AWS マネージドドメインリスト
AWS マネージドドメインリストには、悪意のある活動やその他の潜在的脅威に関連するドメイン名が含まれています。AWS では、Route 53 Resolver を使用するお客様が DNS ファイアウォールを使用する際にアウトバウンド DNS クエリに対して無料でチェックできるように、これらのリストを維持しています。
絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドドメインリストを使用すると、DNS Firewall を実装して使用する際の時間節約になります。AWS は、新しい脆弱性と脅威が出現すると、リストを自動的に更新します。AWS には一般に公開される前に新しい脆弱性が通知されることが多いので、DNS Firewall では、多くの場合、新しい脅威が広く知られる前でも緩和策をデプロイできます。
AWS マネージドドメインリストは、一般的なウェブの脅威からユーザーを保護するためのサポートを提供するように設計されており、アプリケーションに別のセキュリティレイヤーを追加します。AWS マネージドドメインリストは、内部 AWS ソースと RecordedFuture
ベストプラクティスとして、本番稼働環境でマネージドドメインリストを使用する前に、ルールアクションを Alert に設定して、非本稼働環境でテストを行います。Route 53 Resolver DNS Firewall のサンプルリクエストまたは DNS Firewall ログと組み合わせた Amazon CloudWatch メトリクスを使用して、ルールを評価します。ルールが希望通りであることを確認したら、必要に応じてアクション設定を変更します。
マネージドドメインリストを利用できますか?
このセクションでは、現在利用可能な マネージドドメインリストについて説明します。これらのリストがサポートされているリージョンにいる場合、ドメインリストの管理やルールのドメインリストの指定を行う際、コンソールに表示されます。ログでは、ドメインリストは firewall_domain_list_id field にログインします。
AWS では、Route 53 Resolver DNS Firewall のすべてのユーザーに対して、利用可能なリージョンで次のマネージドドメインリストを提供しています。
-
AWSManagedDomainsMalwareDomainList— — マルウェアの送信、ホスティング、配布に関連するドメイン。 -
AWSManagedDomainsBotnetCommandandControl— スパムマルウェアに感染したコンピュータのネットワーク制御に関連するドメイン。 -
AWSManagedAggregateThreatList– マルウェア、ランサムウェア、ボットネット、スパイウェア、DNS トンネリングなど、複数の DNS 脅威のカテゴリに関連するドメイン。複数の種類の脅威をブロックするのに役立ちます。
マネージドドメインリストは、ダウンロードや閲覧はできません。知的財産権を守るために、AWS マネージドドメインリスト内の個々のドメイン仕様を表示または編集することはできません。この制限はまた、悪意のあるユーザーが具体的に公開されているリストを避けて脅威を作り出すことを防ぐのにも役立ちます。
マネージドドメインリストの詳細については、AWS Support センター
次の表に、AWS マネージドドメインリストが利用可能なリージョンのリストを示します。
AWS マネージドドメインリストが利用可能なリージョン | |
|---|---|
| リージョン | マネージドドメインリストを利用できますか? |
|
アジアパシフィック (ムンバイ) |
はい |
|
アジアパシフィック (ソウル) |
あり |
| アジアパシフィック (シンガポール) |
あり |
|
アジアパシフィック (シドニー) |
あり |
|
アジアパシフィック (東京) |
はい |
|
アジアパシフィック(大阪)リージョン |
はい |
|
Canada (Central) Region |
はい |
|
Europe (Frankfurt) Region |
はい |
|
欧州 (アイルランド) リージョン |
はい |
|
Europe (London) Region |
はい |
|
欧州 (ミラノ) |
はい |
|
欧州 (パリ) リージョン |
はい |
|
欧州 (ストックホルム) |
はい |
|
南米 (サンパウロ) |
はい |
|
米国東部(バージニア北部) |
あり |
|
米国東部 (オハイオ) |
あり |
|
米国西部 (北カリフォルニア) |
あり |
|
米国西部 (オレゴン) |
はい |
|
アジアパシフィック (ジャカルタ) |
はい |
|
アフリカ (ケープタウン) |
はい |
|
中国 (北京) |
はい |
|
中国 (寧夏) |
はい |
|
AWS GovCloud (US) |
はい |
|
アジアパシフィック (香港) |
はい |
|
中東 (バーレーン) |
はい |
セキュリティに関するその他の考慮事項
AWS マネージドドメインリストは、一般的なウェブの脅威からお客様を保護するように設計されています。ドキュメントに従って使用した場合、これらのリストはアプリケーションに別のセキュリティレイヤーを追加します。ただし、マネージドドメインリストは、選択した AWS リソースに伴うセキュリティコントロールに代わるものではありません。AWS のリソースが適切に保護されるようにするには、責任共有モデル
誤検出シナリオの軽減
マネージドドメインリストを使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。
-
Resolver ログで、誤検出の原因となっているルールグループとマネージドドメインリストを特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、ルールグループ、ルールアクション、マネージドリストが一覧表示されます。ログの詳細については、「Resolver クエリログに表示される値」を参照してください。
-
ブロックしたクエリを明示的に許可するルールグループに新しいルールを作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。 ルールグループおよびルールの作成のルールグループおよびルールの管理に関するガイダンスに従ってください。
-
ルールグループ内で新しいルールの優先度を設定して、そのルールをマネージドリストを使用しているルールの前に実行できるようにします。これを行うには、新しいルールの優先順位の数値を小さく設定します。
ルールグループを更新すると、ブロックルールが実行される前に、許可するドメイン名が新しいルールによって明示的に示されます。
