Publicado: Mar 31, 2021

A AWS anunciou hoje o lançamento do Firewall DNS do Amazon Route 53 Resolver, um firewall gerenciado que permite aos clientes bloquear consultas DNS feitas para domínios mal-intencionados conhecidos e autorizar consultas para domínios confiáveis. O Firewall DNS fornece um controle mais granular sobre o comportamento de consultas DNS dos recursos dentro das suas Amazon Virtual Private Clouds (VPCs).  

O Route 53 Resolver é um servidor DNS (às vezes chamado de “AmazonProvidedDNS” ou o “.2 resolver”) que está disponível por padrão em todas as Amazon VPCs. O Route 53 Resolver responde a consultas DNS provenientes de recursos da AWS em uma VPC para registros de DNS públicos, nomes de domínio específicos de VPC e zonas hospedadas privadas do Route 53. Os clientes solicitaram um controle mais preciso sobre as consultas DNS que os recursos dentro de suas VPCs são capazes de fazer. Esses clientes podem estar preocupados com a exfiltração de DNS (em que atores mal-intencionados usam consultas DNS para contrabandear dados confidenciais de redes) ou podem simplesmente querer exercer maior controle sobre os sites que os usuários dentro de suas organizações têm permissão para acessar.

O Firewall DNS do Route 53 Resolver permite que você crie “listas de bloqueios” para domínios com os quais não deseja que seus recursos de VPC se comuniquem via DNS. Você também pode adotar uma abordagem de isolamento mais rigorosa, criando “listas de permissão” que permitem consultas DNS de saída apenas para domínios especificados. Você também pode criar alertas para quando as consultas DNS de saída correspondem a determinadas regras de firewall, permitindo testar suas regras antes de as implantar no tráfego de produção. O Firewall DNS do Route 53 Resolver oferece duas listas de domínios gerenciados (domínios de malware e domínios de comando e controle de botnet), permitindo que você comece rapidamente com proteções gerenciadas contra ameaças comuns.

Se você usar o AWS Organizations para gerenciar várias contas da AWS, poderá usar o AWS Firewall Manager para implantar regras de Firewall DNS do Route 53 Resolver em várias contas e VPCs a partir de uma única conta de administrador. O Firewall Manager oferece aos administradores de segurança um único local para configurar e gerenciar centralmente diferentes conjuntos de regras de firewall para as suas organizações e detecta automaticamente quaisquer novas contas e recursos para colocá-los em conformidade com o conjunto de regras de segurança da organização. Com o Firewall DNS do Route 53 Resolver, os clientes podem implantar regras de firewall DNS centralmente em contas, unidades organizacionais (UOs) e VPCs em suas organizações. Como alternativa, os clientes também podem optar por compartilhar diretamente suas regras de firewall em suas contas usando o AWS Resource Access Manager (RAM). O AWS Resource Access Manager permite que os clientes compartilhem centralmente recursos da AWS de vários serviços da AWS com outras contas da AWS. Eles podem utilizar o Amazon CloudWatch Metrics para entender o número de consultas DNS que estão sendo bloqueadas ou permitidas pelo firewall, até o nível das regras. Eles também podem habilitar o registro em log usando o Logs de consulta do Route 53 Resolver para obter informações em nível de instância sobre consultas bloqueadas e permitidas para cada recurso da VPC. Se você optar por armazenar seus logs em grupos de logs do CloudWatch, poderá usar o CloudWatch Contributor Insights para criar regras para gerar dados de alta cardinalidade, como os principais recursos que fazem a maioria das consultas que estão sendo bloqueadas pelo firewall.

O Firewall DNS do Amazon Route 53 Resolver agora está disponível nas regiões Leste dos EUA (Norte da Virgínia), UE (Irlanda), Ásia-Pacífico (Mumbai) e Oeste dos EUA (Oregon), com implantação em todas as outras regiões comerciais da AWS e regiões AWS GovCloud (EUA) nos próximos dias. Para começar a usar esse recurso, consulte a documentação do Route 53. Para saber mais sobre preços, consulte a página de preços do Route 53