DNS over HTTPS 現已在 Amazon Route 53 Resolver 中可用
从今天开始,Amazon Route 53 Resolver 支援使用 DNS over HTTPS (DoH) 協定進行入站和出站解析器端點。顧名思義,DoH 支援透過 TLS 上的 HTTP 或 HTTP/2 來加密域名系統(DNS)解析交換的數據。
使用 TLS 加密,DoH 透過防止 DNS 數據在 DoH 客戶端和基於 DoH 的 DNS 解析器之間交換時被竊聽和篡改,增加了隱私和安全性。
這有助於您實施零信任架構,其中不信任任何在您的安全邊界內外運行的參與者、系統、網絡或服務,並且所有網絡流量都被加密。使用 DoH 還有助於遵循美國管理和預算辦公室(OMB)描述的建議。
Amazon Route 53 Resolver 中的 DNS over HTTPS 支援
您可以使用 Amazon Route 53 Resolver 在混合雲環境中解析 DNS 查詢。例如,它允許 AWS 服務從您的混合網絡中的任何地方訪問 DNS 請求。為此,您可以設置入站和出站解析器端點:
- 入站解析器端點允許來自您的本地網絡或另一個 VPC 的 DNS 查詢到您的 VPC。
- 出站解析器端點允許來自您的 VPC 到您的本地網絡或另一個 VPC 的 DNS 查詢。
配置解析器端點後,您可以設置規則,指定您希望從 VPC 轉發到本地 DNS 解析器(出站)和從本地到 VPC(入站)的域名的 DNS 查詢。
現在,當您創建或更新入站或出站解析器端點時,您可以指定要使用的協定:
- 端口 53 上的 DNS(Do53),使用 UDP 或 TCP 發送數據包。
- DNS over HTTPS(DoH),使用 TLS 加密數據。
- 兩者兼而有之,取決於 DNS 客戶端使用哪一個。
- 為了符合 FIPS 的合規性,入站端點有一個特定的實現(DoH-FIPS)。
讓我們看看實際操作中是如何工作的。
在 Amazon Route 53 Resolver 中使用 DNS over HTTPS
使用 Amazon Route 53 Resolver 的 DNS over HTTPS 在 Route 53 控制台中,我從導航窗格的解析器部分選擇入站端點。在那裡,我選擇創建入站端點。
我為端點輸入一個名稱,選擇 VPC、安全組和端點類型(IPv4、IPv6 或雙棧)。為了允許使用加密和未加密的 DNS 解析,我在此端點的協定選項中選擇 Do53、DoH 和 DoH-FIPS。
之後,我配置 DNS 查詢的 IP 地址。我選擇兩個可用區,並為每個可用區選擇一個子網。對於這個設置,我使用從子網中可用的 IP 地址自動選擇的選項。
完成入站端點的創建後,我配置我的網絡中的 DNS 服務器,將對 amazonaws.com 域(由 AWS 服務端點使用)的請求轉發到入站端點 IP 地址。
類似地,我創建一個出站解析器端點,並選擇 Do53 和 DoH 作為協定。然後,我創建轉發規則,告訴出站解析器端點應該將請求轉發到我網絡中的哪些域的 DNS 服務器。
現在,當我混合環境中的 DNS 客戶端在他們的請求中使用 DNS over HTTPS 時,DNS 解析被加密。可選地,我可以強制加密並僅在入站和出站端點的配置中選擇 DoH。
需要了解的事情 Amazon Route 53 Resolver 的 DNS over HTTPS 支援今天在所有提供 Route 53 Resolver 的 AWS 區域中可用,包括 GovCloud 區域和中國區域。
端口 53 上的 DNS 繼續是入站或出站解析器端點的默認設置。這樣,您不需要更新現有的自動化工具,除非您想採用 DNS over HTTPS。
使用解析器端點的 DNS over HTTPS 沒有額外費用。有關更多信息,請參見 Route 53 定價。
開始使用 Amazon Route 53 Resolver 的 DNS over HTTPS,為您的混合雲環境增加隱私和安全性。
