Publié le: Apr 7, 2021
La semaine dernière, AWS a annoncé Amazon Route 53 Resolver DNS Firewall, un pare-feu géré qui permet aux clients de bloquer les requêtes DNS faites pour les domaines malveillants connus et d'autoriser les requêtes pour les domaines fiables. DNS Firewall fournit un contrôle plus précis sur le comportement d'interrogation DNS des ressources au sein de vos Amazon Virtual Private Clouds (VPC).
Route 53 Resolver DNS Firewall vous permet de créer des « listes noires » des domaines avec lesquels vous ne souhaitez pas que vos ressources VPC communiquent via DNS. Vous pouvez également appliquer une approche de type « jardin clos » plus stricte en créant des « listes blanches » qui autorisent les requêtes DNS sortantes uniquement vers les domaines spécifiés. Vous pouvez également créer des alertes indiquant quand les requêtes DNS sortantes satisfont certaines règles de pare-feu, afin de pouvoir tester vos règles avant de déployer le trafic de production. Route 53 Resolver DNS Firewall propose deux listes de domaines gérés (domaines malveillants et domaines de contrôle et de commande des botnets) qui vous permettent d'activer rapidement des protections gérées contre les menaces communes.
Le pare-feu DNS Route 53 Resolver est intégré à AWS Firewall Manager qui vous permet de propager des règles sur plusieurs comptes et VPC à partir d'un seul compte d'administrateur. De plus, les clients peuvent également partager directement leurs règles de pare-feu à travers leurs comptes avec AWS Resource Access Manager (RAM). Avec Route 53 Resolver Query Logs, vous pouvez obtenir des journaux sur les informations au niveau des instances pour votre pare-feu, telles que les requêtes bloquées et autorisées pour chaque ressource VPC. Si vous choisissez de stocker vos journaux dans des groupes de journaux CloudWatch, vous pouvez utiliser CloudWatch Contributor Insights pour créer des règles permettant de générer des données à cardinalité élevée, telles que les principales ressources effectuant le plus de requêtes qui sont bloquées par le pare-feu.
Amazon Route 53 Resolver DNS Firewall est désormais disponible dans toutes les régions commerciales AWS et les régions AWS GovCloud (US). Pour commencer à utiliser cette fonction, consultez la documentation de Route 53. Pour en savoir plus sur la tarification, consultez la page de tarification de Route 53.