Amazon Route 53 Global Resolver (prévia)

O Route 53 oferece dois serviços de resolução com finalidades distintas: Resolvedor global de DNS anycast, que pode ser acessado globalmente pela Internet de qualquer lugar, fornece consultas de DNS criptografadas (via DoH ou DoT) e é projetado para clientes locais e implantações em várias regiões que precisam de resolução segura de domínios públicos e privados. Por outro lado, o VPC Resolver (antigo Route 53 Resolver) é o resolvedor recursivo padrão para seus Amazon VPCs em todas as regiões, acessível por clientes hospedados em VPC ou por meio de conexões privadas, como VPN ou Direct Connect, via endpoints Resolver, com criptografia de DNS disponível somente para consultas híbridas nesses endpoints.

O Route 53 Global Resolver é um resolvedor de DNS acessível globalmente de qualquer lugar pela Internet, permitindo que você resolva e encaminhe facilmente o tráfego para domínios públicos e privados, ajudando a garantir a segurança e a autenticidade das consultas pela Internet. O Global Resolver ajuda as empresas a simplificar a resolução de consultas feitas de clientes on-premises, filiais e remotos a domínios públicos e domínios privados associados às zonas hospedadas privadas do Route 53 hospedadas na AWS, oferecendo uma solução unificada acessível por meio de IPs anycast globais. O Global Resolver também ajuda a proteger as consultas ao DNS para clientes, oferecendo opções para conectividade de DNS criptografada (com DNS-over-HTTPs/DNS-over-TLS) e recursos para ajudar a controlar e bloquear consultas a domínios potencialmente maliciosos e de baixa reputação. 

O Global Resolver deve ser usado por administradores de rede responsáveis por gerenciar a resolução e a conectividade de DNS para clientes e aplicar políticas de filtragem de DNS em conformidade com os mandatos de segurança organizacional. O Global Resolver também ajuda os administradores de rede a reduzir o custo de operar encaminhadores de DNS personalizados usados para encaminhar e dividir o tráfego DNS direcionado a domínios públicos e privados.

O Global Resolver oferece aos clientes três benefícios principais:

1. Resolução de DNS simplificada: o Global Resolver ajuda os clientes a simplificar a resolução de DNS e o encaminhamento de consultas feitas por clientes para domínios públicos na Internet e para domínios privados associados às zonas hospedadas privadas do Route 53 hospedadas pelo cliente, minimizando o gerenciamento, o custo e a complexidade necessários para configurar e manter as soluções de encaminhamento de clientes.
2. Postura de segurança aprimorada: o Global Resolver permite que os administradores melhorem a postura geral de segurança de sua organização aplicando políticas consistentemente para clientes hospedados on-premises, filiais ou clientes remotos, para governar e filtrar consultas ao DNS para domínios potencialmente maliciosos ou de baixa reputação. Os clientes também têm acesso contínuo aos logs de consultas dos usuários, permitindo que eles gerem relatórios detalhados que ajudam a auditar a atividade de consulta e a conformidade com as exigências comerciais e de segurança. O Global Resolver simplifica as operações de segurança para equipes de rede e segurança, fornecendo um único local para configurar, auditar e aplicar políticas para todos os clientes.
3. Disponibilidade global: os clientes podem configurar o Global Resolver para estar em várias regiões da AWS e ajudar a responder às consultas dos clientes de qualquer lugar, ao mesmo tempo em que otimizam a latência e a localização geográfica mais próximas.

Os clientes podem começar a usar o Global Resolver em cinco etapas fáceis:

1. Selecione as regiões da AWS nas quais o Global Resolver será instanciado. 
2. Selecione o mecanismo de autenticação — Origem do acesso (IP ACLs) e/ou token de acesso — para identificar e autenticar clientes. Para ambas as opções de autenticação, os clientes também devem selecionar o tipo de protocolo (Do53, DoH ou DoT). Os clientes podem selecionar um ou mais protocolos para diferentes conjuntos de faixas de IP. 
3. Configure as regras de filtragem de DNS especificando a lista de domínios e todas as proteções avançadas de DNS a serem aplicadas, junto com a ação (permitir, bloquear, alertar) e a prioridade da regra. 
4. Identifique as zonas hospedadas privadas do Route 53 para as quais encaminhar o tráfego. 
5. Opcional: configure o registro em log especificando a opção de registro em log (Amazon S3, Amazon Data Firehose, Amazon CloudWatch) e a região da AWS onde os registros serão armazenados.

Sim. O Global Resolver pode ser usado por clientes que usam VPN e redes corporativas.

Sim. Os clientes podem instanciar o serviço em duas ou mais regiões da AWS ou em todas as regiões disponíveis. Das regiões instanciadas pelo cliente, o serviço resolverá a consulta a partir da região geograficamente mais próxima. O Global Resolver pode ser acessado por dispositivos de clientes autenticados por meio de conexões DNS-over-UDP, DNS-over-HTTPS ou DNS-over-TLS com um conjunto de dois endereços IP anycast globais, roteáveis públicos e específicos do cliente IPv4.

O Global Resolver oferecerá suporte a dois mecanismos de autenticação: 1) Autenticação baseada em token para DoH e DoT e 2) Lista de permissões de IP e CIDR baseada em ACL para Do53, DoT ou DoH.

