禁用Route 53 Private Zone的递归查询

0

【以下的问题经过翻译处理】 客户询问如何在Route53中禁用DNS递归操作来保护Private Zone。下面是客户的提问:

我们想使用Route53 Private Zone,并从VPC访问这个Private Zone。这部分功能正常。

当我们使用子网.2 IP地址解析内部域名时,一切顺利,但是当我们解析像google.com之类的互联网地址时,它也会被解析。这样做的问题在于,敏感密钥可能会通过DNS的方式泄露出去。

如何在Route53 Private DNS区域中关闭DNS递归操作?

profile picture
专家
已提问 10 个月前50 查看次数
1 回答
0

【以下的回答经过翻译处理】 亚马逊云科技于 2021 年 3 月 31 日发布了Amazon Route 53 Resolver DNS Firewall,这是一种托管防火墙,支持客户阻止针对已知恶意域的 DNS 查询,并且允许针对受信任域的查询。DNS Firewall 支持对 Amazon Virtual Private Cloud (VPC) 内资源的 DNS 查询行为进行更精细的控制,以此来预防 DNS 泄露(恶意操作者使用 DNS 查询将敏感数据偷偷发送到网络之外),或者对其组织内用户有权访问的站点进行更多控制。

借助 Route 53 Resolver DNS Firewall,您可以为不希望 VPC 资源通过 DNS 与其通信的 Domain 创建“阻止列表”。您还可以采用更严格的“围墙花园”方法,创建“允许列表”,只允许对指定的 Domain 进行出站 DNS 查询。您还可以在出站 DNS 查询匹配某些防火墙规则时创建警报,从而允许您先测试规则,然后再为生产流量进行部署。Route 53 Resolver DNS Firewall 提供两个托管的 Domain 列表(恶意软件 Domain List 以及僵尸网络命令和控制 Domain List),支持您快速开始托管保护,以对抗常见的威胁。

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则