本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Route 53 全球解析器的关键概念和组件
Route 53 Global Resolver 使用多个关键组件协同工作,为您的组织提供分流的 DNS 解析、通过全球任播架构实现的高可用性以及全面的 DNS 安全。了解这些 Route 53 Global Resolver 概念有助于您设计和部署解决方案,以实现对私有和公共资源的无缝访问,帮助确保跨多个区域的服务连续性,并防范基于 DNS 的威胁。
## 适用于本地和远程位置客户端的 DNS 解析器
要为分布式工作负载、客户地点和用户部署 Route 53 Global Resolver,请配置以下关键组件:
全局解析器
主服务实例,可为您的组织提供跨多个 Amazon 区域的 DNS 解析和筛选。您的*全球解析器*使用 anycast 技术将 DNS 查询自动路由到最近的可用区域,从而确保所有客户都能快速响应,无论其位置如何。
任播 IP 地址
分配给您的全局解析器的两个唯一 IPv6 地址 IPv4 或您在客户端设备和网络设备上配置的地址。这些*任播 IP 地址*在全球范围内是相同的,这简化了所有位置的 DNS 配置。Anycast IP 寻址支持将 DNS 请求自动路由到最近的全球解析器,从而优化响应时间并提高服务可靠性。
DNS 视图
配置模板允许您将不同的 DNS 策略应用于网络中的不同客户端组。使用 *DNS 视图*实现水平分割 DNS,例如,对远程位置应用严格的筛选和令牌身份验证,同时对分支机构使用基于 IP 的访问和不同的安全策略。
## DNS 客户端身份验证
选择最适合您的部署的身份验证方法:
基于令牌的身份验证
使用 (DoH) 和 DNS-over-HTTPS DNS-over-TLS (DoT) 的加密令牌保护 DNS 连接。您可以为单个客户端或设备组生成唯一的访问令牌,设置到期期限,并根据需要撤消令牌。
基于访问源的身份验证
使用 IP 地址和 CIDR 范围许可列表控制访问权限。您可以配置分支机构的公有 IP 地址或网络范围,然后根据您的安全要求指定每个地点可以使用哪些 DNS 协议(DNS-over-Port-53、DoT 或 DoH)。
DNS 协议选择
根据您的安全性和兼容性需求选择适当的 *DNS 协议*:
+ **DNS-over-Port-53 (Do53)-用于最大限度**地提高与现有网络基础设施的兼容性
+ **DNS-over-TLS (DoT)**-需要使用带有专用端口隔离的加密 DNS 进行网络监控时使用
+ **DNS-over-HTTPS (DoH)**-需要绕过网络限制时使用,因为流量显示为常规 HTTPS
## 分流量 DNS 解析
Route 53 Global Resolver 使组织能够从任何位置无缝解析私有域和公共域,无需复杂的 VPN 配置或特定于区域的 DNS 设置。
混合 DNS 解析
*混合 DNS 解析*允许 Route 53 Global Resolver 同时解析来自本地用户和应用程序到私有应用程序的 Amazon查询。
全球私有区域访问权限
*全球私有区域访问*将 Amazon Route 53 私有托管区域的覆盖范围扩展到了 VPC 边界之外。Internet 上任何地方的授权客户都可以解析私有域名,从而使分散的团队无需传统的网络连接要求即可访问内部资源。
无缝故障转移
*无缝故障转移*可确保即使个别 Amazon 区域不可用,也能持续访问私有和公共资源。anycast 架构可自动将查询路由到健康区域,同时保持一致的解析行为。
## 高可用性和全球影响力
Route 53 Global Resolver 通过分布式架构和自动故障转移功能提供企业级可用性。
多区域部署
*多区域部署将* Route 53 Global Resolver 实例分布到至少 2 个 Amazon 区域,以帮助确保高可用性并允许在服务中断期间进行故障转移。您可以根据地理要求和合规性需求选择特定的区域。
自动地理优化
*自动地理优化*会根据网络拓扑和延迟将 DNS 查询路由到最近的可用 Amazon 区域。这缩短了响应时间,改善了分布在全球的组织的用户体验。
内置冗余
*内置冗余功能*可在主区域不可用时自动故障转移到备用区域,从而帮助维持服务的连续性。当流量被透明地重新路由时,客户端继续使用相同的任播 IP 地址。
## DNS 解析和转发
私有托管区域解析
*私有托管区域解析*使 Route 53 全球解析器能够跨 Amazon 区域解析对 Route 53 私有托管区域的 DNS 查询。这样,授权客户端就可以从互联网上的任何地方解析由 Route 53 托管的应用程序和资源的域名。
地平线分割 DNS
