Resolver DNS Firewall の仕組み - Amazon Route 53
DNS Firewall のコンポーネントと設定Resolver DNS Firewall が DNS クエリをフィルタリングする方法DNS Firewall を使用するための手順の概要複数のリージョンで DNS Firewall ルールグループを使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Resolver DNS Firewall の仕組み

Resolver DNS Firewall を使用すると、サイトへのアクセスを制御し、Route 53 VPC Resolver を介して VPC から送信される DNS クエリの DNS レベルの脅威をブロックできます。DNS Firewall では、VPC に関連付けるルールグループにドメイン名のフィルタリングルールを定義します。許可またはブロックするドメイン名のリスト、または DNS トンネリングとドメイン生成アルゴリズム (DGA) ベースの脅威から保護する Resolver DNS Firewall Advanced ルールを指定できます。ブロックする DNS クエリのレスポンスをカスタマイズできます。ドメインリストを含むルールの場合、ドメインリストをファインチューニングして、MX レコードなどの特定のクエリタイプを許可することもできます。

DNS Firewall は、ドメイン名のみをフィルタリングします。このドメイン名から、ブロックされる IP アドレスを調べることはできません。また、DNS ファイアウォールでは DNS トラフィックをフィルタリングできますが、HTTPS、SSH、TLS、FTP などの他のアプリケーションレイヤープロトコルはフィルタリングできません。

Resolver DNS Firewall のコンポーネントと設定

DNS Firewall は、次の中央にあるコンポーネントと設定で管理します。

DNS Firewall ルールグループ

DNS クエリをフィルタリングするために DNS Firewall ルールの再利用可能な名前付きコレクションを定義します。ルールグループにフィルタリングルールを設定し、ルールグループを 1 つ以上の VPC に関連付けます。ルールグループを VPC に関連付けると、VPC の DNS Firewall フィルタリングが有効になります。次に、VPC Resolver がルールグループが関連付けられている VPC の DNS クエリを受信すると、VPC Resolver はフィルタリングのためにクエリを DNS Firewall に渡します。

複数のルールグループを 1 つの VPC に関連付ける場合は、各関連付けの優先度設定で処理する順序を指定します。DNS Firewall は、優先度が最も低い設定から VPC のルールグループを処理します。

詳細については、「DNS Firewall のルールグループとルール」を参照してください。

DNS Firewall ルール

DNS Firewall ルールグループ内の DNS クエリに対するフィルタリングルールを定義します。各ルールでは、それぞれドメインリスト、または DNS Firewall 保護を 1 つ指定します。また、ルール内のドメイン仕様に一致するドメインを持つ DNS クエリに対して実行するアクションを指定します。一致するクエリを許可 (ドメインリストのみを含むルール)、ブロック、またはアラートできます。ドメインリストを持つルールでは、リスト内のドメインにクエリタイプを指定することもできます。例えば、特定のドメインの MX クエリタイプをブロックまたは許可できます。ブロックしたクエリのカスタムレスポンスも定義できます。

DNS Firewall ルールでは、一致するクエリに対してのみブロックまたはアラートを実行できます。

ルールグループの各ルールには、ルールグループ内で一意の優先度設定があります。DNS Firewall は、優先度が最も低い設定からルールグループ内のルールを処理します。

DNS Firewall ルールは、定義されているルールグループのコンテキストにのみ存在します。ルールを再利用したり、ルールグループから独立したルールを参照することはできません。

詳細については、「DNS Firewall のルールグループとルール」を参照してください

ドメインリスト

DNS フィルタリングで使用するドメイン仕様の再利用可能な名前付きコレクションを定義します。ルールグループの各ルールには、それぞれに 1 つのドメインリストが必要です。アクセスを許可するドメイン、アクセスを拒否するドメイン、またはその両方の組み合わせを指定できます。独自のドメインリストを作成し、 が AWS 管理するドメインリストを使用できます。

詳細については、「Resolver DNS Firewall ドメインリスト」を参照してください。

ドメインリダイレクト設定 (ドメインリストのみ)

ドメインリダイレクト設定を使用すると、DNS ファイアウォールルールを設定して、CNAME、DNAME など、DNS リダイレクトチェーン内のすべてのドメイン (デフォルト) または最初のドメインだけを検査して残りを信頼することができます。DNS リダイレクトチェーン全体を検査する場合は、ルールで ALLOW に設定されたドメインリストに後続のドメインを追加する必要があります。DNS リダイレクトチェーン全体を検査する場合は、後続のドメインをドメインリストに追加し、ルールが実行するアクション (ALLOW、BLOCK、ALERT のいずれか) に設定する必要があります。

