Route 53 Global Resolver の DNS セキュリティと分割期間ユースケース

インターネット上のパブリックドメインを解決しながら、任意の場所から Amazon Route 53 のプライベートホストゾーン (PHZs) へのグローバルアクセスを有効にします。リモートロケーションとブランチオフィスが、複雑な VPN 設定やリージョン固有の転送なしで内部アプリケーション名を解決できるようにします。分割期間 DNS を実装して、クエリを実行するクライアントに基づいて異なる DNS レスポンスを提供し、リモートクライアントがプライベートドメインとパブリックドメインのクエリを解決できるようにします。

悪意のあるドメインへのクエリをフィルタリングすることで、DNS ベースのデータ流出攻撃からリモートロケーションとブランチオフィスを保護します。DNS-over-HTTPS (DoH) と DNS-over-TLS (DoT) を使用して転送中の DNS トラフィックを暗号化し、承認されたクライアントのみが DNS サービスにアクセスできるようにすることで、プライバシーを向上させます。セキュリティポリシーを適用して、DNS トンネリングやドメイン生成アルゴリズム (DGAs。DNSSEC 署名ドメインの DNSSEC (ドメインネームシステムセキュリティ拡張機能) を使用して DNS レスポンスの信頼性を検証し、DNS スプーフィング攻撃やキャッシュポイズニング攻撃から保護します。

グローバルデプロイを通じて高可用性を実現し、単一の管理インターフェイスから世界中の一貫した DNS 設定を維持します。Route 53 Global Resolver は、最適なパフォーマンスと信頼性を実現するために、クエリを利用可能な最も近いリージョンに自動的にルーティングする任意のキャスト IP アドレスを使用して、 AWS リージョン 選択した 全体で実行されます。グローバル企業は、DNS ポリシーを一元的に設定および管理しながら、自動的な地理的最適化でグローバルに動作する単一の IP アドレスセットをクライアントに提供できます。冗長性が組み込まれているため、個々のリージョンが使用できなくなってもサービスの継続性が確保されます。

カスタムドメインリストを作成するか、 AWS マネージドドメインリストを使用して、複数の場所でインターネットアクセスを管理します。ニーズに応じてフィルタリングポリシーとコンテンツポリシーを実装しやすくするために、マネージドドメインリストには、複数のドメインをカバーする複数のカテゴリの DNS 脅威が含まれています。IP 許可リストまたはアクセストークンを使用してアクセスソースを設定し、オフィスの場所やクライアントグループごとに異なるフィルタリングポリシーを設定します。

デプロイに最適な認証方法を選択します。トークンベースの認証またはソース CIDR 範囲許可リストを使用した IP ベースの認証です。

Amazon CloudWatch、Firehose、または Amazon Simple Storage Service にログを配信することで、組織全体の DNS アクティビティをモニタリングします。セキュリティ監査、コンプライアンス要件、脅威調査をサポートするために、一元化されたログストレージの宛先リージョンを 1 つ選択します。