View a markdown version of this page

Casos de uso de segurança de DNS e horizonte dividido para o Route 53 Global Resolver - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Casos de uso de segurança de DNS e horizonte dividido para o Route 53 Global Resolver

O Route 53 Global Resolver aborda três desafios principais de DNS para organizações:

Habilitando a divisão de tráfego entre a resolução de DNS pública e privada

Habilite o acesso global a zonas hospedadas privadas (PHZs) no Amazon Route 53 de qualquer local e, ao mesmo tempo, resolva domínios públicos na Internet. Permita que locais remotos e filiais resolvam nomes de aplicativos internos sem configurações complexas de VPN ou encaminhamento específico da região. Implemente o DNS de horizonte dividido para fornecer respostas de DNS diferentes com base no cliente que faz a consulta, ajudando clientes remotos a resolver consultas para domínios públicos e privados.

Protegendo o tráfego DNS contra ataques de exfiltração de DNS

Proteja locais remotos e filiais contra ataques de exfiltração de dados baseados em DNS filtrando consultas para domínios maliciosos. Melhore a privacidade criptografando o tráfego DNS em trânsito usando DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT) para que somente clientes autorizados possam acessar seus serviços de DNS. Aplique políticas de segurança para bloquear ameaças, como tunelamento de DNS e algoritmos de geração de domínio (). DGAs Valide a autenticidade da resposta DNS usando DNSSEC (Domain Name System Security Extensions) para domínios assinados pelo DNSSEC para se proteger contra ataques de falsificação de DNS e envenenamento de cache.

Alta disponibilidade e presença global

Obtenha alta disponibilidade por meio da implantação global e mantenha uma configuração consistente de DNS em todo o mundo a partir de uma única interface de gerenciamento. O Route 53 Global Resolver é executado em todas as opções que Regiões da AWS você escolher, usando endereços IP anycast que roteiam automaticamente as consultas para a região disponível mais próxima para obter desempenho e confiabilidade ideais. Empresas globais podem configurar e gerenciar políticas de DNS de forma centralizada e, ao mesmo tempo, fornecer aos clientes um único conjunto de endereços IP que funcionam globalmente com otimização geográfica automática. A redundância integrada foi projetada para ajudar a manter a continuidade do serviço mesmo se regiões individuais ficarem indisponíveis.

Recursos adicionais oferecem suporte a esses casos de uso primários:

Implementando políticas de conteúdo e filtragem de DNS

Controle o acesso à Internet em vários locais criando listas de domínios personalizadas ou usando listas de domínios AWS gerenciados. Para ajudá-lo a implementar políticas de filtragem e conteúdo de acordo com suas necessidades, as listas de domínios gerenciados incluem várias categorias de ameaças de DNS que abrangem vários domínios. Configure a Fonte de Acesso usando listas de permissões de IP ou Tokens de Acesso e configure diferentes políticas de filtragem para diferentes escritórios ou grupos de clientes.

Autenticação flexível para diferentes cenários de implantação

Escolha o método de autenticação que funciona melhor para sua implantação: autenticação baseada em token ou autenticação baseada em IP usando as listas de permissões do intervalo CIDR de origem.

Mantendo a visibilidade e a conformidade

Monitore a atividade de DNS em toda a sua organização entregando registros para Amazon CloudWatch, Firehose ou Amazon Simple Storage Service. Escolha uma única região de destino para armazenamento centralizado de registros para apoiar auditorias de segurança, requisitos de conformidade e investigação de ameaças.