Resolver globale di Amazon Route 53 (anteprima)

Route 53 offre due servizi resolver con scopi distinti: resolver globale anycast DNS Resolver, raggiungibile a livello globale su Internet da qualsiasi luogo che fornisce query DNS crittografate (tramite DoH o DoT) ed è progettato per client locali e implementazioni multiregionali che richiedono una risoluzione sicura di domini privati e pubblici. Al contrario, il resolver VPC (ex Resolver di route 53) è il resolver ricorsivo predefinito per i tuoi Amazon VPC in ogni regione, accessibile dai client ospitati su VPC o tramite connessioni private come VPN o Direct Connect tramite endpoint Resolver, con la crittografia DNS disponibile solo per le query ibride su questi endpoint. ​

Il resolver globale di Route 53 è un resolver DNS raggiungibile a livello globale da qualsiasi luogo su Internet, che consente di risolvere e inoltrare facilmente il traffico per domini pubblici e privati, per contribuire a garantire la sicurezza e l'autenticità delle query su Internet. Il resolver globale aiuta le aziende a semplificare la risoluzione delle richieste effettuate da client locali, filiali e remoti verso domini pubblici e domini privati associati alle zone private ospitate di Route 53 ospitate su AWS, offrendo una soluzione unificata raggiungibile tramite IP anycast globali. Il resolver globale aiuta inoltre a proteggere le query DNS per i clienti offrendo opzioni per la connettività DNS crittografata (con DNS-over-HTTPS/DNS-over-TLS) e funzionalità per contribuire a governare e bloccare le query verso domini potenzialmente dannosi e con bassa reputazione. 

Il resolver globale deve essere utilizzato dagli amministratori di rete responsabili della gestione della risoluzione e della connettività DNS per i client e dell'applicazione delle policy di filtro DNS conformi ai mandati di sicurezza organizzativi. Il resolver globale aiuta inoltre gli amministratori di rete a ridurre i costi di gestione dei server di inoltro DNS personalizzati utilizzati per l'inoltro e la suddivisione del traffico DNS diretto a domini pubblici e privati.

Il resolver globale offre ai clienti tre vantaggi chiave:

1. Semplifica la risoluzione DNS: il resolver globale aiuta i clienti a semplificare la risoluzione DNS e l'inoltro delle richieste effettuate ai domini pubblici su Internet e ai domini privati associati alle zone private ospitate da Route 53 presso il cliente, riducendo al minimo la gestione, i costi e la complessità necessari per configurare e mantenere le soluzioni di inoltro.
2. Migliore livello di sicurezza: il resolver globale consente agli amministratori di migliorare il livello di sicurezza generale della propria organizzazione applicando politiche coerenti per i client ospitati on-premises, le filiali o, per i client remoti, di governare e filtrare le query DNS verso domini potenzialmente dannosi o con scarsa reputazione. I clienti hanno inoltre accesso continuo ai registri delle query degli utenti, consentendo loro di generare report dettagliati che aiutano a verificare l'attività delle query e la conformità ai mandati di sicurezza e aziendali. Il resolver globale semplifica le operazioni di sicurezza per i team di rete e sicurezza fornendo un unico posto per configurare, verificare e applicare le policy per tutti i clienti.
3. Disponibilità globale: i clienti possono configurare il resolver globale in modo che si trovi in più regioni AWS, per rispondere alle richieste dei clienti da qualsiasi luogo, ottimizzando al contempo la posizione geografica e la latenza più vicine.

I clienti possono iniziare a usare il resolver globale seguendo cinque semplici passaggi:

1. Selezionando le regioni AWS in cui verrà creata l'istanza del resolver globale. 
2. Selezionando il meccanismo di autenticazione (origine di accesso (ACL IP) e/o token di accesso per identificare e autenticare i client. Per entrambe le opzioni di autenticazione, i clienti devono selezionare anche il tipo di protocollo (Do53, DoH o DoT). I clienti possono selezionare uno o più protocolli per diversi set di intervalli IP. 
3. Configurare le regole di filtro DNS specificando l'elenco dei domini e le eventuali protezioni DNS avanzate da applicare, insieme all'azione (consenti, blocco, avviso) e alla priorità delle regole. 
4. Identificare le zone private ospitate di Route 53 a cui inoltrare il traffico. 
5. (opzionale): configurare la registrazione specificando l'opzione di registrazione (Amazon S3, Amazon Data Firehose, Amazon CloudWatch) e la regione AWS in cui verranno archiviati i log.

Sì. Il resolver globale può essere utilizzato dai clienti che utilizzano VPN e reti aziendali.

Sì. I clienti possono creare un'istanza del servizio in due o più regioni AWS o in tutte le regioni disponibili. Tra le Regioni per cui sono state create istanze dal cliente, il servizio risolverà la richiesta a partire da quella geograficamente più vicina. È possibile accedere al resolver globale dai dispositivi dei clienti autenticati tramite connessioni DNS-over-UDP, DNS-over-HTTPS o DNS-over-TLS a un set di due indirizzi IP anycast globali instradabili pubblici e specifici del cliente IPv4.

Il resolver globale supporta due meccanismi di autenticazione 1.) Autenticazione basata su token per DoH e DoT 2.) Elenco degli indirizzi IP e CIDR basati su ACL per Do53, DoT o DoH.

Gli amministratori possono creare un'istanza del resolver globale e generare token di accesso univoci per vari clienti della propria organizzazione. Questi token offrono opzioni di gestione flessibili, inclusi periodi di scadenza personalizzabili e la scelta tra token condivisi o singoli. Gli amministratori possono facilmente creare nuovi token o revocare token specifici, se necessario. Il resolver globale utilizza un solido processo di autenticazione, convalidando ogni attestazione del token prima di elaborare le query DNS.

