Editor Top
|
|
Hoy anunciamos Amazon Route 53 Global Resolver, un nuevo servicio de Amazon Route 53 que proporciona resolución DNS segura y confiable a nivel mundial para consultas desde cualquier lugar (vista previa). Puede utilizar Global Resolver para resolver consultas de DNS a dominios públicos en Internet y dominios privados asociados con zonas alojadas privadas de Route 53. Route 53 Global Resolver ofrece a los administradores de red una solución unificada para resolver consultas de clientes y fuentes autenticados en centros de datos locales, sucursales y ubicaciones remotas a través de direcciones IP anycast distribuidas globalmente. Este servicio incluye controles de seguridad integrados que incluyen filtrado de tráfico DNS, soporte para consultas cifradas y registro centralizado para ayudar a las organizaciones a reducir la sobrecarga operativa mientras mantienen el cumplimiento de los requisitos de seguridad.
Las organizaciones con implementaciones híbridas enfrentan una complejidad operativa al administrar la resolución de DNS en entornos distribuidos. Resolver dominios públicos de Internet y dominios de aplicaciones privadas a menudo requiere mantener una infraestructura DNS dividida, lo que aumenta el costo y la carga administrativa, especialmente cuando se replica en múltiples ubicaciones. Los administradores de red deben configurar soluciones de reenvío personalizadas, implementar puntos finales de Route 53 Resolver para resolución de dominio privado e implementar controles de seguridad separados en diferentes ubicaciones. Además, deben configurar y mantener estrategias de conmutación por error en varias regiones para los puntos finales de Route 53 Resolver y proporcionar una aplicación coherente de políticas de seguridad en todas las regiones mientras se prueban escenarios de conmutación por error.
Route 53 Global Resolver tiene capacidades clave que abordan estos desafíos. El servicio resuelve tanto dominios públicos de Internet como zonas alojadas privadas de Route 53, eliminando la necesidad de reenvío de DNS dividido por separado. Proporciona resolución de DNS a través de múltiples protocolos, incluidos DNS sobre UDP (Do53), DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT). Cada implementación proporciona un único conjunto de direcciones IP de difusión general IPv4 e IPv6 comunes que enrutan las consultas a la región de AWS más cercana, lo que reduce la latencia para las poblaciones de clientes distribuidos.
Route 53 Global Resolver proporciona funciones de seguridad integradas equivalentes a Route 53 Resolver DNS Firewall. Los administradores pueden configurar reglas de filtrado mediante listas de dominios administrados de AWS que brindan controles flexibles con listas clasificadas por amenazas de DNS (malware, spam, phishing) o contenido web (sitios para adultos, juegos de apuestas, redes sociales) que podrían no ser seguros para el trabajo o crear listas de dominios personalizadas importando dominios desde un archivo. La protección avanzada contra amenazas detecta y bloquea patrones de algoritmos de generación de dominios (DGA) e intentos de creación de túneles DNS. Para el tráfico DNS cifrado, Route 53 Global Resolver admite los protocolos DoH y DoT para proteger las consultas del acceso no autorizado durante el tránsito.
Route 53 Global Resolver solo acepta tráfico de clientes conocidos que necesitan autenticarse con Resolver. Para conexiones Do53, DoT y DoH, los administradores pueden configurar listas permitidas de IP y CIDR. Para las conexiones DoH y DoT, la autenticación basada en token proporciona control de acceso granular con períodos de vencimiento personalizables y capacidades de revocación. Los administradores pueden asignar tokens a grupos de clientes específicos o dispositivos individuales según los requisitos de la organización.
Route 53 Global Resolver admite la validación DNSSEC para verificar la autenticidad y la integridad de las respuestas DNS de los servidores de nombres públicos. También incluye soporte para la subred del cliente EDNS, que reenvía información de la subred del cliente para permitir respuestas DNS geográficas más precisas desde las redes de entrega de contenido.
Primeros pasos con Route 53 Global Resolver
Este tutorial muestra cómo configurar Route 53 Global Resolver para una organización con oficinas en las costas este y oeste de EE. UU. que necesita resolver dominios públicos y aplicaciones privadas alojadas en zonas hospedadas privadas de Route 53. Para configurar Route 53 Global Resolver, vaya a la Consola de administración de AWS, elija Resolvedores globales en el panel de navegación y elija Crear solucionador global.