Os administradores podem estabelecer uma instância do Global Resolver e gerar tokens de acesso exclusivos para vários clientes em sua organização. Esses tokens oferecem opções flexíveis de gerenciamento, incluindo períodos de expiração personalizáveis e a escolha entre tokens compartilhados ou individuais. Os administradores podem criar facilmente novos tokens ou revogar tokens específicos conforme necessário. O Global Resolver emprega um processo de autenticação robusto, validando cada declaração de token antes de processar consultas ao DNS.

Solicitações acompanhadas por tokens válidos são permitidas, enquanto aquelas com reivindicações inválidas são prontamente rejeitadas, ajudando a garantir acesso seguro e controlado aos serviços de resolução de DNS.

A lista de permissões baseada em ACL permite que os administradores controlem o acesso ao Global Resolver definindo quais endereços IP de origem ou intervalos CIDR podem usar o serviço. Para cada entrada permitida na lista, os administradores podem especificar quais protocolos DNS (Do53, DoT ou DoH) são permitidos. Quando os requisitos de acesso à rede mudam, os administradores podem facilmente atualizar ou remover endereços IP e intervalos CIDR da lista de permissões para manter a segurança.

O recurso de filtragem de DNS do Global Resolver aproveita a mesma funcionalidade comprovada do Route 53 Resolver DNS Firewall. Os administradores criam uma regra de filtragem de DNS contendo listas ordenadas de regras, com cada regra especificando uma ação (ALLOW, BLOCK ou ALERT) e um critério correspondente para corresponder aos domínios. Quando chega uma consulta ao DNS, o Global Resolver a avalia de acordo com as regras, em ordem de prioridade, até que uma correspondência seja encontrada. Cada regra pode fazer referência às listas de domínios gerenciados do Route 53 para detectar ameaças conhecidas, listas de domínios personalizadas criadas por administradores ou proteção avançada contra ameaças. Para listas de domínios gerenciados, os administradores podem filtrar com base em listas de domínios classificados por conteúdo da Web (por exemplo, jogos, mídias sociais) e ameaças de DNS, como malware, spam ou phishing. Para ações BLOCK, os administradores podem configurar respostas personalizadas, retornando NXDOMAIN, NODATA ou respostas DNS específicas. As ações de ALERT permitem que a consulta seja concluída e, ao mesmo tempo, a registram em log para análise de segurança.

As listas de domínios gerenciados contêm nomes de domínio associados a atividades maliciosas ou outros domínios não seguros para o trabalho. A AWS mantém essas listas para permitir que os clientes do Route 53 Global Resolver garantam que as consultas ao DNS de saída evitem essas ameaças. As listas de domínios gerenciados são classificadas por conteúdo da Web, como mídias sociais, jogos, sites adultos, jogos de azar etc., e ameaças de DNS, como malware, phishing, spam, botnets etc.

Sim. O Global Resolver oferece proteção avançada contra ameaças sofisticadas baseadas em DNS. Os atributos de segurança específicos incluem: 1) Detecção de algoritmo de geração de domínio (DGA): o Global Resolver pode identificar e bloquear consultas a domínios provavelmente criados por DGAs, que são comumente usados por malware para evitar a detecção e manter a comunicação com servidores de comando e controle; 2) Detecção de tunelamento de DNS: este serviço pode detectar e bloquear tentativas de usar o DNS como um canal secreto para exfiltração de dados ou comunicação de comando e controle. Esses atributos avançados de proteção estão disponíveis como uma opção ao configurar as regras do firewall DNS. Ao habilitar essas proteções, as organizações podem aprimorar significativamente sua defesa contra ameaças complexas e em evolução baseadas em DNS, complementando as listas de bloqueio de domínio tradicionais e a filtragem de conteúdo.

Sim. Os clientes que se autenticam com o Global Resolver podem resolver PHZs em todas as regiões da AWS.

Sim, o Global Resolver oferece suporte à validação de DNSSEC (extensões de segurança do Sistema de Nomes de Domínio). Quando habilitada, ele verificará a autenticidade e a integridade das respostas de DNS de servidores de nomes públicos para domínios atribuídos ao DNSSEC. Essa validação garante que as respostas de DNS não tenham sido adulteradas durante a transmissão, fornecendo uma camada adicional de segurança contra ataques de falsificação de DNS e envenenamento de cache. Os administradores podem habilitar ou desabilitar a validação do DNSSEC por visualização de DNS, permitindo configurações de segurança flexíveis. 

O Global Resolver está disponível em 11 regiões comerciais durante a versão prévia. Os clientes têm a opção de ter o Global Resolver disponível em todas essas regiões ou escolher regiões específicas.

Sim. O Global Resolver oferecerá suporte à sub-rede de cliente EDNS com um recurso opcional para encaminhar as informações da sub-rede do cliente disponibilizadas pelos clientes. Esse atributo permite respostas de DNS mais precisas com base geográfica, potencialmente resultando em uma resolução de menor latência das consultas ao DNS dos clientes, direcionando-as para redes ou servidores de entrega de conteúdo mais próximos.

O Global Resolver tem vários mecanismos para mitigar as ameaças de DDoS: 1) O Global Resolver confia no AWS Shield para se proteger contra ataques de DDoS. 2) O Global Resolver também tem uma implementação dinâmica personalizada de DDoS usando as principais métricas do locutor e limites de taxa com base nas regras dinâmicas atualizadas pela equipe de serviço do Route53 no momento de qualquer impacto. Isso permite que o Global Resolver responda rapidamente no caso de um alto volume ou taxa de falhas de IPs de origem específicos. Ele também compilará o controle de utilização padrão e a redução de carga.

Sim, os clientes precisarão se integrar com zonas hospedadas privadas (PHZ).