Menggunakan DNS Firewall untuk menyaring lalu lintas keluar DNS - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan DNS Firewall untuk menyaring lalu lintas keluar DNS

Dengan Route 53 Resolver DNS Firewall, Anda dapat memfilter dan mengatur DNS lalu lintas keluar untuk cloud pribadi virtual Anda (). VPC Untuk melakukan ini, Anda membuat koleksi aturan pemfilteran yang dapat digunakan kembali di grup aturan DNS Firewall, mengaitkan grup aturan dengan AndaVPC, dan kemudian memantau aktivitas di log dan DNS metrik Firewall. Berdasarkan aktivitas, Anda dapat menyesuaikan perilaku DNS Firewall yang sesuai.

DNSFirewall memberikan perlindungan untuk DNS permintaan keluar dari AndaVPCs. Permintaan ini merutekan melalui Resolver untuk resolusi nama domain. Penggunaan utama perlindungan DNS Firewall adalah untuk membantu mencegah DNS eksfiltrasi data Anda. DNSEksfiltrasi dapat terjadi ketika aktor yang buruk mengkompromikan instance aplikasi di Anda VPC dan kemudian menggunakan DNS pencarian untuk mengirim data keluar dari domain yang VPC mereka kendalikan. Dengan DNS Firewall, Anda dapat memantau dan mengontrol domain yang dapat ditanyakan aplikasi Anda. Anda dapat menolak akses ke domain yang Anda tahu buruk dan mengizinkan semua kueri lainnya untuk melewatinya. Sebagai alternatif, Anda dapat menolak akses ke semua domain kecuali domain yang Anda percayai secara eksplisit.

Anda juga dapat menggunakan DNS Firewall untuk memblokir permintaan resolusi ke sumber daya di zona yang dihosting pribadi (bersama atau lokal) termasuk nama VPC titik akhir. Itu juga dapat memblokir permintaan untuk nama EC2 instans Amazon publik atau pribadi.

DNSFirewall adalah fitur Route 53 Resolver dan tidak memerlukan pengaturan Resolver tambahan untuk digunakan.

AWS Firewall Manager mendukung DNS Firewall

Anda dapat menggunakan Firewall Manager untuk mengonfigurasi dan mengelola asosiasi grup aturan DNS Firewall secara terpusat untuk VPCs seluruh akun Anda. AWS Organizations Firewall Manager secara otomatis menambahkan asosiasi untuk VPCs itu masuk ke dalam cakupan kebijakan Firewall Manager DNS Firewall Anda. Untuk informasi selengkapnya, lihat AWS Firewall Managerdi AWS WAF AWS Firewall Manager, dan Panduan AWS Shield Advanced Pengembang.

Bagaimana DNS Firewall bekerja dengan AWS Network Firewall

DNSFirewall dan Network Firewall keduanya menawarkan pemfilteran nama domain, tetapi untuk berbagai jenis lalu lintas. Dengan DNS Firewall dan Network Firewall bersama-sama, Anda dapat mengonfigurasi pemfilteran berbasis domain untuk lalu lintas lapisan aplikasi melalui dua jalur jaringan yang berbeda.

  • DNSFirewall menyediakan pemfilteran untuk DNS kueri keluar yang melewati Route 53 Resolver dari aplikasi di dalam Anda. VPCs Anda juga dapat mengonfigurasi DNS Firewall untuk mengirim tanggapan khusus untuk kueri ke nama domain yang diblokir.

  • Network Firewall menyediakan penyaringan untuk lalu lintas lapisan jaringan dan aplikasi, tetapi tidak memiliki visibilitas ke permintaan yang dibuat oleh Route 53 Resolver.

Untuk informasi selengkapnya tentang Network Firewall, lihat Panduan Developer Network Firewall.