Cara kerja Route 53 Resolver DNS Firewall - Amazon Route 53
Komponen dan pengaturan DNS FirewallBagaimana Route 53 Resolver DNS Firewall memfilter kueri DNSLangkah-langkah tingkat tinggi untuk menggunakan DNS FirewallMenggunakan grup aturan DNS Firewall di beberapa Wilayah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja Route 53 Resolver DNS Firewall

Route 53 Resolver DNS Firewall memungkinkan Anda mengontrol akses ke situs dan memblokir ancaman tingkat DNS untuk permintaan DNS outbound dari VPC Anda melalui Route 53 Resolver. Dengan DNS Firewall, Anda menentukan aturan pemfilteran nama domain dalam grup aturan yang Anda kaitkan dengan Anda. VPCs Anda dapat menentukan daftar nama domain untuk mengizinkan atau memblokir, atau Route 53 Resolver DNS Firewall Aturan lanjutan yang menawarkan perlindungan dari tunneling DNS dan ancaman berbasis Domain Generation Algorithm (DGA). Anda dapat menyesuaikan respons untuk kueri DNS yang Anda blokir. Untuk aturan yang berisi daftar domain, Anda juga dapat menyempurnakan aturan untuk mengizinkan jenis kueri tertentu, seperti MX-Records, melalui.

DNS Firewall hanya memfilter pada nama domain. Tidak menyelesaikan nama itu ke alamat IP yang akan diblokir. Selain itu, DNS Firewall menyaring lalu lintas DNS, tetapi tidak menyaring protokol lapisan aplikasi lainnya, seperti HTTPS, SSH, TLS, FTP, dan sebagainya.

Komponen dan pengaturan Route 53 Resolver DNS Firewall

Anda mengelola DNS Firewall dengan komponen pusat dan pengaturan berikut.

Kelompok aturan DNS Firewall

Mendefinisikan bernama, koleksi dapat digunakan kembali aturan DNS Firewall untuk menyaring permintaan DNS. Anda mengisi grup aturan dengan aturan pemfilteran, lalu mengaitkan grup aturan dengan satu atau lebih. VPCs Ketika Anda mengaitkan grup aturan dengan VPC, Anda mengaktifkan penyaringan DNS Firewall untuk VPC. Kemudian, ketika Resolver menerima permintaan DNS untuk VPC yang memiliki grup aturan yang terkait dengan itu, Resolver melewati permintaan ke DNS Firewall untuk pemfilteran.

Jika Anda mengasosiasikan beberapa grup aturan dengan satu VPC, Anda menunjukkan urutan pemrosesannya melalui setelan prioritas di setiap asosiasi. DNS Firewall memproses grup aturan untuk VPC dari pengaturan prioritas numerik terendah ke atas.

Untuk informasi selengkapnya, lihat Grup aturan dan aturan DNS Firewall.

Aturan DNS Firewall

Menentukan aturan pemfilteran untuk kueri DNS dalam grup aturan DNS Firewall. Setiap aturan menentukan satu daftar domain, atau perlindungan DNS Firewall dan tindakan untuk mengambil kueri DNS yang domainnya cocok dengan spesifikasi domain dalam aturan. Anda dapat mengizinkan (aturan hanya dengan daftar domain), memblokir, atau memperingatkan pada kueri yang cocok. Dalam aturan dengan daftar domain, Anda juga dapat menentukan jenis kueri untuk domain dalam daftar, misalnya, Anda dapat memblokir atau mengizinkan jenis kueri MX untuk domain atau domain tertentu. Anda juga dapat menentukan respon kustom untuk kueri yang diblokir.

Untuk aturan DNS Firewall, Anda hanya dapat memblokir atau memperingatkan pada kueri yang cocok.

Setiap aturan dalam grup aturan memiliki setelan prioritas yang unik dalam grup aturan. DNS Firewall memproses aturan dalam grup aturan dari pengaturan prioritas numerik terendah ke atas.

Aturan DNS Firewall hanya ada dalam konteks grup aturan tempat aturan tersebut ditetapkan. Anda tidak dapat menggunakan kembali aturan atau mereferensikannya terlepas dari grup aturannya.

Untuk informasi selengkapnya, lihat Grup aturan dan aturan DNS Firewall.

