Route 53 Resolver DNS Firewall の仕組み - Amazon Route 53
DNS Firewall のコンポーネントと設定Route 53 Resolver DNS Firewall で DNS クエリをフィルタリングする方法DNS Firewall を使用するための手順の概要複数のリージョンで DNS Firewall ルールグループを使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Route 53 Resolver DNS Firewall の仕組み

Route 53 Resolver DNS Firewall を使用すると、サイトへのアクセスを制御し、Route 53 Resolver を介して VPC から送信される DNS クエリに対する DNS レベルの脅威を防ぐことができます。DNS Firewall では、VPC に関連付けるルールグループにドメイン名のフィルタリングルールを定義します。許可またはブロックするドメイン名のリスト、または DNS トンネリングとドメイン生成アルゴリズム (DGA) ベースの脅威から保護する Route 53 Resolver DNS Firewall Advanced ルールを指定できます。ブロックする DNS クエリのレスポンスをカスタマイズできます。ドメインリストを含むルールの場合、ドメインリストをファインチューニングして、MX レコードなどの特定のクエリタイプを許可することもできます。

DNS Firewall は、ドメイン名のみをフィルタリングします。このドメイン名から、ブロックされる IP アドレスを調べることはできません。また、DNS ファイアウォールでは DNS トラフィックをフィルタリングできますが、HTTPS、SSH、TLS、FTP などの他のアプリケーションレイヤープロトコルはフィルタリングできません。

Route 53 Resolver DNS Firewall のコンポーネントと設定

DNS Firewall は、次の中央にあるコンポーネントと設定で管理します。

DNS Firewall ルールグループ

DNS クエリをフィルタリングするために DNS Firewall ルールの再利用可能な名前付きコレクションを定義します。ルールグループにフィルタリングルールを設定し、ルールグループを 1 つ以上の VPC に関連付けます。ルールグループを VPC に関連付けると、VPC の DNS Firewall フィルタリングが有効になります。その後、関連付けられているルールグループを持つ VPC の DNS クエリを Resolver が受信すると、そのクエリは DNS Firewall に送信され、フィルタリングが行われます。

複数のルールグループを 1 つの VPC に関連付ける場合は、各関連付けの優先度設定で処理する順序を指定します。DNS Firewall は、優先度が最も低い設定から VPC のルールグループを処理します。

詳細については、「DNS Firewall のルールグループとルール」を参照してください。

DNS Firewall ルール

DNS Firewall ルールグループ内の DNS クエリに対するフィルタリングルールを定義します。各ルールでは、それぞれドメインリスト、または DNS Firewall 保護を 1 つ指定します。また、ルール内のドメイン仕様に一致するドメインを持つ DNS クエリに対して実行するアクションを指定します。一致するクエリを許可 (ドメインリストのみを含むルール)、ブロック、またはアラートできます。ドメインリストを持つルールでは、リスト内のドメインにクエリタイプを指定することもできます。例えば、特定のドメインの MX クエリタイプをブロックまたは許可できます。ブロックしたクエリのカスタムレスポンスも定義できます。

DNS Firewall ルールでは、一致するクエリに対してのみブロックまたはアラートを実行できます。

ルールグループの各ルールには、ルールグループ内で一意の優先度設定があります。DNS Firewall は、優先度が最も低い設定からルールグループ内のルールを処理します。

DNS Firewall ルールは、定義されているルールグループのコンテキストにのみ存在します。ルールを再利用したり、ルールグループから独立したルールを参照することはできません。

詳細については、「DNS Firewall のルールグループとルール」を参照してください

ドメインリスト

DNS フィルタリングで使用するドメイン仕様の再利用可能な名前付きコレクションを定義します。ルールグループの各ルールには、それぞれに 1 つのドメインリストが必要です。アクセスを許可するドメイン、アクセスを拒否するドメイン、またはその両方の組み合わせを指定できます。独自のドメインリストを作成し、 が AWS 管理するドメインリストを使用できます。

詳細については、「Route 53 Resolver DNS Firewall のドメインリスト」を参照してください。

ドメインリダイレクト設定 (ドメインリストのみ)

ドメインリダイレクト設定を使用すると、DNS ファイアウォールルールを設定して、CNAME、DNAME など、DNS リダイレクトチェーン内のすべてのドメイン (デフォルト) または最初のドメインだけを検査して残りを信頼することができます。DNS リダイレクトチェーン全体を検査する場合は、ルールで ALLOW に設定されたドメインリストに後続のドメインを追加する必要があります。DNS リダイレクトチェーン全体を検査する場合は、後続のドメインをドメインリストに追加し、ルールが実行するアクション (ALLOW、BLOCK、ALERT のいずれか) に設定する必要があります。

