Amazon Route 53 グローバルリゾルバー (プレビュー)

Route 53 は、異なる目的を持つ 2 つのリゾルバーサービスを提供しています: グローバルリゾルバーエニーキャスト DNS リゾルバーは、インターネット経由でどこからでもグローバルに到達可能で、暗号化された DNS クエリ (DoH または DoT 経由) を提供し、プライベートドメインとパブリックドメインの両方のセキュアな解決を必要とするオンプレミスクライアントとマルチリージョンデプロイ向けに設計されています。一方、VPC リゾルバー (旧称: Route 53 リゾルバー) は、あらゆるリージョンにおける Amazon VPC のデフォルトの再帰的リゾルバーであり、VPC ホストクライアントによって、またはリゾルバーエンドポイント経由の VPN や Direct Connect などのプライベート接続を通じて、アクセスできます。DNS 暗号化は、これらのエンドポイント経由のハイブリッドクエリでのみ利用できます。

Route 53 グローバルリゾルバーは、インターネット経由でどこからでもグローバルに到達できる DNS リゾルバーです。これを利用することで、パブリックドメインとプライベートドメインの両方のトラフィックを簡単に解決および転送できるため、インターネット経由のクエリのセキュリティと信頼性を確保するのに役立ちます。グローバルリゾルバーは、エンタープライズが、グローバルエニーキャスト IP 経由で到達できる統合ソリューションを提供することで、オンプレミス、支社、リモートクライアントから、AWS でホストされている Route 53 プライベートホストゾーンに関連付けられたパブリックドメインとプライベートドメインに対して実行されるクエリの解決を簡素化するのに役立ちます。また、グローバルリゾルバーは、暗号化された DNS 接続 (DNS-over-HTTPs/DNS-over-TLS を使用) 向けのオプションと、悪意のある可能性のあるドメインやレピュテーションの低いドメインに対するクエリを制御およびブロックするのに役立つ機能を提供することで、クライアントのために DNS クエリのセキュリティを確保するのにも役立ちます。 

グローバルリゾルバーは、クライアントのための DNS 解決と接続の管理、および組織のセキュリティ要件に準拠した DNS フィルタリングポリシーの強制適用を担当するネットワーク管理者によって使用されるべきです。また、グローバルリゾルバーは、パブリックドメインとプライベートドメインにルーティングされる DNS トラフィックの転送と分割に用いられるカスタム DNS フォワーダーの運用コストをネットワーク管理者が削減するのにも役立ちます。

グローバルリゾルバーは、3 つの主な利点をお客様に提供します:

1. DNS 解決の簡素化 – グローバルリゾルバーは、お客様の転送ソリューションの設定と維持に必要な管理、コスト、複雑さが最小限に抑えることによって、お客様が、インターネット上のパブリックドメイン、およびお客様によってホストされる Route 53 プライベートホストゾーンに関連付けられたプライベートドメインに対する、クライアントによって実行されたクエリの DNS 解決と転送を簡素化するのに役立ちます。
2. 強化されたセキュリティ体制 – グローバルリゾルバーを使用すると、管理者は、オンプレミスや支社でホストされているクライアント、またはリモートクライアントのために、ポリシーを一貫して強制適用することによって、悪意のある可能性のあるドメインやレピュテーションの低いドメインに対する DNS クエリを制御およびフィルタリングすることで、組織全体のセキュリティ体制を強化できます。また、お客様は、ユーザークエリログに継続的にアクセスできるため、クエリアクティビティの監査やセキュリティおよびビジネス要件の遵守に役立つ詳細なレポートを生成できます。グローバルリゾルバーは、すべてのクライアントのために、ポリシーを単一の場所で設定、監査、強制適用する単一の場所を提供することによって、ネットワーキングおよびセキュリティチームのセキュリティ運用を簡素化します。
3. グローバルな可用性 – お客様は、複数の AWS リージョンに配置されるようにグローバルリゾルバーを設定できるため、地理的に最も近い場所とレイテンシーが実現されるよう最適化しながら、どこからでも顧客からのクエリに応答するのに役立ちます。

