マネージドドメインリスト - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マネージドドメインリスト

マネージドドメインリストには、悪意のあるアクティビティやその他の潜在的な脅威に関連するドメイン名が含まれています。 はこれらのリスト AWS を維持し、Route 53 Resolver のお客様が DNS Firewall を使用する際にアウトバウンド DNS クエリを無料でチェックできるようにします。

絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドドメインリストを使用すると、DNS Firewall を実装して使用する時間を節約できます。 は、新しい脆弱性や脅威が発生したときにリスト AWS を自動的に更新します。 AWS は、公開前に新しい脆弱性の通知を受け取ることが多いため、DNS Firewall は、新しい脅威が広く知られる前に緩和策を頻繁にデプロイできます。

マネージドドメインリストは、一般的なウェブの脅威からユーザーを保護するためのサポートを提供するように設計されており、アプリケーションに別のセキュリティレイヤーを追加します。Managed AWS Domain Lists は、内部 AWS ソースと RecordedFuture の両方からデータを取得し、継続的に更新されます。ただし、 AWS マネージドドメインリストは、選択した AWS リソースによって決定される Amazon GuardDutyなどの他のセキュリティコントロールに代わるものではありません。

ベストプラクティスとして、本番稼働環境でマネージドドメインリストを使用する前に、ルールアクションを Alert に設定して、非本稼働環境でテストを行います。Route 53 Resolver DNS Firewall のサンプルリクエストまたは DNS Firewall ログと組み合わせた Amazon CloudWatch メトリクスを使用して、ルールを評価します。ルールが希望通りであることを確認したら、必要に応じてアクション設定を変更します。

利用可能な AWS マネージドドメインリスト

このセクションでは、現在利用可能な マネージドドメインリストについて説明します。これらのリストがサポートされているリージョンにいる場合、ドメインリストの管理やルールのドメインリストの指定を行う際、コンソールに表示されます。ログでは、ドメインリストは firewall_domain_list_id field にログインします。

AWS は、Route 53 Resolver DNS Firewall のすべてのユーザーに、利用可能なリージョンで次のマネージドドメインリストを提供します。

  • AWSManagedDomainsMalwareDomainList — — マルウェアの送信、ホスティング、配布に関連するドメイン。

  • AWSManagedDomainsBotnetCommandandControl — スパムマルウェアに感染したコンピュータのネットワーク制御に関連するドメイン。

  • AWSManagedDomainsAggregateThreatList – マルウェア、ランサムウェア、ボットネット、スパイウェア、DNS トンネリングなど、複数の DNS 脅威カテゴリに関連付けられているドメイン。 AWSManagedDomainsAggregateThreatListには、ここにリストされている他の AWS マネージドドメインリストのすべてのドメインが含まれます。

  • AWSManagedDomainsAmazonGuardDutyThreatList – Amazon GuardDuty DNS セキュリティの検出結果に関連付けられたドメイン。ドメインは GuardDuty の脅威インテリジェンスシステムのみから取得されており、外部のサードパーティーのソースから取得されたドメインは含まれません。より具体的には、現在、このリストは内部的に生成され、GuardDuty で次の検出に使用される次のドメインのみをブロックします: Impact:EC2/AbusedDomainRequest.Reputation、Impact:EC2/BitcoinDomainRequest.Reputation、Impact:EC2/MaliciousDomainRequest.Reputation、Impact:Runtime/AbusedDomainRequest.Reputation、Impact:Runtime/BitcoinDomainRequest.Reputation、Impact:Runtime/MaliciousDomainRequest.Reputation。

    詳細については、「Amazon GuardDuty ユーザーガイド」の「検出結果タイプ」を参照してください。

AWS マネージドドメインリストをダウンロードまたは参照することはできません。知的財産を保護するために、 AWS マネージドドメインリスト内の個々のドメイン仕様を表示または編集することはできません。この制限はまた、悪意のあるユーザーが具体的に公開されているリストを避けて脅威を作り出すことを防ぐのにも役立ちます。

マネージドドメインリストをテストするには

マネージドドメインリストのテスト用に、以下のドメインセットが用意されています。

AWSManagedDomainsBotnetCommandandControl

  • controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsMalwareDomainList

  • controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsAggregateThreatList および  AWSManagedDomainsAmazonGuardDutyThreatList

  • controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

これらのドメインは、ブロックされなければ 1.2.3.4 に解決されます。マネージドドメインリストを VPC で使用すると、これらのドメインをクエリしたとき、(例えば NODATA で) ルール内のブロックアクションが設定されているレスポンスが返されます。

マネージドドメインリストの詳細については、AWS Support センターにお問い合わせください。

次の表に、 AWS マネージドドメインリストの利用可能なリージョンを示します。

利用可能なマネージドドメインリストのリージョン
リージョン マネージドドメインリストを利用できますか?

アフリカ (ケープタウン)

あり

アジアパシフィック (香港)

 あり

アジアパシフィック (ハイデラバード)

 あり

アジアパシフィック (ジャカルタ)

あり

アジアパシフィック (マレーシア)

あり

アジアパシフィック (メルボルン)

 あり

アジアパシフィック (ムンバイ)

あり

アジアパシフィック(大阪)リージョン

あり

アジアパシフィック (ソウル)

あり

アジアパシフィック (シンガポール)

あり

アジアパシフィック (シドニー)

あり

アジアパシフィック (東京)

はい

Canada (Central) Region

あり

カナダ西部 (カルガリー)

あり

Europe (Frankfurt) Region

はい

欧州 (アイルランド) リージョン

はい

Europe (London) Region

あり

欧州 (ミラノ)

あり

欧州 (パリ) リージョン

あり

欧州 (スペイン)

 あり

欧州 (ストックホルム)

あり

欧州 (チューリッヒ)

 あり

イスラエル (テルアビブ)

 あり

中東 (バーレーン)

 あり

中東 (UAE)

 あり

南米 (サンパウロ)

はい

米国東部(バージニア北部)

あり

米国東部 (オハイオ)

あり

米国西部 (北カリフォルニア)

あり

米国西部 (オレゴン)

あり

中国 (北京)

あり

中国 (寧夏)

あり

AWS GovCloud (US)

あり
セキュリティに関するその他の考慮事項

AWS マネージドドメインリストは、一般的なウェブ脅威からユーザーを保護するように設計されています。ドキュメントに従って使用した場合、これらのリストはアプリケーションに別のセキュリティレイヤーを追加します。ただし、マネージドドメインリストは、選択した AWS リソースに伴うセキュリティコントロールに代わるものではありません。のリソースが適切に保護されていることを確認するには、 AWS 「 責任共有モデル」のガイダンスを参照してください。

誤検出シナリオの軽減

マネージドドメインリストを使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。

  1. Resolver ログで、誤検出の原因となっているルールグループとマネージドドメインリストを特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、ルールグループ、ルールアクション、マネージドリストが一覧表示されます。ログの詳細については、「Resolver クエリログに表示される値」を参照してください。

  2. ブロックしたクエリを明示的に許可するルールグループに新しいルールを作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。ルールグループおよびルールの作成 のルールグループおよびルールの管理に関するガイダンスに従ってください。

  3. ルールグループ内で新しいルールの優先度を設定して、そのルールをマネージドリストを使用しているルールの前に実行できるようにします。これを行うには、新しいルールの優先順位の数値を小さく設定します。

ルールグループを更新すると、ブロックルールが実行される前に、許可するドメイン名が新しいルールによって明示的に示されます。