Daftar domain

Mendefinisikan kumpulan spesifikasi domain bernama yang dapat digunakan kembali untuk digunakan dalam pemfilteran DNS. Setiap aturan dalam grup aturan memerlukan satu daftar domain. Anda dapat memilih untuk menentukan domain yang ingin Anda izinkan aksesnya, domain yang ingin Anda tolak aksesnya, atau kombinasi keduanya. Anda dapat membuat daftar domain Anda sendiri dan Anda dapat menggunakan daftar domain yang AWS mengelola untuk Anda.

Untuk informasi selengkapnya, lihat Daftar domain Route 53 Resolver DNS Firewall.

Pengaturan pengalihan domain (Hanya daftar Domain)

Pengaturan pengalihan domain memungkinkan Anda mengonfigurasi aturan DNS Firewall untuk memeriksa semua domain dalam rantai pengalihan DNS (default), seperti CNAME, DNAME, dll., Atau hanya domain pertama dan mempercayai sisanya. Jika Anda memilih untuk memeriksa seluruh rantai pengalihan DNS, Anda harus menambahkan domain berikutnya ke daftar domain yang disetel ke ALLOW dalam aturan. Jika Anda memilih untuk memeriksa seluruh rantai pengalihan DNS, Anda harus menambahkan domain berikutnya ke daftar domain dan mengatur tindakan yang ingin Anda ambil aturan, baik ALLOW, BLOCK, atau ALERT.

Untuk informasi selengkapnya, lihat Pengaturan aturan di DNS Firewall.

Jenis kueri (hanya daftar Domain)

Pengaturan tipe kueri memungkinkan Anda mengonfigurasi aturan DNS Firewall untuk memfilter jenis kueri DNS tertentu. Jika Anda tidak memilih jenis kueri, aturan diterapkan ke semua jenis kueri DNS. Misalnya, Anda mungkin ingin memblokir semua jenis kueri untuk domain tertentu, tetapi mengizinkan catatan MX.

Untuk informasi selengkapnya, lihat Pengaturan aturan di DNS Firewall.

DNS Firewall Perlindungan tingkat lanjut

Mendeteksi kueri DNS yang mencurigakan berdasarkan tanda tangan ancaman yang diketahui dalam kueri DNS. Setiap aturan dalam grup aturan memerlukan satu pengaturan perlindungan DNS Firewall Advanced. Anda dapat memilih perlindungan dari:

  • Algoritma Pembuatan Domain () DGAs

    DGAs digunakan oleh penyerang untuk menghasilkan sejumlah besar domain untuk meluncurkan serangan malware.

  • Terowongan DNS

    Tunneling DNS digunakan oleh penyerang untuk mengekstrasi data dari klien dengan menggunakan terowongan DNS tanpa membuat koneksi jaringan ke klien.

Dalam aturan DNS Firewall Advanced, Anda dapat memilih untuk memblokir, atau memberi peringatan pada kueri yang cocok dengan ancaman. Algoritma perlindungan ancaman dikelola dan diperbarui oleh AWS.

Untuk informasi selengkapnya, lihat Route 53 Resolver DNS Firewall Lanjutan.

Ambang kepercayaan (hanya perlindungan DNS Firewall Advanced)

Ambang batas kepercayaan untuk perlindungan ancaman DNS. Anda harus memberikan nilai ini ketika Anda membuat aturan DNS Firewall Advanced. Nilai tingkat kepercayaan berarti:

  • Tinggi — Mendeteksi hanya ancaman yang paling dikuatkan dengan tingkat positif palsu yang rendah.

  • Medium — Menyediakan keseimbangan antara mendeteksi ancaman dan positif palsu.

  • Rendah — Memberikan tingkat deteksi tertinggi untuk ancaman, tetapi juga meningkatkan positif palsu.

Untuk informasi selengkapnya, lihat Pengaturan aturan di DNS Firewall.

Asosiasi antara grup aturan DNS Firewall dan VPC

Menentukan perlindungan untuk VPC menggunakan grup aturan DNS Firewall dan mengaktifkan konfigurasi Resolver DNS Firewall untuk VPC.

Jika Anda mengasosiasikan beberapa grup aturan dengan satu VPC, Anda menunjukkan urutan pemrosesannya melalui setelan prioritas dalam asosiasi. DNS Firewall memproses grup aturan untuk VPC dari pengaturan prioritas numerik terendah ke atas.

