Uso do DNS Firewall para filtrar tráfego de DNS de entrada
Com o Firewall DNS do Route 53 Resolver, você pode filtrar e regular o tráfego DNS de saída para sua nuvem privada virtual (VPC). Para fazer isso, você cria coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall DNS, associa os grupos de regras à sua VPC e monitora a atividade em logs e métricas do Firewall DNS. Com base na atividade, você pode ajustar o comportamento do Firewall DNS adequadamente.
O Firewall DNS fornece proteção para solicitações DNS de saída de suas VPCs. Essas solicitações são encaminhadas através do Resolver para resolução de nomes de domínio. Um uso principal das proteções do Firewall DNS é ajudar a impedir a exfiltração de DNS de seus dados. A exfiltração de DNS pode ocorrer quando um ator proibido compromete uma instância da aplicação em sua VPC e, em seguida, usa a pesquisa DNS para enviar dados da VPC para um domínio que eles controlam. Com o Firewall DNS, você pode monitorar e controlar os domínios que as aplicações podem consultar. Você pode negar acesso aos domínios que você sabe que são incorretos e permitir que todas as outras consultas passem. Como alternativa, você pode negar acesso a todos os domínios, exceto aqueles em que você confia explicitamente.
Você também pode usar o Firewall DNS para bloquear solicitações de resolução para recursos em zonas hospedadas privadas (compartilhadas ou locais), incluindo nomes de endpoint da VPC. Ele também pode bloquear solicitações de nomes de instâncias públicas ou privadas do Amazon EC2.
O Firewall DNS é um recurso do Route 53 Resolver e não requer nenhuma configuração adicional do Resolver para usar.
O AWS Firewall Manager suporta Firewall DNS
Você pode usar o Firewall Manager para configurar e gerenciar centralmente suas associações de grupos de regras do Firewall DNS para suas VPCs em suas contas no AWS Organizations. O Firewall Manager adiciona automaticamente associações para VPCs que entram no escopo de sua política de Firewall DNS do Firewall Manager. Para obter mais informações, consulte AWS Firewall Manager no Guia do desenvolvedor do AWS WAF, AWS Firewall Manager e AWS Shield Advanced.
Como o Firewall DNS funciona com o AWS Network Firewall
O Firewall DNS e o Network Firewall oferecem filtragem de nomes de domínio, mas para diferentes tipos de tráfego. Com o Firewall DNS e o Network Firewall juntos, você pode configurar a filtragem baseada em domínio para o tráfego da camada de aplicação em dois caminhos de rede diferentes.
-
O Firewall DNS fornece filtragem para consultas de DNS de saída que passam pelo Route 53 Resolver a partir de aplicações dentro de suas VPCs. Você também pode configurar o Firewall DNS para enviar respostas personalizadas para consultas a nomes de domínio bloqueados.
-
O Network Firewall fornece filtragem para tráfego de camada de rede e aplicação, mas não tem visibilidade em consultas feitas pelo Route 53 Resolver.
Para obter mais informações sobre Network Firewall, consulte o Guia do desenvolvedor do Network Firewall.