Desde dezembro de 2022, o Amazon Route 53 Resolver oferece suporte ao uso do protocolo DNS sobre HTTPS (DoH) para endpoints de entrada e saída do Resolver. Como o nome sugere, DoH oferece suporte a HTTP ou HTTP/2 sobre TLS para criptografar os dados trocados para resoluções de Sistema de Nomes de Domínio (DNS).
Usando a criptografia TLS, o DoH aumenta a privacidade e a segurança, evitando a espionagem e a manipulação de dados DNS à medida que são trocados entre um cliente DoH e o resolvedor DNS baseado em DoH.
Isso ajuda a implementar uma arquitetura de confiança zero, onde nenhum ator, sistema, rede ou serviço operando fora ou dentro do seu perímetro de segurança é confiável e todo o tráfego da rede é criptografado.
Suporte a DNS sobre HTTPS no Amazon Route 53 Resolver
Você pode usar o Amazon Route 53 Resolver para resolver consultas DNS em ambientes de nuvem híbrida. Por exemplo, permite acesso aos serviços da AWS para solicitações de DNS de qualquer lugar da sua rede híbrida. Para fazer isso, você pode configurar endpoints de entrada e saída do Resolver:
- Os endpoints do Inbound Resolver permitem consultas DNS à sua VPC a partir da sua rede local ou de outra VPC.
- Os endpoints do Outbound Resolver permitem consultas DNS da sua VPC para sua rede local ou outra VPC.
Depois de configurar os endpoints do Resolver, você pode configurar regras que especificam o nome dos domínios para os quais deseja encaminhar consultas DNS da sua VPC para um resolvedor de DNS local (saída) e do local para sua VPC (entrada). ).
Agora, ao criar ou atualizar um endpoint do Resolver de entrada ou saída, você pode especificar quais protocolos usar:
- DNS pela porta 53 ( Do53 ), que usa UDP ou TCP para enviar os pacotes.
- DNS sobre HTTPS ( DoH ), que usa TLS para criptografar os dados.
- Ambos, dependendo de qual deles é usado pelo cliente DNS.
- Para conformidade com FIPS , existe uma implementação específica ( DoH-FIPS ) para endpoints de entrada.
Vamos ver como isso funciona na prática.
Usando DNS sobre HTTPS com o Amazon Route 53 Resolver
No console do Route 53 , escolho Endpoints de entrada na seção Resolver do painel de navegação. Lá, eu escolho Create inbound endpoint .
Eu insiro um nome para o endpoint, seleciono a VPC, o grupo de segurança e o tipo de endpoint (IPv4, IPv6 ou pilha dupla). Para permitir o uso de resoluções DNS criptografadas e não criptografadas, seleciono Do53 , DoH e DoH-FIPS na opção Protocolos para este endpoint .
Depois disso, configuro os endereços IP para consultas DNS. Seleciono duas zonas de disponibilidade e, para cada uma, uma sub-rede. Para esta configuração, utilizo a opção de selecionar automaticamente os endereços IP daqueles disponíveis na sub-rede.
Depois de concluir a criação do endpoint de entrada, configuro o servidor DNS em minha rede para encaminhar solicitações do amazonaws.comdomínio (usado pelos endpoints de serviço da AWS ) para os endereços IP do endpoint de entrada.
Da mesma forma, crio um endpoint do Resolver de saída e seleciono Do53 e DoH como protocolos. Em seguida, crio regras de encaminhamento que informam para quais domínios o endpoint de saída do Resolver deve encaminhar solicitações aos servidores DNS em minha rede.
Agora, quando os clientes DNS em meu ambiente híbrido usam DNS sobre HTTPS em suas solicitações, as resoluções DNS são criptografadas. Opcionalmente, posso impor criptografia e selecionar apenas DoH na configuração de endpoints de entrada e saída.
Coisas para saber
O suporte DNS sobre HTTPS para o Amazon Route 53 Resolver está disponível hoje em todas as regiões da AWS onde o Route 53 Resolver é oferecido, incluindo regiões GovCloud e regiões baseadas na China.
O DNS pela porta 53 continua a ser o padrão para endpoints do Resolver de entrada ou saída. Dessa forma, você não precisa atualizar suas ferramentas de automação existentes, a menos que queira adotar DNS sobre HTTPS.
Não há custo adicional para usar DNS sobre HTTPS com endpoints do Resolver. Para obter mais informações, consulte Preços do Route 53 .
Comece a usar DNS sobre HTTPS com o Amazon Route 53 Resolver para aumentar a privacidade e a segurança dos seus ambientes de nuvem híbrida.
Artigo originalmente publicado em Blog AWS
