Publicado: Apr 7, 2021
Na semana passada, a AWS anunciou o Firewall DNS do Amazon Route 53 Resolver, um firewall gerenciado que permite aos clientes bloquear consultas DNS feitas para domínios mal-intencionados conhecidos e autorizar consultas para domínios confiáveis. O Firewall DNS fornece um controle mais granular sobre o comportamento de consultas DNS dos recursos dentro das suas Amazon Virtual Private Clouds (VPCs).
O Firewall DNS do Route 53 Resolver permite que você crie “listas de bloqueios” para domínios com os quais não deseja que seus recursos de VPC se comuniquem via DNS. Você também pode adotar uma abordagem de isolamento mais rigorosa, criando “listas de permissão” que permitem consultas DNS de saída apenas para domínios especificados. Você também pode criar alertas para quando as consultas DNS de saída correspondem a determinadas regras de firewall, permitindo testar suas regras antes de as implantar no tráfego de produção. O Firewall DNS do Route 53 Resolver oferece duas listas de domínios gerenciados (domínios de malware e domínios de comando e controle de botnet), permitindo que você comece rapidamente com proteções gerenciadas contra ameaças comuns.
O Firewall DNS do Route 53 Resolver está integrado ao AWS Firewall Manager, que permite enviar regras em várias contas e VPCs a partir de uma única conta de administrador. Como alternativa, os clientes também podem optar por compartilhar diretamente suas regras de firewall em suas contas usando o AWS Resource Access Manager (RAM). Com Logs de consulta do Route 53 Resolver, você pode obter registros sobre informações de nível de instância para seu firewall, como consultas bloqueadas e permitidas para cada recurso de VPC. Se você optar por armazenar seus logs em grupos de logs do CloudWatch, poderá usar o CloudWatch Contributor Insights para criar regras para gerar dados de alta cardinalidade, como os principais recursos que fazem a maioria das consultas que estão sendo bloqueadas pelo firewall.
O Firewall DNS do Amazon Route 53 Resolver está agora geralmente disponível em todas as regiões comerciais AWS e nas regiões AWS GovCloud (EUA). Para começar a usar esse recurso, consulte a documentação do Route 53. Para saber mais sobre preços, consulte a página de preços do Route 53.