詳細については、「DNS Firewall のルール設定」を参照してください。

クエリタイプ (ドメインリストのみ)

クエリタイプ設定では、特定の DNS クエリタイプをフィルタリングするように DNS ファイアウォールルールを設定できます。クエリタイプを選択しない場合、ルールはすべての DNS クエリタイプに適用されます。例えば、特定のドメインのすべてのクエリタイプをブロックし、MX レコードを許可します。

詳細については、「DNS Firewall のルール設定」を参照してください。

DNS Firewall Advanced 保護

DNS クエリの既知の脅威署名に基づいて、疑わしい DNS クエリを検出します。ルールグループ内の各ルールには、単一の DNS Firewall Advanced 保護設定が必要です。保護は、以下から選択できます。

  • ドメイン生成アルゴリズム (DGAs)

    DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。

  • DNS トンネリング

    DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。

  • ディクショナリ DGA

    ディクショナリ DGAs は、攻撃者がディクショナリ単語を使用してドメインを生成し、マルウェアcommand-and-control通信での検出を回避するために使用されます。

DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、アラートするかを選択できます。脅威保護アルゴリズムは、 によって管理および更新されます AWS。

詳細については、「Route 53 Resolver DNS Firewall Advanced」を参照してください。

信頼度しきい値 (DNS Firewall Advanced 保護のみ)

DNS 脅威保護の信頼度しきい値。DNS Firewall Advanced のルールを作成するときに、この値を指定する必要があります。信頼度の値は次のことを意味します。

  • 高 − 誤検出率が低く、最も裏付けのある脅威のみを検出します。

  • 中 − 脅威の検出と誤検出のバランスが取れています。

  • 低 − 脅威の検出率が最も高いが、誤検出も増加します。

詳細については、「DNS Firewall のルール設定」を参照してください。

DNS Firewall ルールグループと VPC 間の関連付け

DNS Firewall ルールグループを使用して VPC に対する保護を定義し、その VPC の Resolver DNS Firewall 設定を有効にします。

複数のルールグループを 1 つの VPC に関連付ける場合は、関連付けの優先度設定で、それらを処理する順序を指定します。DNS Firewall は、優先度が最も低い設定から VPC のルールグループを処理します。

詳細については、「VPC 向けの Route 53 Resolver DNS Firewall による保護の有効化」を参照してください

VPC のResolver DNS Firewall 設定

Resolver が VPC レベルで DNS Firewall による保護をどのように行うかを指定します。この設定は、VPC に関連付けられた DNS Firewall ルールグループが少なくとも 1 つある場合に有効です。

この設定では、DNS Firewall がクエリをフィルタリングできなかった場合に Route 53 Resolver がクエリを処理する方法を指定します。デフォルトでは、Resolver が DNS Firewall からクエリに対するレスポンスを受信しない場合、DNS Firewall はフェールクローズし、クエリをブロックします。

詳細については、「DNS Firewall での VPC の設定」を参照してください。

DNS ファイアウォールアクションのモニタリング

Amazon CloudWatch を使用して、DNS ファイアウォールのルールグループでフィルタリングされた、DNS クエリ数をモニタリングできます。CloudWatch では、生データを収集し、ほぼリアルタイムの読み取り可能なメトリクスに加工します。

詳細については、「Amazon CloudWatch を使用した Route 53 Resolver DNS Firewall のルールグループのモニタリング」を参照してください。

Amazon EventBridge は、イベントを使用してアプリケーションコンポーネント同士を接続するサーバーレスサービスです。これにより、スケーラブルなイベント駆動型アプリケーションを構築できます。

詳細については、「を使用した Route 53 Resolver DNS Firewall イベントの管理 Amazon EventBridge」を参照してください。

Route 53 Resolver DNS Firewall で DNS クエリをフィルタリングする方法

DNS ファイアウォールルールグループが VPC の Route 53 Resolver に関連付けられている場合、次のトラフィックはファイアウォールによってフィルタリングされます。

  • その VPC 内で発信され、VPC DNS を通過する DNS クエリ。

  • オンプレミスのリソースから、リゾルバーエンドポイントを通過して、リゾルバーに関連付けられた DNS ファイアウォールを持つ同じ VPC に渡される DNS クエリ。

DNS Firewall は DNS クエリを受信すると、設定したルールグループ、ルール、その他の設定を使用してクエリをフィルタリングし、Resolver に結果を返します。

  • DNS Firewall は、一致するものが見つかるまで、またはすべてのルールグループを使い果たすまで、VPC に関連付けられたルールグループを使用して DNS クエリの評価を行います。DNS Firewall は、関連付けで設定した優先度の順に、優先順位が最も低い設定からルールグループを評価します。詳細については、「DNS Firewall のルールグループとルール」および「VPC 向けの Route 53 Resolver DNS Firewall による保護の有効化」を参照してください。