グローバルリゾルバーは、次の 5 つの簡単なステップで開始できます:

1. グローバルリゾルバーをインスタンス化する AWS リージョンを選択します。 
2. クライアントを識別および認証するための認証メカニズム (アクセスソース (IP ACL) および/またはアクセストークン) を選択します。いずれの認証オプションでも、プロトコルのタイプ (Do53、DoH、または DoT) も選択する必要があります。異なる IP 範囲のセットについて、1 つ以上のプロトコルを選択できます。 
3. 適用するドメインリストと高度な DNS 保護、アクション (許可、ブロック、アラート)、およびルールの優先度を指定することによって、DNS フィルタリングルールを設定します。 
4. トラフィックの転送先とする Route 53 プライベートホストゾーンを特定します。 
5. (オプション): ログ記録オプション (Amazon S3、Amazon Data Firehose、Amazon CloudWatch) とログの保存先とする AWS リージョンを指定することによって、ログ記録を設定します。

はい。グローバルリゾルバーは、VPN および企業ネットワークを使用しているお客様が使用できます。

はい。お客様は、2 つ以上の AWS リージョン、または利用可能なすべてのリージョンにわたってサービスをインスタンス化できます。お客様によってインスタンス化されたリージョンのうち、サービスは、地理的に最も近いリージョンからクエリを解決します。グローバルリゾルバーには、お客様固有の 2 つの IPv4 パブリックルーティング可能なグローバルエニーキャスト IP アドレスのセットへの DNS-over-UDP、DNS-over-HTTPS、または DNS-over-TLS 接続を介して、認証されたお客様のデバイスによってアクセスできます。

グローバルリゾルバーは、2 つの認証メカニズムをサポートします 1.) DoH および DoT 用のトークンベース認証 2.) Do53、DoT、または DoH 用の ACL ベースの IP および CIDR 許可リスト。

管理者は、グローバルリゾルバーインスタンスを確立し、組織内のさまざまなクライアントのために固有のアクセストークンを生成できます。これらのトークンは、カスタマイズ可能な有効期限や、共有トークンと個別トークンの選択など、柔軟な管理オプションを提供します。管理者は、必要に応じて新しいトークンを簡単に作成したり、特定のトークンを取り消したりできます。グローバルリゾルバーは、堅牢な認証プロセスを採用し、DNS クエリを処理する前に各トークンクレームを検証します。

有効なトークンを伴うリクエストは許可され、無効なクレームを伴うリクエストは即座に拒否されます。これは、DNS 解決サービスへのセキュアで制御されたアクセスを確保するのに役立ちます。

ACL ベースの許可リストを使用すると、管理者は、どの送信元 IP アドレスまたは CIDR 範囲がサービスを使用できるかを定義することによって、グローバルリゾルバーへのアクセスを制御できます。許可リストに登録されたエントリごとに、管理者は、許可する DNS プロトコル (Do53、DoT、または DoH) を指定できます。ネットワークアクセス要件が変更された場合、管理者は、許可リストの IP アドレスと CIDR 範囲を簡単に更新または削除して、セキュリティを維持できます。

グローバルリゾルバーの DNS フィルタリング機能は、Route 53 Resolver DNS ファイアウォールと同じ、実績のある機能を活用します。管理者は、ルールの順序付きリストを含む DNS フィルタリングルールを作成します。各ルールでは、アクション (ALLOW、BLOCK、または ALERT) と、ドメインに一致するための一致基準を指定します。DNS クエリが到達すると、グローバルリゾルバーは、一致が見つかるまで、優先順位に従ってルールに照らしてそのクエリを評価します。各ルールは、既知の脅威に関する Route 53 マネージドドメインリスト、管理者によって作成されたカスタムドメインリスト、または高度な脅威保護を参照できます。マネージドドメインリストの場合、管理者は、ウェブコンテンツ (ゲーム、ソーシャルメディアなど) や、マルウェア、スパム、フィッシングなどの DNS 脅威別に分類されたドメインリストに基づいてフィルタリングできます。BLOCK アクションの場合、管理者は、カスタムレスポンスを設定し、NXDOMAIN、NODATA、または特定の DNS レスポンスを返すことができます。ALERT アクションはクエリの通過を許可しますが、セキュリティレビューのためにログ記録します。