*Split-Horizon DN* S 根据进行查询的客户端提供不同的 DNS 响应。Route 53 Global Resolver 可以解析互联网上的公共域,同时解析私有域,从而提供对公共和私有资源的无缝访问。
DNSSEC 验证
*DNSSEC 验证验证*来自公共域名服务器的 DNSSEC 签名域的 DNS 响应的真实性和完整性。此验证可确保 DNS 响应在传输过程中不会被篡改,从而防范 DNS 欺骗和缓存中毒攻击。
EDNS 客户端子网 (ECS)
*EDNS 客户端子网*是一项可选功能,可将 DNS 查询中的客户端子网信息转发给权威域名服务器。这可以实现更准确的基于地理位置的 DNS 响应,通过将客户端定向到更近的内容交付网络或服务器,从而有可能减少延迟。对于 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 连接,您可以使用 EDNS0 传递客户端 IP 地址信息。在全局解析器上启用 ECS 后,如果查询中未提供客户端 IP,则该服务会自动注入客户端 IP。
## DNS 过滤和域名列表
Route 53 Global Resolver 使用管理的域列表提供基于域的筛选 Amazon ,以屏蔽或允许特定域。
DNS 过滤规则
*DNS 过滤规则*定义了 Route 53 全球解析器如何根据域匹配标准处理 DNS 查询。规则按优先级顺序进行评估,可以为对特定域或域类别的查询指定操作(允许、阻止或警报)。
域名列表
*域列表*是过滤规则中使用的域的集合。它们可以是:
+ **自定义域名列表**-您创建和维护的域名集合
+ **Amazon 托管域列表**-预先配置的威胁列表和由其维护的内容类别 Amazon ,它们利用威胁情报来识别恶意域。可用的威胁列表包括:
+ 恶意软件域-已知托管或分发恶意软件的域名
+ 僵尸网络命令和控制-僵尸网络用于命令和控制通信的域
+ 垃圾邮件-与垃圾邮件和有害电子邮件活动相关的域名
+ 网络钓鱼-网络钓鱼攻击中用于窃取凭据和个人信息的域名
+ Amazon GuardDuty 威胁列表-由 GuardDuty 威胁情报识别的域名
可用内容类别包括社交媒体、赌博和其他帮助组织控制对特定类型内容的访问权限的类别。
为了保护知识产权和保持安全有效性,无法查看或编辑托管列表中的各个域名规范。
## 高级 DNS 威胁检测
Route 53 Global Resolver 使用动态算法分析来检测高级 DNS 威胁,例如 DNS 隧道和域生成算法。与匹配已知不良域名的域列表不同,算法检测会实时分析 DNS 查询模式以识别可疑行为。
DNS 隧道检测
DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据,而无需与客户端建立网络连接。
域生成算法 (DGA) 检测
攻击者使用域生成算法 (DGAs) 为其 command-and-control服务器创建大量域名。
置信度阈值
每种检测算法都会输出一个确定规则触发的置信度分数。更高的置信阈值可以减少误报,但可能会错过复杂的攻击。较低的阈值会提高检测灵敏度,但需要额外的警报分析才能过滤误报。
操作限制
高级威胁防护规则仅支持`ALERT`和`BLOCK`操作。不支持该`ALLOW`操作,因为算法检测无法对良性流量进行明确分类,只能识别潜在的恶意模式。
## 监控和日志记录
查询 日志
*查询日志*提供有关 Route 53 Global Resolver 处理的 DNS 查询的详细信息,包括源 IP、查询的域、响应代码、采取的策略操作和时间戳。日志可以传送到亚马逊 CloudWatch、Amazon Data Firehose 或亚马逊简单存储服务,用于分析和合规报告。
OCSF 格式
*开放网络安全架构框架 (OCSF) 格式*是 Route 53 Global Resolver 用于 DNS 查询日志的标准化日志格式。这种格式提供一致的结构化数据,可轻松与安全信息和事件管理 (SIEM) 系统和其他安全工具集成。
日志目的地
*日志目标*决定了 DNS 查询日志的传送位置,每个日志都有不同的特征:
+ **Amazon Simple Storage Service**:经济实惠的长期存储,非常适合合规性和批量分析。与 Amazon Athena 和 Amazon EMR 等分析工具集成。
+ **Ama CloudWatch zon Logs**-与亚马逊警报和控制面板集成的实时监控和 CloudWatch 警报。支持临时查询的日志见解。
+ **Amazon Data Firehose**:通过内置的数据转换功能实时流式传输到外部系统。支持自动扩缩和缓冲。
可观测性区域
*可观察性区域*决定 DNS 查询日志的传送位置。