Route 53 Global Resolver の主な概念とコンポーネント

複数の AWS リージョンにわたる組織の DNS 解決とフィルタリングを提供するメインサービスインスタンス。グローバルリゾルバーは、エニーキャストテクノロジーを使用して DNS クエリを最も近い利用可能なリージョンに自動的にルーティングするため、場所に関係なくすべてのクライアントの応答時間が短縮されます。

クライアントデバイスとネットワーク機器で設定するグローバルリゾルバーに割り当てられた 2 つの一意の IPv4 アドレスまたは IPv6 アドレス。これらのエニーキャスト IP アドレスはグローバルに同じであるため、すべてのロケーションで DNS 設定が簡素化されます。エニーキャスト IP アドレス指定により、最も近いグローバルリゾルバーへの DNS リクエストの自動ルーティングが可能になり、応答時間を最適化し、サービスの信頼性が向上します。

ネットワーク内の異なるクライアントのグループに異なる DNS ポリシーを適用できる設定テンプレート。DNS ビューを使用して分割期間 DNS を実装します。たとえば、IP ベースのアクセスとブランチオフィスのさまざまなセキュリティポリシーを使用しながら、リモートロケーションに厳密なフィルタリングとトークン認証を適用します。

DNS-over-HTTPS (DoH) および DNS-over-TLS (DoT) の暗号化されたトークンを使用して DNS 接続を保護します。 DoH DoT 個々のクライアントまたはデバイスグループに一意のアクセストークンを生成し、有効期限を設定し、必要に応じてトークンを取り消すことができます。

IP アドレスと CIDR 範囲の許可リストを使用してアクセスを制御します。ブランチオフィスのパブリック IP アドレスまたはネットワーク範囲を設定し、セキュリティ要件に基づいて各ロケーションで使用できる DNS プロトコル (DNS-over-port-53、DoT、または DoH) を指定できます。

セキュリティと互換性のニーズに基づいて、適切な DNS プロトコルを選択します。

ハイブリッド DNS 解決により、Route 53 Global Resolver はオンプレミスのユーザーとアプリケーションからプライベートアプリケーションへのクエリを同時に解決できます AWS。

グローバルプライベートゾーンアクセスは、VPC 境界を超えて Amazon Route 53 プライベートホストゾーンの到達範囲を拡張します。インターネット上の任意の場所で認可されたクライアントはプライベートドメイン名を解決できるため、分散チームは従来のネットワーク接続要件なしで内部リソースにアクセスできます。

シームレスなフェイルオーバーにより、個々の AWS リージョンが使用できなくなっても、プライベートリソースとパブリックリソースの両方に継続的にアクセスできます。エニーキャストアーキテクチャは、一貫した解決動作を維持しながら、クエリを正常なリージョンに自動的にルーティングします。

マルチリージョンデプロイでは、Route 53 Global Resolver インスタンスを少なくとも 2 AWS リージョンに分散して高可用性を確保し、サービス停止時のフェイルオーバーを許可します。地理的要件とコンプライアンスのニーズに基づいて、特定のリージョンを選択できます。

自動地理的最適化は、ネットワークトポロジとレイテンシーに基づいて、DNS クエリを最も近い利用可能な AWS リージョンにルーティングします。これにより、応答時間が短縮され、グローバルに分散された組織のユーザーエクスペリエンスが向上します。

組み込みの冗長性により、プライマリリージョンが使用できなくなったときに、代替リージョンへの自動フェイルオーバーによってサービスの継続性が確保されます。トラフィックが透過的に再ルーティングされる間も、クライアントは同じエニーキャスト IP アドレスを引き続き使用します。

プライベートホストゾーン解決により、Route 53 Global Resolver は AWS リージョン間で Route 53 プライベートホストゾーンの DNS クエリを解決できます。これにより、承認されたクライアントは、インターネット上のどこからでも Route 53 によってホストされるアプリケーションとリソースのドメインを解決できます。

分割期間 DNS は、クエリを実行するクライアントに基づいて異なる DNS レスポンスを提供します。Route 53 Global Resolver は、インターネット上のパブリックドメインを解決できると同時に、プライベートドメインを解決できるため、パブリックリソースとプライベートリソースの両方にシームレスにアクセスできます。

DNSSEC 検証は、DNSSEC 署名ドメインのパブリックネームサーバーからの DNS レスポンスの信頼性と整合性を検証します。この検証により、送信中に DNS レスポンスが改ざんされることがなくなり、DNS スプーフィング攻撃やキャッシュポイズニング攻撃から保護されます。

EDNS クライアントサブネットは、DNS クエリのクライアントサブネット情報を信頼できるネームサーバーに転送するオプション機能です。これにより、より正確な地理的ベースの DNS レスポンスが可能になり、クライアントをより近いコンテンツ配信ネットワークまたはサーバーに誘導することでレイテンシーが短縮される可能性があります。DNS-over-TLS (DoT) および DNS-over-HTTPS (DoH) 接続の場合、EDNS0 を使用してクライアント IP アドレス情報を渡すことができます。グローバルリゾルバーで ECS を有効にすると、クエリで指定されていない場合、サービスは自動的にクライアント IP を挿入します。

DNS フィルタリングルールは、Route 53 Global Resolver がドメイン一致基準に基づいて DNS クエリを処理する方法を定義します。ルールは優先順位で評価され、特定のドメインまたはドメインカテゴリへのクエリのアクション (許可、ブロック、または ALERT) を指定できます。

ドメインリストは、フィルタリングルールで使用されるドメインのコレクションです。これらは、次のようになります。

DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。

ドメイン生成アルゴリズム (DGAs) は、攻撃者がcommand-and-controlサーバーの多数のドメイン名を作成するために使用されます。

各検出アルゴリズムは、ルールのトリガーを決定する信頼スコアを出力します。信頼度しきい値が高いほど誤検出は減少しますが、高度な攻撃を見逃す可能性があります。しきい値が低いほど検出感度は高くなりますが、誤検出をフィルタリングするには追加のアラート分析が必要です。

高度な脅威保護ルールは、 ALERTおよび BLOCKアクションのみをサポートします。このALLOWアクションはサポートされていません。アルゴリズム検出では、無害なトラフィックを明確に分類できず、悪意のある可能性のあるパターンのみを識別できるためです。

クエリログは、ソース IP、クエリされたドメイン、レスポンスコード、実行されたポリシーアクション、タイムスタンプなど、Route 53 Global Resolver によって処理された DNS クエリに関する詳細情報を提供します。ログは、分析とコンプライアンスレポートのために Amazon CloudWatch、Amazon Data Firehose、または Amazon Simple Storage Service に配信できます。

Open Cybersecurity Schema Framework (OCSF) 形式は、Route 53 Global Resolver が DNS クエリログに使用する標準化されたログ記録形式です。この形式は、セキュリティ情報およびイベント管理 (SIEM) システムやその他のセキュリティツールと簡単に統合できる、一貫性のある構造化データを提供します。

ログの送信先は、それぞれ異なる特性を持つ DNS クエリログの配信先を決定します。

オブザーバビリティリージョンは、DNS クエリログの配信先を決定します。