マネージドドメインリストには、悪意のあるアクティビティに関連付けられているドメイン名や、仕事で安全に使用できない他のドメインが含まれています。AWS はこれらのリストを管理することで、Route 53 グローバルリゾルバーをご利用のお客様が、アウトバウンド DNS クエリでこれらの脅威を回避できるようにしています。マネージドドメインリストは、ウェブコンテンツ (ソーシャルメディア、ゲーム、アダルトサイト、ギャンブルなど) と DNS 脅威 (マルウェア、フィッシング、スパム、ボットネットなど) 別に分類されています。

はい。グローバルリゾルバーは、高度な DNS ベースの脅威に対する高度な保護を提供します。具体的なセキュリティ機能には次が含まれます: 1) ドメイン生成アルゴリズム (DGA) 検出: グローバルリゾルバーは、マルウェアが検出を回避し、コマンドアンドコントロールサーバーとの通信を維持するために一般的に使用する DGA によって作成された可能性のあるドメインに対するクエリを識別してブロックできます。2) DNS トンネリング検出: このサービスは、データ抽出やコマンドアンドコントロール通信のための隠れチャネルとして DNS を利用しようとする試みを検出してブロックします。これらの高度な保護機能は、DNS ファイアウォールルールの設定時にオプトインオプションとして利用できます。これらの保護を有効にすることで、組織は、従来のドメインブロックリストやコンテンツフィルタリングを補完し、進化し続ける複雑な DNS ベースの脅威に対する防御を大幅に強化できます。

はい。グローバルリゾルバーで認証を行うお客様は、AWS リージョン間で PHZ を解決できます。

はい。グローバルリゾルバーは、DNSSEC (ドメインネームシステムセキュリティ拡張) 検証をサポートしています。有効にすると、DNSSEC が割り当てられたドメインのパブリックネームサーバーからの DNS 応答の信頼性と完全性を検証します。この検証により、DNS 応答が送信中に改ざんされていないことを確認でき、DNS スプーフィングやキャッシュポイズニング攻撃に対する追加のセキュリティレイヤーが提供されます。管理者は DNS ビューごとに DNSSEC 検証を有効または無効にできるため、柔軟なセキュリティ設定が可能です。 

グローバルリゾルバーは、プレビュー中に、11 の商用リージョンでご利用いただけます。お客様は、グローバルリゾルバーをこれらのすべてのリージョンでご利用いただくか、特定のリージョンでご利用いただくかを選択できます。

はい。グローバルリゾルバーは、クライアントが利用可能にするクライアントサブネット情報を転送するオプトイン機能を備えた EDNS クライアントサブネットをサポートします。この機能により、より正確な地理ベースの DNS 応答が可能になり、顧客からの DNS クエリをより近いコンテンツ配信ネットワークまたはサーバーにルーティングすることで、解決レイテンシーを低減できる可能性があります。

グローバルリゾルバーには、DDoS の脅威を軽減するための複数のメカニズムが備わっています: 1) グローバルリゾルバーは、DDoS 攻撃から保護するために AWS Shield を利用します。2) また、グローバルリゾルバーには、Route53 サービスチームによって影響発生時に更新される動的ルールに基づいて、トップトーカーメトリクスとレート制限を使用するカスタム動的 DDoS 実装も備わっています。これにより、グローバルリゾルバーは、特定のソース IP からの大量の障害または高い障害率が発生した場合でも迅速に対応できます。また、デフォルトのスロットリングと負荷制限も構築します。

はい。プライベートホストゾーン (PHZ) でオンボーディングする必要があります。