詳細については、「DNS Firewall のルール設定」を参照してください。

クエリタイプ (ドメインリストのみ)

クエリタイプ設定では、特定の DNS クエリタイプをフィルタリングするように DNS ファイアウォールルールを設定できます。クエリタイプを選択しない場合、ルールはすべての DNS クエリタイプに適用されます。例えば、特定のドメインのすべてのクエリタイプをブロックし、MX レコードを許可します。

詳細については、「DNS Firewall のルール設定」を参照してください。

DNS Firewall Advanced 保護

DNS クエリの既知の脅威署名に基づいて、疑わしい DNS クエリを検出します。ルールグループ内の各ルールには、単一の DNS Firewall Advanced 保護設定が必要です。保護は、以下から選択できます。

  • ドメイン生成アルゴリズム (DGAs)

    DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。

  • DNS トンネリング

    DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。

  • ディクショナリ DGA

    ディクショナリ DGAs は、攻撃者がディクショナリ単語を使用してドメインを生成し、マルウェアcommand-and-control通信での検出を回避するために使用されます。

DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、アラートするかを選択できます。脅威保護アルゴリズムは によって管理および更新されます AWS。

詳細については、「リゾルバー DNS Firewall Advanced」を参照してください。

信頼度しきい値 (DNS Firewall Advanced 保護のみ)

DNS 脅威保護の信頼度しきい値。DNS Firewall Advanced のルールを作成するときに、この値を指定する必要があります。信頼度の値は次のことを意味します。

  • 高 − 誤検出率が低く、最も裏付けのある脅威のみを検出します。

  • 中 − 脅威の検出と誤検出のバランスが取れています。

  • 低 − 脅威の検出率が最も高いが、誤検出も増加します。

詳細については、「DNS Firewall のルール設定」を参照してください。

DNS Firewall ルールグループと VPC 間の関連付け

DNS Firewall ルールグループを使用して VPC の保護を定義し、VPC の VPC Resolver DNS Firewall 設定を有効にします。

複数のルールグループを 1 つの VPC に関連付ける場合は、関連付けの優先度設定で、それらを処理する順序を指定します。DNS Firewall は、優先度が最も低い設定から VPC のルールグループを処理します。

詳細については、「VPC の Resolver DNS Firewall 保護を有効にする」を参照してください。

VPC の DNS ファイアウォール設定

VPC Resolver が VPC レベルで DNS Firewall 保護を処理する方法を指定します。この設定は、VPC に関連付けられた DNS Firewall ルールグループが少なくとも 1 つある場合に有効です。

この設定では、DNS Firewall がクエリのフィルタリングに失敗したときに Route 53 VPC Resolver がクエリを処理する方法を指定します。デフォルトでは、VPC Resolver がクエリのレスポンスを DNS Firewall から受信しない場合、閉じられてクエリがブロックされます。

詳細については、「DNS Firewall での VPC の設定」を参照してください。

DNS ファイアウォールアクションのモニタリング

Amazon CloudWatch を使用して、DNS ファイアウォールのルールグループでフィルタリングされた、DNS クエリ数をモニタリングできます。CloudWatch では、生データを収集し、ほぼリアルタイムの読み取り可能なメトリクスに加工します。

詳細については、「Amazon CloudWatch を使用した Resolver DNS Firewall ルールグループのモニタリング」を参照してください。

Amazon EventBridge は、イベントを使用してアプリケーションコンポーネント同士を接続するサーバーレスサービスです。これにより、スケーラブルなイベント駆動型アプリケーションを構築できます。

詳細については、「を使用したリゾルバー DNS ファイアウォールイベントの管理 Amazon EventBridge」を参照してください。

Resolver DNS Firewall が DNS クエリをフィルタリングする方法

DNS Firewall ルールグループが VPC の Route 53 VPC Resolver に関連付けられている場合、次のトラフィックはファイアウォールによってフィルタリングされます。

  • その VPC 内で発信され、VPC DNS を通過する DNS クエリ。

  • オンプレミスのリソースから、リゾルバーエンドポイントを通過して、リゾルバーに関連付けられた DNS ファイアウォールを持つ同じ VPC に渡される DNS クエリ。

DNS Firewall は、DNS クエリを受信すると、設定したルールグループ、ルール、およびその他の設定を使用してクエリをフィルタリングし、結果を VPC Resolver に送信します。

  • DNS Firewall は、一致するものが見つかるまで、またはすべてのルールグループを使い果たすまで、VPC に関連付けられたルールグループを使用して DNS クエリの評価を行います。DNS Firewall は、関連付けで設定した優先度の順に、優先順位が最も低い設定からルールグループを評価します。詳細については、「DNS Firewall のルールグループとルール」および「VPC の Resolver DNS Firewall 保護を有効にする」を参照してください。