Untuk informasi selengkapnya, lihat Mengaktifkan perlindungan Route 53 Resolver DNS Firewall untuk VPC Anda.

Konfigurasi Resolver DNS Firewall untuk VPC

Menentukan bagaimana Resolver harus menangani perlindungan DNS Firewall di tingkat VPC. Konfigurasi ini berlaku setiap kali Anda memiliki setidaknya satu grup aturan DNS Firewall yang terkait dengan VPC.

Konfigurasi ini menentukan bagaimana Route 53 Resolver menangani kueri saat DNS Firewall gagal memfilternya. Secara default, jika Resolver tidak menerima respons dari DNS Firewall untuk permintaan, Resolver gagal ditutup dan memblokir permintaan.

Untuk informasi selengkapnya, lihat Konfigurasi VPC DNS Firewall.

Memantau tindakan DNS Firewall

Anda dapat menggunakan Amazon CloudWatch untuk memantau jumlah kueri DNS yang difilter oleh grup aturan DNS Firewall. CloudWatch mengumpulkan dan memproses data mentah menjadi metrik yang dapat dibaca, mendekati waktu nyata.

Untuk informasi selengkapnya, lihat Memantau Route 53 Resolver DNS Firewall grup aturan dengan Amazon CloudWatch.

Anda dapat menggunakan Amazon EventBridge, layanan tanpa server yang menggunakan peristiwa untuk menghubungkan komponen aplikasi bersama-sama, untuk membangun aplikasi berbasis peristiwa yang dapat diskalakan.

Untuk informasi selengkapnya, lihat Mengelola peristiwa Route 53 Resolver DNS Firewall menggunakan Amazon EventBridge.

Bagaimana Route 53 Resolver DNS Firewall memfilter kueri DNS

Ketika grup aturan DNS Firewall terkait dengan Route 53 Resolver VPC, lalu lintas berikut disaring oleh firewall:

  • Kueri DNS yang berasal dari VPC itu dan melewati VPC DNS.

  • Permintaan DNS yang melewati titik akhir Resolver dari sumber daya lokal ke VPC yang sama yang memiliki DNS Firewall yang terkait dengan resolver.

Saat DNS Firewall menerima kueri DNS, Firewall memfilter kueri menggunakan grup aturan, aturan, dan pengaturan lain yang telah Anda konfigurasikan dan mengirimkan hasilnya kembali ke Resolver:

  • DNS Firewall mengevaluasi permintaan DNS menggunakan grup aturan yang terkait dengan VPC sampai menemukan kecocokan atau kehabisan semua kelompok aturan. DNS Firewall mengevaluasi kelompok aturan dalam urutan prioritas yang Anda tetapkan dalam asosiasi, dimulai dengan pengaturan numerik terendah. Untuk informasi selengkapnya, silakan lihat Grup aturan dan aturan DNS Firewall dan Mengaktifkan perlindungan Route 53 Resolver DNS Firewall untuk VPC Anda.

  • Dalam setiap grup aturan, DNS Firewall mengevaluasi kueri DNS terhadap daftar domain masing-masing aturan atau perlindungan DNS Firewall Advanced hingga menemukan kecocokan atau kehabisan semua aturan. DNS Firewall mengevaluasi aturan dalam urutan prioritas, dimulai dengan pengaturan numerik terendah. Untuk informasi selengkapnya, lihat Grup aturan dan aturan DNS Firewall.

  • Ketika DNS Firewall menemukan kecocokan dengan daftar domain aturan, atau anomali yang diidentifikasi oleh proteksi aturan DNS Firewall Advanced, itu mengakhiri evaluasi kueri dan merespons Resolver dengan hasilnya. Jika tindakan adalah alert, DNS Firewall juga mengirimkan peringatan ke log Resolver dikonfigurasi. Lihat informasi selengkapnya di Aturan tindakan di DNS Firewall, Daftar domain Route 53 Resolver DNS Firewall, dan Route 53 Resolver DNS Firewall Lanjutan.

  • Jika DNS Firewall mengevaluasi semua grup aturan tanpa menemukan kecocokan, DNS Firewall merespons kueri seperti biasa.

Resolver merutekan kueri sesuai dengan respons dari DNS Firewall. Jika DNS Firewall gagal merespons, Resolver menerapkan mode kegagalan DNS Firewall yang dikonfigurasi VPC. Untuk informasi selengkapnya, lihat Konfigurasi VPC DNS Firewall.