  • 各ルールグループ内で DNS Firewall は、一致するものが見つかるまで、またはすべてのルールを使い果たすまで、各ルールのドメインリストまたは DNS Firewall Advanced 保護に対する DNS クエリの評価を行います。DNS Firewall は、優先順位の順に、優先度が最も低い設定からルールを評価します。詳細については、「DNS Firewall のルールグループとルール」を参照してください。

  • DNS Firewall は、ルールのドメインリストまたは、DNS Firewall Advanced ルールの保護によって特定された異常と一致するものを見つけると、クエリの評価を終了して、Resolver に結果を返します。アクションが alert である場合、DNS Firewall は、設定した Resolver ログにもアラートを送信します。詳細についてはDNS Firewall でのルールアクションRoute 53 Resolver DNS Firewall のドメインリスト、およびRoute 53 Resolver DNS Firewall Advancedを参照してください。

  • DNS Firewall が一致するものを見つけられずにすべてのルールグループを評価し終えた場合、通常どおりクエリに対して応答します。

Resolver は、DNS Firewall からのレスポンスに従ってクエリをルーティングします。万が一 DNS Firewall が応答しなかった場合、Resolver は VPC に設定されている DNS Firewall の障害モードを適用します。詳細については、「DNS Firewall での VPC の設定」を参照してください

Route 53 Resolver DNS Firewall を使用するための手順の概要

Amazon Virtual Private Cloud VPC で Route 53 Resolver DNS Firewall のフィルタリングを実装するには、次の手順を実行します。

  • フィルタリングのアプローチ、ドメインリスト、DNS Firewall 保護を定義する — クエリをフィルタリングする方法を決定し、必要なドメイン仕様を特定して、クエリの評価に使用するロジックを定義します。例えば、既知の不正なドメインのリストにあるクエリを除くすべてのクエリを許可できます。または反対に、承認したリストのドメインを除くすべてのドメインをブロックすることもできます。これは、ウォールドガーデンアプローチとして知られています。承認済みまたはブロックされたドメイン仕様の独自のリストを作成および管理し、 が AWS 管理するドメインリストを使用できます。DNS Firewall 保護の場合、クエリをすべてブロックしてフィルタリングするか、脅威 (DGA、DNS トンネリング、ディクショナリ DGA) に関連する異常を含む可能性のあるドメインへの疑わしいクエリトラフィックをアラートして、DNS Firewall 設定をテストできます。詳細については、「Route 53 Resolver DNS Firewall のドメインリスト」および「Route 53 Resolver DNS Firewall Advanced」を参照してください。

  • ファイアウォールルールグループの作成 — DNS Firewall で、VPC 向けの DNS クエリをフィルタリングするルールグループを作成します。ルールグループは、使用するリージョンごとに作成する必要があります。また、異なる VPC の複数のフィルタリングシナリオで再利用できるように、フィルタリング動作を複数のルールグループに分けることもできます。ルールグループについては、「DNS Firewall のルールグループとルール」を参照してください。

  • ルールの追加と設定 — ルールグループで提供するドメインリストおよびフィルタリング動作ごとに、ルールグループにルールを追加します。ルールグループ内でルールが正しい順序で処理されるように、ルールの優先度を設定します。最初に評価するルールの優先順位が最も低くなるようにします。ルールについては、「DNS Firewall のルールグループとルール」を参照してください。

  •  ルールグループを VPC に関連付ける — DNS Firewall ルールグループの使用を開始するには、VPC に関連付けます。VPC で複数のルールグループを使用している場合は、ルールグループが正しい順序で処理されるように、各関連付けの優先度を設定します。最初に評価するルールグループの優先順位が最も低くなるようにします。詳細については、「VPC と Route 53 Resolver DNS Firewall ルールグループ間の関連付けの管理」を参照してください

  • (オプション) VPC の DNS Firewall 設定を変更する— DNS Firewall がレスポンスの送信に失敗した場合、 Route 53 Resolver がクエリをブロックするようにするには、Resolver で VPC の DNS Firewall 設定を変更します。詳細については、「DNS Firewall での VPC の設定」を参照してください

複数のリージョンで Route 53 Resolver の DNS Firewall ルールグループを使用する

Route 53 Resolver DNS Firewall はリージョンサービスであるため、1 つの AWS リージョンで作成したオブジェクトは、そのリージョンでのみ使用できます。同じルールグループを複数のリージョンで使用するには、リージョンごとにルールグループを作成する必要があります。

ルールグループを作成した AWS アカウントは、他の AWS アカウントと共有できます。詳細については、「Route 53 Resolver DNS Firewall ルールグループを AWS アカウント間で共有する」を参照してください。