Amazon Route 53 Global Resolver (預覽)

Route 53 提供兩種具有不同用途的解析程式服務：Global Resolver 任播 DNS 解析程式，可透過網際網路隨時隨地實現全球存取，提供加密的 DNS 查詢 (透過 DoH 或 DoT)，並專為需要安全解析私有和公有網域的內部部署用戶端和多區域部署而設計。相比之下，VPC Resolver (前稱為 Route 53 Resolver) 是每個區域中 Amazon VPC 的預設遞迴解析程式，可透過 VPC 託管的用戶端或透過 VPN 或 Direct Connect 等私有連線經由 Resolver 端點存取，其中 DNS 加密僅適用於經過這些端點的混合查詢。

Route 53 Global Resolver 是一種 DNS 解析程式，可透過網際網路隨時隨地實現全球連線，讓您能夠輕鬆解析和轉寄公有和私有網域的流量，進而幫助確保網際網路查詢的安全性和真實性。Global Resolver 提供可透過全球任播 IP 存取的統一解決方案，從而協助企業簡化查詢解析，即從內部部署、分公司和遠端用戶端向與 AWS 上託管的 Route 53 私有託管區域關聯的公有網域和私有網域發出的查詢。Global Resolver 還提供加密 DNS 連線 (具有 DNS-over-HTTP/DNS-over-TLS) 選項，以及協助管控和封鎖對潛在惡意和低信譽網域的查詢功能，從而協助保護用戶端的 DNS 查詢。 

Global Resolver 應由網路管理員使用，這些管理員須負責管理用戶端的 DNS 解析和連線，以及強制執行符合組織安全要求的 DNS 篩選原則。Global Resolver 還可協助網路管理員降低自訂 DNS 轉寄站的營運成本，其中這些轉寄站可用於轉寄和分割指向公有和私有網域的 DNS 流量。

Global Resolver 為客戶提供三個主要優勢：

1. 簡化 DNS 解析：Global Resolver 可協助客戶簡化 DNS 解析，並將用戶端所做的查詢轉寄至網際網路上的公有網域，以及與客戶託管的 Route 53 私有託管區域關聯的私有網域，從而最大程度地減少設定和維護客戶轉寄解決方案所需的管理、成本和複雜性。
2. 提升安全狀態：Global Resolver 讓管理員能夠透過對內部部署託管的用戶端、分公司或遠端用戶端持續強制執行原則，來提升其組織的整體安全狀態，進而管控和篩選對潛在惡意或低信譽網域的 DNS 查詢。客戶還可以持續存取使用者查詢日誌，讓他們產生詳細的報告，進而協助稽核查詢活動以及遵守安全與業務要求。Global Resolver 可為所有用戶端提供設定、稽核和強制執行原則的單一平台，從而簡化聯網和安全團隊的安全營運。
3. 全球可用性：客戶可以將 Global Resolver 設定為位於多個 AWS 區域，從而協助您隨時隨地回應客戶查詢，同時針對最近的地理位置和延遲進行最佳化。

只需五個簡單步驟，客戶即可開始使用 Global Resolver：

1. 選取要具現化 Global Resolver 的 AWS 區域。 
2. 選取身分驗證機制 (存取來源 (IP ACL) 及/或存取權杖)，以識別用戶端並對其進行身分驗證。對於這兩種身分驗證選項，客戶還必須選取通訊協定類型 (Do53、DoH 或 DoT)。客戶可為不同的 IP 範圍集選取一或多個通訊協定。 
3. 透過指定要套用的網域清單和任何進階 DNS 保護，以及動作 (允許、封鎖、提醒) 和規則優先順序，來設定 DNS 篩選規則。 
4. 識別要將流量轉寄至的 Route 53 私有託管區域。 
5. (選用)：透過指定日誌記錄選項 (Amazon S3、Amazon Data Firehose、Amazon CloudWatch) 以及儲存日誌的 AWS 區域，來設定日誌記錄。

是。使用 VPN 和公司網路的客戶可以使用 Global Resolver。

是。客戶可以跨兩個或多個 AWS 區域具現化服務，也可以跨所有可用區域具現化服務。在客戶執行具現化的區域中，該服務將從地理位置最接近的區域解析查詢。經過身分驗證的客戶裝置可以透過 DNS-over-UDP、DNS-over-HTTPS 或 DNS-over-TLS 連接至一組 (兩個) IPv4 客戶特定的公有可路由的全域任播 IP 位址，進而存取 Global Resolver。

Global Resolver 支援兩種身分驗證機制 1.) 權杖型身分驗證，適用於 DoH 和 DoT 2.) ACL 型 IP 和 CIDR 允許清單，適用於 Do53、DoT 或 DoH。

