禁用Route 53 Private Zone的递归查询

0

【以下的问题经过翻译处理】 客户询问如何在Route53中禁用DNS递归操作来保护Private Zone。下面是客户的提问:

我们想使用Route53 Private Zone,并从VPC访问这个Private Zone。这部分功能正常。

当我们使用子网.2 IP地址解析内部域名时,一切顺利,但是当我们解析像google.com之类的互联网地址时,它也会被解析。这样做的问题在于,敏感密钥可能会通过DNS的方式泄露出去。

如何在Route53 Private DNS区域中关闭DNS递归操作?

profile picture
전문가
질문됨 일 년 전51회 조회
1개 답변
0

【以下的回答经过翻译处理】 亚马逊云科技于 2021 年 3 月 31 日发布了Amazon Route 53 Resolver DNS Firewall,这是一种托管防火墙,支持客户阻止针对已知恶意域的 DNS 查询,并且允许针对受信任域的查询。DNS Firewall 支持对 Amazon Virtual Private Cloud (VPC) 内资源的 DNS 查询行为进行更精细的控制,以此来预防 DNS 泄露(恶意操作者使用 DNS 查询将敏感数据偷偷发送到网络之外),或者对其组织内用户有权访问的站点进行更多控制。

借助 Route 53 Resolver DNS Firewall,您可以为不希望 VPC 资源通过 DNS 与其通信的 Domain 创建“阻止列表”。您还可以采用更严格的“围墙花园”方法,创建“允许列表”,只允许对指定的 Domain 进行出站 DNS 查询。您还可以在出站 DNS 查询匹配某些防火墙规则时创建警报,从而允许您先测试规则,然后再为生产流量进行部署。Route 53 Resolver DNS Firewall 提供两个托管的 Domain 列表(恶意软件 Domain List 以及僵尸网络命令和控制 Domain List),支持您快速开始托管保护,以对抗常见的威胁。

profile picture
전문가
답변함 일 년 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