Amazon Web Services ブログ

DNS over HTTPS が Amazon Route 53 Resolver で使用可能に

12月20日より、Amazon Route 53 Resolver は、インバウンドとアウトバウンドの両方の Resolver エンドポイントのために DNS over HTTPS (DoH) プロトコルの使用をサポートします。その名前が示すように、DoH は、ドメインネームシステム (DNS) 解決のために交換されるデータを暗号化することを目的として、TLS 経由で HTTP または HTTP/2 をサポートします。

DoH は、TLS 暗号化を使用して、DoH クライアントと DoH ベースの DNS リゾルバー間で交換される DNS データの盗聴や操作を防止し、プライバシーとセキュリティを強化します。

これは、ゼロトラストアーキテクチャを実装するのに役立ちます。ゼロトラストアーキテクチャでは、セキュリティ境界の内外で動作するいかなるアクター、システム、ネットワーク、またはサービスも信頼されず、すべてのネットワークトラフィックが暗号化されます。DoH の使用は、US Office of Management and Budget (OMB) のこの覚書に記載されているような推奨事項に従うのにも役立ちます。

Amazon Route 53 Resolver での DNS over HTTPS のサポート
Amazon Route 53 Resolver を利用して、ハイブリッドクラウド環境で DNS クエリを解決できます。例えば、このサービスを利用すると、ハイブリッドネットワーク内のどこからでも AWS サービスが DNS リクエストにアクセスするのを許可できます。これを行うには、インバウンドおよびアウトバウンドの Resolver エンドポイントを設定します。

  • インバウンド Resolver エンドポイントを使用すると、オンプレミスネットワークまたは別の VPC から、使用している VPC への DNS クエリが可能になります。Amazon Route 53 Resolver のインバウンドエンドポイントのアーキテクチャ。
  • アウトバウンド Resolver エンドポイントを使用すると、使用している VPC から、オンプレミスネットワークまたは別の VPC への DNS クエリが可能になります。Amazon Route 53 Resolver のアウトバウンドエンドポイントのアーキテクチャ。

Resolver エンドポイントを設定した後、使用している VPC からオンプレミスの DNS リゾルバー (アウトバウンド)、およびオンプレミスから使用している VPC (インバウンド) に DNS クエリを転送するドメインの名前を指定するルールを設定できます。

これで、インバウンドまたはアウトバウンドの Resolver エンドポイントを作成または更新するときに、使用するプロトコルを指定できるようになりました。

  • ポート 53 経由の DNS ([Do53])。UDP または TCP のいずれかを使用してパケットを送信します。
  • DNS over HTTPS ([DoH])。TLS を使用してデータを暗号化します。
  • 両方。DNS クライアントがどちらを使用するかによります。
  • FIPS の準拠のために、インバウンドエンドポイント用の特定の実装 (DoH-FIPS) が用意されています。

これが実際にどのように機能するかを見てみましょう。

Amazon Route 53 Resolver での DNS over HTTPS の使用
Route 53 コンソールで、ナビゲーションペインの [Resolver] セクションから [インバウンドエンドポイント] を選択します。そこで、[インバウンドエンドポイントを作成] を選択します。

エンドポイントの名前を入力し、VPC、セキュリティグループ、およびエンドポイントタイプ (IPv4、IPv6、またはデュアルスタック) を選択します。暗号化された DNS 解決と暗号化されていない DNS 解決の両方の使用を許可するには、[このエンドポイントのプロトコル] オプションで [Do53][DoH]、および [DoH-FIPS] を選択します。

コンソールのスクリーンショット。

その後、DNS クエリ用に IP アドレスを設定します。2 つのアベイラビリティーゾーンと、それぞれのサブネットを選択します。この設定では、サブネット内で使用可能な IP アドレスから自動的に IP アドレスを選択するオプションを使用します。

インバウンドエンドポイントの作成が完了したら、amazonaws.com ドメイン (AWS サービスエンドポイントによって使用されます) へのリクエストをインバウンドエンドポイントの IP アドレスに転送するようにネットワーク内の DNS サーバーを設定します。

同様に、アウトバウンド Resolver エンドポイントを作成し、プロトコルとして [Do53][DoH] の両方を選択します。その後、アウトバウンド Resolver エンドポイントがネットワーク内の DNS サーバーにリクエストを転送する必要があるドメインを指示する転送ルールを作成します。

これで、ハイブリッド環境の DNS クライアントがリクエストで DNS over HTTPS を使用すると、DNS 解決が暗号化されるようになりました。オプションで、暗号化を強制し、インバウンドエンドポイントとアウトバウンドエンドポイントの設定で [DoH] のみを選択できます。

留意点
Amazon Route 53 Resolver の DNS over HTTPS のサポートは、GovCloud リージョンおよび中国に拠点を置くリージョンを含む、Route 53 Resolver が提供されているすべての AWS リージョンで現在ご利用いただけます。

ポート 53 経由の DNS は、引き続きインバウンドまたはアウトバウンドの Resolver エンドポイントのデフォルトです。この方法では、DNS over HTTPS を採用しない限り、既存のオートメーションツールを更新する必要はありません。

Resolver エンドポイントで DNS over HTTPS を使用する場合、追加料金はかかりません。詳細については、「Route 53 の料金」をご覧ください。

Amazon Route 53 Resolver で DNS over HTTPS の使用を開始して、ハイブリッドクラウド環境のプライバシーとセキュリティを強化しましょう。

Danilo

原文はこちらです。