禁用Route 53 Private Zone的递归查询

【以下的回答经过翻译处理】 亚马逊云科技于 2021 年 3 月 31 日发布了Amazon Route 53 Resolver DNS Firewall，这是一种托管防火墙，支持客户阻止针对已知恶意域的 DNS 查询，并且允许针对受信任域的查询。DNS Firewall 支持对 Amazon Virtual Private Cloud (VPC) 内资源的 DNS 查询行为进行更精细的控制，以此来预防 DNS 泄露（恶意操作者使用 DNS 查询将敏感数据偷偷发送到网络之外），或者对其组织内用户有权访问的站点进行更多控制。

借助 Route 53 Resolver DNS Firewall，您可以为不希望 VPC 资源通过 DNS 与其通信的 Domain 创建“阻止列表”。您还可以采用更严格的“围墙花园”方法，创建“允许列表”，只允许对指定的 Domain 进行出站 DNS 查询。您还可以在出站 DNS 查询匹配某些防火墙规则时创建警报，从而允许您先测试规则，然后再为生产流量进行部署。Route 53 Resolver DNS Firewall 提供两个托管的 Domain 列表（恶意软件 Domain List 以及僵尸网络命令和控制 Domain List），支持您快速开始托管保护，以对抗常见的威胁。