マネージドドメインリスト - Amazon Route 53

マネージドドメインリスト

管理対象ドメインの一覧には、悪意のある活動やその他の潜在的脅威に関連するドメイン名が含まれています。AWS では、Route 53 Resolver を使用するお客様が、DNS ファイアウォールを使用する際にアウトバウンド DNS クエリに対して無料でチェックできるように、これらのリストを維持しています。

絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドドメインリストを使用すると、DNS ファイアウォールを実装して使用する際の時間節約になります。AWS は、新しい脆弱性と脅威が出現すると、マネージドドメインリストを自動的に更新します。AWS は、一般に公開される前に新しい脆弱性が通知されることが多いので、DNS ファイアウォールは多くの場合、新しい脅威が広く知られる前でも緩和策をデプロイできます。

AWS マネージドドメインリストは、一般的なウェブの脅威からユーザーを保護するためのサポートを提供するように設計されており、アプリケーションに別のセキュリティレイヤーを追加します。ただし、AWS マネージドドメインリストは、選択した AWS リソースに伴うセキュリティコントロール (Amazon GuardDuty など) に代わるものではありません。

AWS マネージドドメインリストは現在、一部のリージョンでは利用できません。次の表に、利用可能なリージョンのリストを示します。

マネージドドメインリストが利用可能なリージョン
リージョン マネージドドメインリストを利用できますか?

アジアパシフィック (ムンバイ)

はい

アジアパシフィック (ソウル)

あり

アジアパシフィック (シンガポール)

あり

アジアパシフィック (シドニー)

あり

アジアパシフィック (東京)

はい

アジアパシフィック(大阪)リージョン

はい

Canada (Central) Region

はい

Europe (Frankfurt) Region

はい

欧州 (アイルランド) リージョン

はい

Europe (London) Region

はい

欧州 (パリ) リージョン

はい

欧州 (ストックホルム)

はい

南米 (サンパウロ)

はい

米国東部(バージニア北部)

あり

米国東部 (オハイオ)

あり

米国西部 (北カリフォルニア)

あり

米国西部 (オレゴン)

はい

AWS GovCloud (US)

いいえ

アジアパシフィック (香港)

いいえ

中東 (バーレーン)

いいえ

アフリカ (ケープタウン)

いいえ

ヨーロッパ (ミラノ)

いいえ

アジアパシフィック (ジャカルタ)

いいえ

AWS マネージドドメインリストを利用できますか?

このセクションでは、現在利用可能な AWS マネージドドメインリストについて説明します。これらのドメインリストがサポートされているリージョンにいる場合、ドメインリストの管理やルールのドメインリストの指定を行う際、コンソールに表示されます。ログでは、ドメインリストは firewall_domain_list_id field にログインします。

AWSは、Route 53 Resolver DNS Firewall のすべてのユーザーに対して、利用可能なリージョンで次のマネージドドメインリストを提供します。

  • AWSManagedDomainsMalwareDomainList — — マルウェアの送信、ホスティング、配布に関連するドメイン。

  • AWSManagedDomainsBotnetCommandandControl— スパムマルウェアに感染したコンピュータのネットワーク制御に関連するドメイン。

マネージドドメインリストは、ダウンロードや閲覧はできません。知的財産権を守るために、ドメインリスト内の個々のドメイン仕様を表示または編集することはできません。この制限はまた、悪意のあるユーザーが具体的に公開されているリストを避けて脅威を作り出すことを防ぐのにも役立ちます。

マネージドドメインリストの詳細については、AWS Support センターにお問い合わせください。

ベストプラクティスとして、本番稼働環境でマネージドドメインリストを使用する前に、ルールアクションを Alert に設定して、非本稼働環境でテストを行います。Route 53 Resolver DNS Firewall のサンプルリクエストまたは DNS Firewall ログと組み合わせた Amazon CloudWatch メトリクスを使用して、ルールを評価します。ルールが希望通りであることを確認したら、必要に応じてアクション設定を変更します。

セキュリティに関するその他の考慮事項

AWS マネージドドメインリストは、一般的なウェブの脅威からお客様を保護するように設計されています。ドキュメントに従って使用した場合、AWS マネージドドメインリストはアプリケーションに別のセキュリティレイヤーを追加します。ただし、 AWS マネージドドメインリストは、選択した AWS リソースに伴うセキュリティコントロールに代わるものではありません。AWS のリソースが適切に保護されるようにするには、責任共有モデルのガイダンスを参照してください。

誤検出シナリオの軽減

AWSマネージドドメインリストを使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。

  1. Resolver ログで、誤検出の原因となっているルールグループとマネージドドメインリストを特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、ルールグループ、ルールアクション、マネージドドメインリストが一覧表示されます。ログの詳細については、「Resolver クエリログに表示される値」を参照してください。

  2. ブロックしたクエリを明示的に許可するルールグループに新しいルールを作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。 ルールグループおよびルールの作成のルールグループおよびルールの管理に関するガイダンスに従ってください。

  3. ルールグループ内で新しいルールの優先度を設定して、そのルールをマネージドドメインリストを使用しているルールの前に実行できるようにします。これを行うには、新しいルールの優先度を低く設定します。

ルールグループを更新すると、ブロックルールが実行される前に、許可するドメイン名が新しいルールによって明示的に示されます。