管理員可以建立 Global Resolver 執行個體，並為其組織中的各種用戶端產生唯一的存取權杖。這些權杖提供靈活的管理選項，包括可自訂的過期期間以及選擇共享權杖或個別權杖。管理員可以輕鬆建立新的權杖，或根據需要撤銷特定權杖。Global Resolver 採用強大的身分驗證程序，可在處理 DNS 查詢之前驗證每個權杖聲明。

允許附帶有效權杖的請求，而對具有無效聲明的請求則會立即拒絕，從而有助於確保對 DNS 解析服務進行安全且受控的存取。

ACL 型允許清單可讓管理員定義可使用該服務的來源 IP 位址或 CIDR 範圍，進而控制對 Global Resolver 的存取。對於每個允許列出的項目，管理員均可指定允許哪些 DNS 通訊協定 (Do53、DoT 或 DoH)。當網路存取需求變更時，管理員可以輕鬆地從允許清單中更新或移除 IP 位址和 CIDR 範圍，以維護安全性。

Global Resolver 的 DNS 篩選功能採用了與 Route 53 Resolver DNS 防火牆相同的經實證功能。管理員會建立包含排序規則清單的 DNS 篩選規則，其中每個規則會指定一個動作 (允許、封鎖或提醒)，以及與網域相符的匹配條件。當 DNS 查詢到達時，Global Resolver 會按照優先順序對照規則對其進行評估，直到找到相符項目為止。每個規則都可以參考 Route 53 受管網域清單，以了解已知威脅、管理員建立的自訂網域清單，或進階威脅保護。對於受管網域清單，管理員可以根據按 Web 內容 (例如遊戲、社交媒體) 和 DNS 威脅 (例如惡意軟體、垃圾郵件或網路釣魚) 分類的網域清單進行篩選。對於「封鎖」動作，管理員可以設定自訂回應、傳回 NXDOMAIN、NODATA 或特定 DNS 回應。「提醒」動作允許進行查詢，同時記錄查詢以供安全審查。

受管網域清單包含與惡意活動或其他不適合工作的網域關聯的網域名稱。AWS 維護這些清單，以便 Route 53 Global Resolver 客戶能夠確保傳出 DNS 查詢可避免這些威脅。受管網域清單按 Web 內容 (例如社交媒體、遊戲、成人網站、賭博等) 和 DNS 威脅 (例如惡意軟體、網路釣魚、垃圾郵件、殭屍網路等) 進行分類

是。Global Resolver 可提供進階保護，以防禦複雜的 DNS 型威脅。特定的安全功能包括：1) 網域產生演算法 (DGA) 偵測：Global Resolver 能夠識別並封鎖可能由 DGA 建立的網域查詢，而惡意軟體通常會利用 DGA 來逃避偵測並同命令與控制伺服器保持通訊；2) DNS 通道偵測：此服務可以偵測並封鎖利用 DNS 作為資料外洩或命令與控制通訊的隱密通道的嘗試。設定 DNS 防火牆規則時，這些進階保護功能可作為選用選項啟用。透過啟用這些保護功能，組織可以大幅提升其防禦能力，以抵禦不斷發展且複雜 DNS 型威脅，從而補充傳統的網域封鎖清單和內容篩選功能。

是。使用 Global Resolver 進行身分驗證的客戶能夠跨 AWS 區域解析 PHZ。

是，Global Resolver 可支援 DNSSEC (域名系統安全性延伸功能) 驗證。啟用後，它將針對 DNSSEC 指派的網域驗證來自公有名稱伺服器 DNS 回應的真實性和完整性。此驗證可確保 DNS 回應在傳輸過程中未遭到竄改，從而提供額外的安全防護層，防止 DNS 詐騙和快取破壞攻擊。管理員可以根據每個 DNS 檢視啟用或停用 DNSSEC 驗證，從而實現靈活的安全組態。 

預覽期間，Global Resolver 可在 11 個商業區域提供。客戶可以選擇在所有這些地區使用 Global Resolver，也可以選擇在特定區域使用。

是。Global Resolver 將支援 EDNS 用戶端子網路，並具有選擇加入功能，可轉寄用戶端提供的用戶端子網路資訊。此功能可實現更準確的基於地理位置的 DNS 回應，從而有可能透過將客戶 DNS 查詢導向更接近的內容交付網路或伺服器，來降低客戶 DNS 查詢的延遲解析。

Global Resolver 設有多種可緩解 DDoS 威脅的機制：1) Global Resolver 依賴 AWS Shield 來抵禦 DDoS 攻擊。2) Global Resolver 還具有自訂動態 DDoS 實作，使用最主要的對話者指標和速率限制，並且基於 Route53 服務團隊在發生任何影響時更新的動態規則。這樣一來，當特定來源 IP 發生大量或頻繁故障時，Global Resolver 可快速做出回應。它還將建置預設限流和負載卸除。

是，客戶需要使用私有託管區域 (PHZ) 進行布設。