En el Detalles del solucionador sección, ingrese un Nombre del solucionador como corporate-dns-resolver. Agregue una descripción opcional como DNS resolver for corporate offices and remote clients. En el Regiones elija las regiones de AWS donde desea que funcione el solucionador, como EE. UU. Este (Norte de Virginia) y EE. UU. Oeste (Oregón). La arquitectura Anycast enruta las consultas DNS de sus clientes a la región seleccionada más cercana.
Una vez creado el solucionador, la consola muestra los detalles del solucionador, incluidas las direcciones IPv4 e IPv6 de anycast que utilizará para las consultas DNS. Puede proceder a crear una vista DNS eligiendo Crear vista DNS para configurar la autenticación del cliente y la configuración de resolución de consultas DNS.
En el Crear vista DNS sección, ingrese un Nombre de vista DNS como primary-view y opcionalmente agregar un Descripción como DNS view for corporate offices. Una vista de DNS le ayuda a crear diferentes agrupaciones lógicas para sus clientes y fuentes, y a determinar la resolución de DNS para esos grupos. Esto le ayuda a mantener diferentes reglas de filtrado de DNS y políticas de resolución de zonas alojadas privadas para diferentes clientes de su organización.
Para Validación DNSSECelegir Permitir para verificar la autenticidad de las respuestas DNS de los servidores DNS públicos. Para Las reglas del firewall fallan en el comportamiento de aperturaelegir Desactivar para bloquear consultas de DNS cuando no se pueden evaluar las reglas del firewall, lo que proporciona seguridad adicional. Para Subred del cliente EDNSmantener Permitir seleccionado para reenviar información de ubicación del cliente a servidores DNS, lo que permite que las redes de entrega de contenido proporcionen respuestas geográficas más precisas. La creación de la vista DNS puede tardar unos minutos en estar operativa.
Una vez creada y operativa la vista DNS, configure las reglas del Firewall DNS para filtrar el tráfico de red eligiendo Crear regla. En el Crear reglas de firewall DNS sección, ingrese un Nombre de la regla como block-malware-domains y opcionalmente agregar una descripción. Para Tipo de configuración de reglapuedes elegir Listas de dominios administradas por el cliente, Listas de dominios administrados por AWS proporcionada por AWS o Firewall DNS Protección avanzada.
Para este tutorial, elija Listas de dominios administrados por AWS. En el Listas de dominios menú desplegable, elija una o más listas administradas por AWS, como Amenaza: malware para bloquear dominios maliciosos conocidos. puedes irte Tipo de consulta vacío para aplicar la regla a todos los tipos de consultas DNS. En este ejemplo, elija A aplicar esta regla solo a consultas de direcciones IPv4. En el Acción de regla sección, seleccione Bloquear para evitar la resolución de DNS para dominios que coinciden con las listas seleccionadas. Para Respuesta para enviar para acción de bloqueomantener NODATOS seleccionado para indicar que la consulta fue exitosa pero no hay respuesta disponible, luego elija Crear reglas.
El siguiente paso es configurar las fuentes de acceso para especificar qué direcciones IP o bloques CIDR pueden enviar consultas DNS al solucionador. Navega hasta el Fuentes de acceso pestaña en el vista DNS y luego elegir Crear fuente de acceso.
En el Acceder a los detalles de la fuente sección, ingrese un Nombre de la regla como office-networks para identificar la fuente de acceso. En el bloque CIDR ingrese el rango de direcciones IP de sus oficinas para permitir consultas desde esa red. Para Protocoloseleccionar hacer53 para consultas DNS estándar a través de UDP o elija Departamento de Salud o Punto si desea solicitar conexiones DNS cifradas de los clientes. Después de configurar estos ajustes, elija Crear fuente de acceso para permitir que la red especificada envíe consultas DNS al solucionador.
A continuación, navegue hasta el tokens de acceso pestaña en el vista DNS para crear autenticación basada en token para clientes y elegir Crear token de acceso. En el Detalles del token de acceso sección, ingrese un Nombre del token como remote-clients-token. Para Caducidad del tokenseleccione un período de vencimiento en el menú desplegable según sus requisitos de seguridad, como 365 días para acceso de clientes a largo plazo, o elija una duración más corta como 30 dias o 90 dias para un control de acceso más estricto. Después de configurar estos ajustes, elija Crear token de acceso para generar el token, que los clientes pueden usar para autenticar las conexiones DoH y DoT al solucionador.