  • 各ルールグループ内で DNS Firewall は、一致するものが見つかるまで、またはすべてのルールを使い果たすまで、各ルールのドメインリストまたは DNS Firewall Advanced 保護に対する DNS クエリの評価を行います。DNS Firewall は、優先順位の順に、優先度が最も低い設定からルールを評価します。詳細については、「DNS Firewall のルールグループとルール」を参照してください。

  • DNS Firewall は、ルールのドメインリスト、または DNS Firewall Advanced ルール保護によって識別された異常との一致を検出すると、クエリ評価を終了し、結果とともに VPC Resolver に応答します。アクションが の場合alert、DNS Firewall は設定された VPC リゾルバーログにもアラートを送信します。詳細についてはDNS Firewall でのルールアクションResolver DNS Firewall ドメインリスト、およびリゾルバー DNS Firewall Advancedを参照してください。

  • DNS Firewall が一致するものを見つけられずにすべてのルールグループを評価し終えた場合、通常どおりクエリに対して応答します。

VPC Resolver は、DNS Firewall からのレスポンスに従ってクエリをルーティングします。万一 DNS ファイアウォールが応答しない場合、VPC リゾルバーは VPC の設定済み DNS ファイアウォールのフェイルモードを適用します。詳細については、「DNS Firewall での VPC の設定」を参照してください。

Resolver DNS Firewall を使用するための大まかな手順

Amazon Virtual Private Cloud VPC に Resolver DNS Firewall フィルタリングを実装するには、以下の大まかなステップを実行します。

  • フィルタリングのアプローチ、ドメインリスト、DNS Firewall 保護を定義する — クエリをフィルタリングする方法を決定し、必要なドメイン仕様を特定して、クエリの評価に使用するロジックを定義します。例えば、既知の不正なドメインのリストにあるクエリを除くすべてのクエリを許可できます。または反対に、承認したリストのドメインを除くすべてのドメインをブロックすることもできます。これは、ウォールドガーデンアプローチとして知られています。承認済みまたはブロックされたドメイン仕様の独自のリストを作成および管理し、 が AWS 管理するドメインリストを使用できます。DNS Firewall 保護の場合、クエリをすべてブロックしてフィルタリングすることも、脅威 (DGA、DNS トンネリング、ディクショナリ DGA) に関連する異常を含む可能性のあるドメインへの疑わしいクエリトラフィックをアラートして DNS Firewall 設定をテストすることもできます。詳細については、「Resolver DNS Firewall ドメインリスト」および「リゾルバー DNS Firewall Advanced」を参照してください。

  • ファイアウォールルールグループの作成 — DNS Firewall で、VPC 向けの DNS クエリをフィルタリングするルールグループを作成します。ルールグループは、使用するリージョンごとに作成する必要があります。また、異なる VPC の複数のフィルタリングシナリオで再利用できるように、フィルタリング動作を複数のルールグループに分けることもできます。ルールグループについては、「DNS Firewall のルールグループとルール」を参照してください。

  • ルールの追加と設定 — ルールグループで提供するドメインリストおよびフィルタリング動作ごとに、ルールグループにルールを追加します。ルールグループ内でルールが正しい順序で処理されるように、ルールの優先度を設定します。最初に評価するルールの優先順位が最も低くなるようにします。ルールについては、「DNS Firewall のルールグループとルール」を参照してください。

  •  ルールグループを VPC に関連付ける — DNS Firewall ルールグループの使用を開始するには、VPC に関連付けます。VPC で複数のルールグループを使用している場合は、ルールグループが正しい順序で処理されるように、各関連付けの優先度を設定します。最初に評価するルールグループの優先順位が最も低くなるようにします。詳細については、「VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理」を参照してください。

  • (オプション) VPC のファイアウォール設定を変更する – DNS Firewall が応答を返さないときに Route 53 VPC Resolver でクエリをブロックする場合は、VPC Resolver で VPC の DNS Firewall 設定を変更します。詳細については、「DNS Firewall での VPC の設定」を参照してください。

複数のリージョンでの Resolver DNS Firewall ルールグループの使用

Resolver DNS Firewall はリージョンサービスであるため、1 つの AWS リージョンで作成したオブジェクトは、そのリージョンでのみ使用できます。同じルールグループを複数のリージョンで使用するには、リージョンごとにルールグループを作成する必要があります。

ルールグループを作成した AWS アカウントは、他の AWS アカウントと共有できます。詳細については、「Resolver DNS Firewall ルールグループを AWS アカウント間で共有する」を参照してください。