投稿日: Apr 7, 2021
先週、AWS は Amazon Route 53 Resolver DNS Firewall を発表しました。これは、お客様が既知の悪意のあるドメインに対して行われた DNS クエリをブロックし、信頼できるドメインに対するクエリを許可できるようにするマネージドファイアウォールです。DNS Firewall は、Amazon Virtual Private Cloud (VPC) 内のリソースの DNS クエリ動作をよりきめ細かく制御します。
Route 53 Resolver DNS Firewall を使用すると、VPC リソースが DNS を介して通信することを望まないドメインの「ブロックリスト」を作成できます。指定したドメインに対してのみアウトバウンド DNS クエリを許可する「許可リスト」を作成することにより、より厳密な「ウォールドガーデン」アプローチを採用することもできます。また、アウトバウンド DNS クエリが特定のファイアウォールルールに一致した場合のアラートを作成して、本番トラフィックにデプロイする前にルールをテストすることもできます。Route 53 Resolver DNS Firewall は、マルウェアドメインと、ボットネットコマンドおよび制御ドメインの 2 つのマネージドドメインリストを提供し、一般的な脅威に対するマネージド型の保護をすばやく開始できるようにします。
Route 53 Resolver DNS Firewall は AWS Firewall Manager と統合するので、単一の管理者アカウントから複数のアカウントと VPC にルールをプッシュできます。または、AWS Resource Access Manager (RAM) を使用して、アカウント全体でファイアウォールルールを直接共有することもできます。Route 53 Resolver Query Logs を使用すると、各 VPC リソースのブロックされたクエリや許可されたクエリなど、ファイアウォールのインスタンスレベルのログを取得できます。ログを CloudWatch ロググループに保存することを選択した場合は、CloudWatch Contributor Insights を使用してルールを作成し、ファイアウォールによってブロックされているクエリを最も多く行う上位のリソースなど、カーディナリティの高いデータを生成できます。
Amazon Route 53 Resolver DNS Firewall は、すべての AWS 商用リージョンと AWS GovCloud (米国) リージョンで一般提供されています。この機能の使用を開始するには、Route 53 のドキュメントにアクセスしてください。料金の詳細については、Route 53 の料金のページにアクセスしてください。