Publié le: Mar 31, 2021

Aujourd'hui, AWS annonce le lancement d'Amazon Route 53 Resolver DNS Firewall, un pare-feu géré qui permet aux clients de bloquer les requêtes DNS faites pour les domaines malveillants connus et d'autoriser les requêtes pour les domaines fiables. DNS Firewall offre un contrôle plus granulaire du comportement des requêtes DNS sur le comportement des ressources dans vos Amazon Virtual Private Clouds (VPC).  

Route 53 Resolver est un serveur DNS (parfois appelé « AmazonProvidedDNS » ou « résolveur .2 ») disponible par défaut dans tous les VPC Amazon. Route 53 Resolver répond aux requêtes DNS des ressources AWS au sein d'un VPC pour les enregistrements DNS publics, les noms de domaine spécifiques aux VPC et les zones d'hébergement privées sur Route 53. Les clients ont demandé un contrôle plus précis des requêtes DNS que les ressources au sein de leurs VPC ne sont autorisées à réaliser. Ces clients peuvent être préoccupés par l'exfiltration DNS (lorsque des acteurs malveillants utilisent les requêtes DNS pour extraire frauduleusement des données sensibles des réseaux) ou souhaiter simplement renforcer le contrôle des sites auxquels les utilisateurs au sein de leur organisation ont accès.

Route 53 Resolver DNS Firewall vous permet de créer des « listes noires » des domaines avec lesquels vous ne souhaitez pas que vos ressources VPC communiquent via DNS. Vous pouvez également appliquer une approche de type « jardin clos » plus stricte en créant des « listes blanches » qui autorisent les requêtes DNS sortantes uniquement vers les domaines spécifiés. Vous pouvez également créer des alertes indiquant quand les requêtes DNS sortantes satisfont certaines règles de pare-feu, afin de pouvoir tester vos règles avant de déployer le trafic de production. Route 53 Resolver DNS Firewall propose deux listes de domaines gérés (domaines malveillants et domaines de contrôle et de commande des botnets) qui vous permettent d'activer rapidement des protections gérées contre les menaces communes.

Si vous utilisez AWS Organizations pour gérer plusieurs comptes AWS, vous pouvez utiliser AWS Firewall Manager pour déployer les règles de Route 53 Resolver DNS Firewall sur plusieurs comptes et VPC à partir d'un seul compte administrateur. Firewall Manager permet aux administrateurs de la sécurité de centraliser la configuration et la gestion des différents ensembles de règles de pare-feu de leurs organisations tout en détectant automatiquement tout nouveau compte et toute nouvelle ressource afin de les mettre en conformité avec l'ensemble des règles de sécurité de l'organisation. Avec Route 53 Resolver DNS Firewall, les clients peuvent centraliser le déploiement des règles de pare-feu DNS à travers les comptes, les unités organisationnelles (UO) et les VPC de leur organisation. De plus, les clients peuvent également partager directement leurs règles de pare-feu à travers leurs comptes avec AWS Resource Access Manager (RAM). AWS Resource Access Manager permet aux clients de centraliser le partage des ressources AWS à partir de divers services AWS avec d'autres comptes AWS. Ils peuvent utiliser Amazon CloudWatch Metrics pour comprendre le nombre de requêtes DNS bloquées ou autorisés par leur pare-feu, jusqu'au niveau de la règle. Ils peuvent également activer la journalisation via Route 53 Resolver Query Logs pour obtenir des informations au niveau des instances sur les requêtes bloquées ou autorisées pour chaque ressource VPC. Si vous choisissez d'enregistrer vos journaux dans des groupes de journaux CloudWatch, vous pouvez utiliser CloudWatch Contributor Insights pour créer des règles de génération de données de cardinalité, comme les principales ressources à l'origine de la plupart des requêtes bloquées par le pare-feu.

Amazon Route 53 Resolver DNS Firewall est désormais disponible dans les régions USA Est (Virginie du Nord), EU (Irlande), Asie-Pacifique (Mumbai) et USA Ouest (Oregon), ainsi que toutes les autres régions commerciales d'AWS et les régions AWS GovCloud (US) en déploiement dans les prochains jours. Pour exécuter cette fonctionnalité, consultez la documentation de Route 53. Pour en savoir plus sur la tarification, consultez la page de tarification de Route 53