Publicado: Sep 15, 2020
Hoje, estamos anunciando a disponibilidade do registro em log de consultas do Route 53 Resolver nas regiões AWS GovCloud (EUA), regiões da Amazon projetadas para hospedar dados confidenciais, workloads regulamentadas e cumprir os mais rigorosos requisitos de segurança e conformidade do governo dos EUA. O registro em log de consultas do Route 53 Resolver permite que você registre em log consultas ao DNS originadas em Amazon Virtual Private Clouds (VPCs). Com o registro em log de consultas ativado, você pode ver quais nomes de domínio foram consultados; os recursos da AWS que enviaram as consultas, incluindo IP de origem e ID da instância; e as respostas recebidas.
O Route 53 Resolver é o servidor de DNS da Amazon (às vezes chamado de “AmazonProvidedDNS” ou o “.2 resolver”) que está disponível por padrão em todas as Amazon VPCs. O Route 53 Resolver responde a consultas ao DNS efetuadas por recursos da AWS em uma VPC sobre registros de DNS públicos, nomes de DNS específicos de VPC e zonas hospedadas privadas do Amazon Route 53. Clientes preocupados com a segurança ou sujeitos a mandatos de conformidade podem precisar da capacidade de monitorar, depurar, pesquisar e arquivar um registro das pesquisas de DNS originadas de suas Amazon VPCs. Com o lançamento de hoje, o Route 53 Resolver permite o registro em log de consultas ao DNS de VPCs de clientes e suas respectivas respostas, independentemente de essas consultas serem respondidas localmente pelo Route 53 Resolver, resolvidas pela Internet pública ou encaminhadas para servidores de DNS on-premises por meio de endpoints do Resolver. As consultas ao DNS encaminhadas por servidores de DNS on-premises para VPCs por meio de endpoints de entrada também são registradas em log. Até mesmo as consultas ao DNS efetuadas por funções do AWS Lambda, clusters do Amazon EKS e instâncias do Amazon WorkSpaces podem ser registradas em log. Com o lançamento de hoje, você não precisa mais gerenciar sua própria infraestrutura para registrar em log a atividade de DNS em VPCs.
Você pode ativar e configurar o registro em log de consultas para VPCs específicas usando a API ou o console do Route 53 Resolver. Se precisar registrar em log consultas de várias contas, você pode compartilhar suas configurações desse registro usando o AWS Resource Access Manager (RAM). Também é possível optar por enviar os logs de consulta para o Amazon S3, Amazon CloudWatch Logs ou Amazon Kinesis Data Firehose. Se enviar logs para o CloudWatch, você poderá configurar o CloudWatch para processar os logs automaticamente para converter seus dados em informações mais acionáveis. Por exemplo, com o CloudWatch Contributor Insights, você pode criar regras para gerar dados de alta cardinalidade, como as instâncias que fazem mais consultas ao DNS ao longo do tempo (“principais locutores”) ou os nomes de domínio consultados com mais frequência.
O registro em log de consultas do Route 53 Resolver também está disponível em todas as regiões comerciais da AWS. Não há cobrança adicional para usar o registro em log de consultas, mas o uso do Amazon S3, Amazon CloudWatch ou Amazon Kinesis Data Firehose pode ser cobrado. Para saber mais sobre o registro em log de consultas ou começar a usar, acesse a página de produto ou a documentação do Route 53. Para saber mais sobre os preços das diferentes opções de armazenamento, acesse a página de preços do Amazon CloudWatch.