global Resolver ofrece protección avanzada contra amenazas sofisticadas basadas en DNS. Las características de seguridad específicas incluyen: 1) Detección de algoritmos de generación de dominios (DGA): Global Resolver puede identificar y bloquear las consultas a dominios probablemente creados por DGA, que el malware suele utilizar para evadir la detección y mantener la comunicación con los servidores de comando y control; 2) Detección de túneles de DNS: este servicio puede detectar y bloquear los intentos de usar el DNS como canal encubierto para la exfiltración de datos o la comunicación de comando y control. Estas características de protección avanzada están disponibles como una alternativa al configurar las reglas del firewall de DNS. Al habilitar estas protecciones, las organizaciones pueden mejorar significativamente su defensa contra las amenazas complejas y en evolución basadas en el DNS, al tiempo que complementan las listas de bloqueo de dominios y el filtrado de contenido tradicionales.

Sí. Los clientes que se autentiquen con Global Resolver pueden resolver las PHZ en todas las regiones de AWS.

Sí, Global Resolver admite la validación de DNSSEC (extensiones de seguridad del sistema de nombres de dominio). Cuando está habilitada, verificará la autenticidad e integridad de las respuestas de DNS de los servidores de nombres públicos para los dominios asignados por DNSSEC. Esta validación garantiza que las respuestas del DNS no se hayan manipulado durante la transmisión, lo que proporciona una capa adicional de seguridad contra los ataques de suplantación de DNS y envenenamiento de la caché. Los administradores pueden habilitar o deshabilitar la validación de DNSSEC por vista de DNS, lo que permite configuraciones de seguridad flexibles. 

Global Resolver está disponible en 11 regiones comerciales en la versión preliminar. Los clientes tienen la opción de tener Global Resolver disponible en todas estas regiones o elegir regiones específicas.

Sí. Global Resolver admitirá la subred de clientes EDNS con una capacidad de habilitación para reenviar la información de subred del cliente disponible de los clientes. Esta característica permite respuestas de DNS basadas en la geografía más precisas, lo que puede resultar en una resolución de menor latencia de las consultas de DNS de los clientes al dirigirlos a redes o servidores de entrega de contenido más cercanos.

Global Resolver cuenta con varios mecanismos para mitigar las amenazas de DDoS: 1) Global Resolver utiliza AWS Shield para protegerse de los ataques de DDoS. 2) Global Resolver también cuenta con una implementación dinámica de DDoS personalizada que utiliza las métricas de los usuarios con más comunicaciones y los límites de frecuencia basados en reglas dinámicas actualizadas por el equipo de servicio de Route53 en el momento de cualquier impacto. Esto permite a Global Resolver responder rápidamente en caso de haya un gran volumen o una alta tasa de fallos de IP de origen específicas. También generará una limitación predeterminada y una reducción de carga.

Sí, los clientes deberán incorporar zonas alojadas privadas (PHZ).