投稿日: Jan 10, 2024
本日より、Route 53 Resolver DNS Firewall で、DNS クエリ形式の質問セクションに含まれるクエリタイプ (QTYPE) に基づいて DNS トラフィックをフィルタリングできるようになりました。
Route 53 Resolver DNS Firewall は、レピュテーションの低いドメインや悪意のある疑いのあるドメインに対する DNS クエリをブロックしたり、信頼できるドメインへのクエリを許可したりできるようにするマネージドサービスです。ブロックされていないクエリへの応答では、ドメインに関連付けられている IP アドレスやネームサーバーなど、ドメインに関する情報が提供されます。今回のリリースにより、クエリドメイン名 (QNAME) と QTYPE の両方に基づいて DNS ファイアウォールルールを作成し、Amazon Virtual Private Cloud (VPC) のアウトバウンド DNS トラフィックをフィルタリングできるようになりました。たとえば、QTYPE ルールで、任意の TXT レコードへのアウトバウンドクエリを防止するオプションが提供されるようになりました。TXT レコードは、クエリへの応答として A レコードや AAAA レコードよりも多くのデータを送れるため、DNS トンネリング侵入によく使用されます。
Route 53 Resolver DNS Firewall は、AWS GovCloud (米国) リージョンを含む Route 53 が利用可能なすべてのリージョンで利用できます。Amazon Route 53 をご利用いただける AWS リージョンの一覧については、AWS リージョンの表をご覧ください。
Amazon Route 53 Resolver DNS Firewall コンソールまたは API から、Route 53 Resolver DNS Firewall での QTYPE フィルタリングの利用を開始できます。追加費用はかかりません。Route 53 Resolver DNS Firewall の価格などの詳細については、Route 53 Resolver のウェブサイト、価格ページ、ドキュメントをご覧ください。