翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 Global Resolver で DNS ビューの設定を構成する
Route 53 Global Resolver では、セキュリティ要件とアクセスニーズに基づいて、クライアントデバイスのグループごとに異なる DNS ポリシーとアクセスコントロールを設定できます。セキュリティ要件とアクセスニーズに基づいて、さまざまなクライアントデバイスのグループに対して Route 53 Global Resolver で DNS ポリシーとアクセスコントロールを設定します。
クライアントグループの DNS 設定の構成
各 DNS ビューには、さまざまなクライアントデバイスグループに対して DNS クエリがどのように処理および解決されるかを制御するいくつかの設定があります。
DNSSEC 検証
DNSSEC 検証は、パブリックドメインの DNS レスポンスが真正であり、改ざんされていないことを確認するのに役立ちます。DNSSEC 検証を有効にすると、Route 53 Global Resolver は DNSSEC 署名をチェックし、無効な署名を持つドメインの SERVFAIL を返します。
次の場合は、DNSSEC 検証を有効にすることを検討してください。
-
組織で DNS レスポンスの暗号化検証が必要である
-
DNS スプーフィングおよびキャッシュポイズニング攻撃に対する保護が必要
-
DNSSEC 検証を必要とするコンプライアンス要件がある
注記
DNSSEC 検証はパブリックドメインにのみ適用されます。プライベートホストゾーンは、独自の認証メカニズムを使用します。
EDNS クライアントサブネット (ECS)
EDNS クライアントサブネットには、信頼できるサーバーに送信される DNS クエリ内のクライアントのネットワークの場所に関する情報が含まれます。これにより、コンテンツ配信ネットワークと地理的に分散されたサービスが、ロケーションに適したレスポンスを提供できるようになります。
ECS は以下に役立ちます。
-
地理的に分散されたサービスからパフォーマンスを向上させる
-
コンテンツ配信ネットワークルーティングの精度の向上
-
リージョンのコンテンツ制限への準拠の向上
プライバシーに関する考慮事項:
-
ECS は、クライアント IP 情報の一部を信頼できるサーバーに公開します (IPv4 の場合は最大 /24、IPv6 の場合は最大 /48)
-
を有効にする前に、組織のプライバシー要件を考慮してください。
ファイアウォールのフェイルオープン
ファイアウォールのフェイルオープン設定は、サービスの障害や設定の問題が原因で DNS ファイアウォールルールを評価できない場合の動作を決定します。
- 無効 (デフォルト)
-
ファイアウォールルールを評価できない場合、DNS クエリはブロックされます。これによりセキュリティは最大になりますが、サービスの問題発生時の可用性に影響する可能性があります。
- 有効
-
DNS クエリは、ファイアウォールルールを評価できない場合に許可されます。これにより、サービスの問題発生時のセキュリティよりも可用性が優先されます。
クライアントデバイスグループを整理するためのベストプラクティス
さまざまなクライアントデバイスグループの DNS ビューを設計するときは、次のベストプラクティスに従ってください。
組織戦略を表示する
-
セキュリティ要件で区切る - セキュリティクリアランスまたはアクセスレベルが異なるクライアントデバイス用に異なるビューを作成する
-
場所別に整理 - 地理的な場所やネットワークセグメントごとに個別のビューを使用する
-
デバイスタイプ別にグループ化 - サーバー、ワークステーション、モバイルデバイス、または IoT デバイス専用のビューを作成する
-
わかりやすい名前を使用する - ビューの目的とターゲットクライアントデバイスを明確に示す名前を選択します。
セキュリティに関する考慮事項
-
最小特権の原則 - クライアントデバイスに必要な最小限のアクセスで各ビューを設定します。
-
デフォルトの拒否 - 制限的なファイアウォールルールから開始し、必要に応じて例外を追加します
-
定期的なレビュー - DNS ビュー設定の定期的なレビューと更新
-
使用状況のモニタリング - DNS クエリログを使用して DNS ビューの使用状況パターンをモニタリングおよび分析する