Le richieste accompagnate da token validi sono consentite, mentre quelle con dichiarazioni non valide vengono prontamente respinte, contribuendo a garantire un accesso sicuro e controllato ai servizi di risoluzione DNS.

L'allowlist basato su ACL consente agli amministratori di controllare l'accesso al resolver globale definendo quali indirizzi IP o intervalli CIDR di origine possono utilizzare il servizio. Per ogni voce consentita, gli amministratori possono specificare quali protocolli DNS (Do53, DoT o DoH) sono consentiti. Quando i requisiti di accesso alla rete cambiano, gli amministratori possono facilmente aggiornare o rimuovere gli indirizzi IP e gli intervalli CIDR dalla lista consentita per mantenere la sicurezza.

La funzionalità di filtro DNS del resolver globale sfrutta le stesse funzionalità comprovate di Route 53 Resolver DNS Firewall. Gli amministratori creano una regola di filtro DNS contenente elenchi ordinati di regole, in cui ogni regola specifica un'azione (ALLOW, BLOCK o ALERT) e un criterio corrispondente per abbinare i domini. Quando arriva una query DNS, il resolver globale la valuta rispetto alle regole, in ordine di priorità, finché non viene trovata una corrispondenza. Ogni regola può fare riferimento agli elenchi di domini gestiti di Route 53 per minacce note, elenchi di domini personalizzati creati dagli amministratori o protezione avanzata dalle minacce. Per gli elenchi di domini gestiti, gli amministratori possono filtrare in base agli elenchi di domini classificati per contenuti web (ad esempio giochi, social media) e minacce DNS come malware, spam o phishing. Per le azioni BLOCK, gli amministratori possono configurare risposte personalizzate, restituendo NXDOMAIN, NODATA o risposte DNS specifiche. Le azioni ALERT consentono il completamento della query, registrandola per la revisione della sicurezza.

Gli elenchi di domini gestiti contengono nomi di dominio associati ad attività dannose o altri domini non sicuri per il lavoro. AWS mantiene questi elenchi per consentire ai clienti del resolver globale di Route 53 di garantire che le query DNS in uscita evitino queste minacce. Gli elenchi di domini gestiti sono classificati in base ai contenuti Web (ad esempio social media, giochi, siti per adulti, giochi d'azzardo ecc.) e alle minacce DNS (ad esempio malware, phishing, spam, botnet, ecc.)

Sì. Il resolver globale offre una protezione avanzata contro sofisticate minacce basate sul DNS. Le funzionalità di sicurezza specifiche includono: 1) Rilevamento dell'algoritmo di generazione di domini (DGA): il resolver globale è in grado di identificare e bloccare le query ai domini probabilmente creati dai DGA, comunemente utilizzati dai malware per eludere il rilevamento e mantenere la comunicazione con i server di comando e controllo; 2) Rilevamento del tunneling DNS: questo servizio può rilevare e bloccare i tentativi di utilizzare il DNS come canale segreto per l'esfiltrazione di dati o la comunicazione di comando e controllo. Queste funzionalità di protezione avanzate sono disponibili come opzione opt-in durante la configurazione delle regole del firewall DNS. Abilitando queste protezioni, le organizzazioni possono migliorare in modo significativo la propria difesa contro le minacce complesse e in evoluzione basate sul DNS, integrando le tradizionali blocklist di domini e il filtraggio dei contenuti.

Sì. I clienti che effettuano l'autenticazione con il resolver globale sono in grado di risolvere le PHZ in tutte le regioni AWS.

Sì, il resolver globale supporta la convalida delle estensioni del sistema dei nomi di dominio (DNSSEC, Domain Name System Security Extensions). Se abilitato, verificherà l'autenticità e l'integrità delle risposte DNS dai server dei nomi pubblici per i domini assegnati dalle estensioni del sistema dei nomi di dominio. Questa convalida garantisce che le risposte DNS non siano state manomesse durante la trasmissione, fornendo un ulteriore livello di sicurezza contro gli attacchi di DNS spoofing e cache poisoning. Gli amministratori possono abilitare o disabilitare la convalida DNSSEC in base alla visualizzazione DNS, consentendo configurazioni di sicurezza flessibili. 

Durante l’anteprima, il resolver globale è disponibile in 11 aree commerciali. I clienti hanno la possibilità di la disponibilità del resolver Globale in tutte queste regioni o di scegliere regioni specifiche.

Sì. Il resolver globale supporta la sottorete client EDNS con una funzionalità opt-in per inoltrare le informazioni sulla sottorete del client disponibili dai client. Questa funzionalità consente risposte DNS su base geografica più accurate, con conseguente potenziale riduzione della latenza delle query DNS dei clienti indirizzandole verso reti o server di distribuzione di contenuti più vicini.

Il resolver globale dispone di diversi meccanismi per mitigare le minacce DDoS: 1) Global Resolver si affida ad AWS Shield per proteggersi dagli attacchi DDoS. 2) Il resolver globale dispone anche di un'implementazione DDoS dinamica personalizzata che utilizza i parametri fondamentali degli interlocutori principali e i limiti di frequenza basati su regole dinamiche aggiornate dal team di assistenza di Route53 al momento dell'impatto. Ciò consente al resolver globale di rispondere rapidamente in caso di elevato volume o frequenza di guasti da IP di origine specifici. Creerà anche il throttling (limitazione della larghezza di banda della rete) e la riduzione del carico predefinite.

Sì, i clienti dovranno effettuare l'onboarding con zone private ospitate (PHZ).