投稿日: Mar 31, 2021
本日、AWS は Amazon Route 53 Resolver DNS Firewall のリリースを発表しました。これは、お客様が既知の悪意のあるドメインに対して行われた DNS クエリをブロックし、信頼できるドメインに対するクエリを許可できるようにするマネージドファイアウォールです。DNS Firewall は、Amazon Virtual Private Cloud (VPC) 内のリソースの DNS クエリ動作をよりきめ細かく制御します。
Route 53 Resolver は、すべての Amazon VPC でデフォルトで使用可能な DNS サーバー (「AmazonProvidedDNS」または「.2 リゾルバー」と呼ばれる場合があります) です。Route 53 Resolver は、パブリック DNS レコード、VPC 固有のドメイン名、および Route 53 プライベートホストゾーンの VPC 内の AWS のリソースからの DNS クエリに応答します。お客様は、VPC 内のリソースが実行できる DNS クエリをより細かく制御することを求めています。これらのお客様は、(悪意のある攻撃者が DNS クエリを使用して機密データをネットワークから盗み出す) DNS の流出を懸念していたり、組織内のユーザーがアクセスを許可されているサイトをより細かく制御することを希望していたりする場合があります。
Route 53 Resolver DNS Firewall を使用すると、VPC リソースが DNS を介して通信することを望まないドメインの「ブロックリスト」を作成できます。指定したドメインに対してのみアウトバウンド DNS クエリを許可する「許可リスト」を作成することにより、より厳密な「ウォールドガーデン」アプローチを採用することもできます。また、アウトバウンド DNS クエリが特定のファイアウォールルールに一致した場合のアラートを作成して、本番トラフィックにデプロイする前にルールをテストすることもできます。Route 53 Resolver DNS Firewall は、マルウェアドメインと、ボットネットコマンドおよび制御ドメインの 2 つのマネージドドメインリストを提供し、一般的な脅威に対するマネージド型の保護をすばやく開始できるようにします。
AWS Organizations を使用して複数の AWS アカウントを管理している場合は、AWS Firewall Manager を使用して、単一の管理者アカウントから複数のアカウントと VPC に Route 53 Resolver DNS Firewall ルールをデプロイできます。Firewall Manager は、セキュリティ管理者に、組織のためのさまざまなファイアウォールルールのセットを一元的に設定および管理するための単一の場所を提供し、新しいアカウントとリソースを自動的に検出して、組織のセキュリティルールのセットに準拠させます。Route 53 Resolver DNS Firewall を使用すると、お客様は、アカウント、組織単位 (OU)、および組織内の VPC 全体に DNS Firewall ルールを一元的にデプロイできます。または、AWS Resource Access Manager (RAM) を使用して、アカウント全体でファイアウォールルールを直接共有することもできます。AWS Resource Access Manager を使用すると、お客様はさまざまな AWS のサービスの AWS リソースを他の AWS アカウントと一元的に共有できます。Amazon CloudWatch Metrics を利用して、ファイアウォールによってブロックまたは許可されている DNS クエリの数をルールレベルまで把握できます。また、Route 53 Resolver Query Logs を使用してログ記録を有効にし、各 VPC リソースのブロックされたクエリと許可されたクエリに関するインスタンスレベルの情報を取得することもできます。ログを CloudWatch ロググループに保存することを選択した場合は、CloudWatch Contributor Insights を使用してルールを作成し、ファイアウォールによってブロックされているクエリを最も多く行う上位のリソースなど、カーディナリティの高いデータを生成できます。
Amazon Route 53 Resolver DNS Firewall は、米国東部 (バージニア北部)、欧州 (アイルランド)、アジアパシフィック (ムンバイ)、米国西部 (オレゴン) でご利用いただけるようになりました。また、他のすべての AWS 商用リージョンと AWS GovCloud (米国) リージョンでも数日以内にご利用いただけるようになる予定です。 この機能を利用するには、Route 53 のドキュメントと AWS ニュースブログの Route 53 Resolver DNS Firewall に関するお知らせをご覧ください。料金の詳細については、Route 53 の料金のページにアクセスしてください。