Langkah-langkah tingkat tinggi untuk menggunakan Route 53 Resolver DNS Firewall

Untuk menerapkan pemfilteran Route 53 Resolver DNS Firewall di Amazon Virtual Private Cloud VPC, Anda melakukan langkah-langkah tingkat tinggi berikut.

  • Tentukan pendekatan pemfilteran, daftar domain, atau perlindungan DNS Firewall — Tentukan cara memfilter kueri, mengidentifikasi spesifikasi domain yang Anda perlukan, dan tentukan logika yang akan Anda gunakan untuk mengevaluasi kueri. Misalnya, Anda mungkin ingin mengizinkan semua kueri kecuali kueri yang ada dalam daftar domain buruk yang diketahui. Atau Anda mungkin ingin melakukan yang sebaliknya dan memblokir semua kecuali daftar domain yang disetujui, dalam apa yang dikenal sebagai pendekatan walled garden. Anda dapat membuat dan mengelola daftar sendiri spesifikasi domain yang disetujui atau diblokir dan Anda dapat menggunakan daftar domain yang AWS mengelola untuk Anda. Untuk perlindungan DNS Firewall, Anda dapat memfilter kueri dengan memblokir semuanya, atau Anda dapat memberi tahu lalu lintas kueri yang mencurigakan ke domain yang mungkin berisi anomali yang terkait dengan ancaman (DGA, DNS tunneling) untuk menguji pengaturan DNS Firewall Anda. Untuk informasi selengkapnya, silakan lihat Daftar domain Route 53 Resolver DNS Firewall dan Route 53 Resolver DNS Firewall Lanjutan.

  • Membuat grup aturan firewall – Di DNS Firewall, buat grup aturan untuk memfilter kueri DNS untuk VPC Anda. Anda harus membuat grup aturan di setiap Wilayah tempat Anda ingin menggunakannya. Anda mungkin juga ingin memisahkan perilaku pemfilteran Anda menjadi lebih dari satu grup aturan untuk digunakan kembali dalam beberapa skenario pemfilteran untuk perbedaan Anda. VPCs Untuk informasi tentang grup aturan, lihat Grup aturan dan aturan DNS Firewall.

  • Menambahkan dan mengonfigurasi aturan Anda – Tambahkan aturan ke grup aturan Anda untuk setiap daftar domain dan perilaku pemfilteran yang Anda inginkan agar diberikan oleh grup aturan. Tetapkan setelan prioritas untuk aturan Anda sehingga aturan tersebut diproses dalam urutan yang benar dalam grup aturan, dengan memberikan prioritas terendah pada aturan yang ingin Anda evaluasi terlebih dahulu. Untuk informasi tentang aturan, lihat Grup aturan dan aturan DNS Firewall.

  • Kaitkan grup aturan ke VPC Anda – Untuk mulai menggunakan grup aturan DNS Firewall Anda, kaitkan dengan VPC Anda. Jika Anda menggunakan lebih dari satu grup aturan untuk VPC Anda, tetapkan prioritas setiap asosiasi sehingga grup aturan diproses dalam urutan yang benar, dengan memberikan prioritas terendah ke grup aturan yang ingin Anda evaluasi terlebih dahulu. Untuk informasi selengkapnya, lihat Mengelola asosiasi antara grup aturan VPC dan Route 53 Resolver DNS Firewall.

  • (Opsional) Ubah konfigurasi firewall untuk VPC – Jika Anda ingin Firewall Route 53 memblokir kueri saat DNS Firewall gagal mengirimkan respons untuk mereka, di Resolver, ubah konfigurasi DNS Firewall VPC. Untuk informasi selengkapnya, lihat Konfigurasi VPC DNS Firewall.

Menggunakan grup aturan Route 53 Resolver DNS Firewall di beberapa Wilayah

Route 53 Resolver DNS Firewall adalah layanan Regional, sehingga objek yang Anda buat di satu AWS Wilayah hanya tersedia di Wilayah tersebut. Untuk menggunakan grup aturan yang sama di lebih dari satu Wilayah, Anda harus membuatnya di setiap Wilayah.

AWS Akun yang membuat grup aturan dapat membagikannya dengan AWS akun lain. Untuk informasi selengkapnya, lihat Berbagi Route 53 Resolver DNS Firewall grup aturan antar akun AWS.