Después de crear el token de acceso, navegue hasta el Zonas alojadas privadas pestaña en el vista DNS para asociar zonas alojadas privadas de Route 53 con la vista DNS para que el solucionador pueda resolver consultas para sus dominios de aplicaciones privadas. Elegir Zona alojada privada asociada y en el Zonas alojadas privadas seleccione una zona alojada privada de la lista que desea que maneje el solucionador. Después de seleccionar la zona, elija Asociado para permitir que el solucionador responda a consultas DNS para estos dominios privados desde sus fuentes de acceso configuradas.
Con la vista de DNS configurada, las reglas de firewall creadas, las fuentes y tokens de acceso definidos y las zonas alojadas privadas asociadas, la configuración de Route 53 Global Resolver está completa y lista para manejar consultas de DNS de sus clientes configurados.
Después de crear su solucionador global de Route 53, debe configurar sus clientes DNS para enviar consultas a las direcciones IP anycast del solucionador. El método de configuración depende del control de acceso que haya configurado en su vista DNS:
- Para fuentes de acceso basadas en IP (bloques CIDR) – Configure sus clientes de origen para que apunten el tráfico DNS a las direcciones IP anycast de Route 53 Global Resolver proporcionadas en los detalles del solucionador. Global Resolver solo permitirá el acceso desde las IP incluidas en la lista permitida que haya especificado en sus fuentes de acceso. También puede asociar las fuentes de acceso a diferentes vistas de DNS para proporcionar vistas de resolución de DNS más granulares para diferentes conjuntos de IP.
- Para autenticación basada en token de acceso – Implemente los tokens en sus clientes para autenticar las conexiones DoH y DoT con Route 53 Global Resolver. También debe configurar sus clientes para que apunten el tráfico DNS a las direcciones IP anycast de Route 53 Global Resolver proporcionadas en los detalles del solucionador.
Para obtener instrucciones de configuración detalladas para su sistema operativo y protocolo específicos, consulte la documentación técnica.
Cosas adicionales que debes saber
Estamos cambiando el nombre del Route 53 Resolver existente a Route 53 VPC Resolver. Este cambio de nombre aclara la distinción arquitectónica entre los dos servicios. VPC Resolver opera regionalmente dentro de sus VPC para proporcionar resolución DNS para recursos en su entorno de Amazon VPC. VPC Resolver continúa admitiendo puntos finales de resolución entrantes y salientes para arquitecturas DNS híbridas dentro de regiones específicas de AWS.
Route 53 Global Resolver complementa Route 53 VPC Resolver al proporcionar resolución DNS privada, global y accesible a Internet para clientes locales y remotos sin necesidad de implementación de VPC o conexiones privadas.
Las configuraciones existentes de VPC Resolver permanecen sin cambios y continúan funcionando según lo configurado. El cambio de nombre afecta el nombre del servicio en la consola de administración de AWS y la documentación, pero los nombres de las operaciones de la API permanecen sin cambios. Si su arquitectura requiere resolución DNS para los recursos dentro de sus VPC, continúe usando VPC Resolver.
Únete a la vista previa
Route 53 Global Resolver reduce la sobrecarga operativa al proporcionar resolución DNS unificada para dominios públicos y privados a través de un único servicio administrado. La arquitectura global anycast mejora la confiabilidad y reduce la latencia para los clientes distribuidos. Los controles de seguridad integrados y el registro centralizado ayudan a las organizaciones a mantener políticas de seguridad coherentes en todas las ubicaciones y al mismo tiempo cumplir con los requisitos de cumplimiento.
Para obtener más información sobre Amazon Route 53 Global Resolver, visite la documentación de Amazon Route 53.
Puede comenzar a utilizar Route 53 Global Resolver a través de la Consola de administración de AWS en las regiones Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Norte de California), Oeste de EE. UU. (Oregón), Europa (Frankfurt), Europa (Irlanda), Europa (Londres), Asia Pacífico (Mumbai), Asia Pacífico (Singapur), Asia Pacífico (Tokio) y Asia Pacífico (Sídney).
