Route 53 Resolver DNS Firewall の仕組み

Route 53 Resolver DNS Firewall を使用すると、サイトへのアクセスを制御し、Route 53 Resolver を介して VPC から送信される DNS クエリに対する DNS レベルの脅威を防ぐことができます。DNS Firewall では、VPC に関連付けるルールグループにドメイン名のフィルタリングルールを定義します。許可またはブロックするドメイン名のリスト、または DNS トンネリングやドメイン生成アルゴリズム (DGA) ベースの脅威からの保護を提供する Route 53 Resolver DNS Firewall Advanced ルールを指定できます。ブロックする DNS クエリのレスポンスをカスタマイズできます。ドメインリストを含むルールの場合、MX レコードなどの特定のクエリタイプを許可するようにルールを微調整することもできます。

DNS Firewall は、ドメイン名のみをフィルタリングします。このドメイン名から、ブロックされる IP アドレスを調べることはできません。また、DNS ファイアウォールでは DNS トラフィックをフィルタリングできますが、HTTPS、SSH、TLS、FTP などの他のアプリケーションレイヤープロトコルはフィルタリングできません。

Route 53 Resolver DNS Firewall のコンポーネントと設定

DNS Firewall は、次の中央にあるコンポーネントと設定で管理します。

DNS Firewall ルールグループ

DNS クエリをフィルタリングするために DNS Firewall ルールの再利用可能な名前付きコレクションを定義します。ルールグループにフィルタリングルールを設定し、ルールグループを 1 つ以上の VPC に関連付けます。ルールグループを VPC に関連付けると、VPC の DNS Firewall フィルタリングが有効になります。その後、関連付けられているルールグループを持つ VPC の DNS クエリを Resolver が受信すると、そのクエリは DNS Firewall に送信され、フィルタリングが行われます。

複数のルールグループを 1 つの VPC に関連付ける場合は、各関連付けの優先度設定で処理する順序を指定します。DNS Firewall は、優先度が最も低い設定から VPC のルールグループを処理します。

詳細については、「DNS Firewall のルールグループとルール」を参照してください。

DNS Firewall ルール

DNS Firewall ルールグループ内の DNS クエリに対するフィルタリングルールを定義します。各ルールは、1 つのドメインリスト、または DNS Firewall 保護と、ドメインがルールのドメイン仕様に一致する DNS クエリに対して実行するアクションを指定します。一致するクエリを許可 (ドメインリストのみを含むルール）、ブロック、またはアラートできます。ドメインリストを含むルールでは、リスト内のドメインのクエリタイプを指定することもできます。たとえば、特定のドメインの MX クエリタイプをブロックまたは許可できます。ブロックしたクエリのカスタムレスポンスも定義できます。

DNS Firewall ルールでは、一致するクエリのみをブロックまたはアラートできます。

ルールグループの各ルールには、ルールグループ内で一意の優先度設定があります。DNS Firewall は、優先度が最も低い設定からルールグループ内のルールを処理します。

DNS Firewall ルールは、定義されているルールグループのコンテキストにのみ存在します。ルールを再利用したり、ルールグループから独立したルールを参照することはできません。

詳細については、「DNS Firewall のルールグループとルール」を参照してください

ドメインリスト

DNS フィルタリングで使用するドメイン仕様の再利用可能な名前付きコレクションを定義します。ルールグループの各ルールには、それぞれに 1 つのドメインリストが必要です。アクセスを許可するドメイン、アクセスを拒否するドメイン、またはその両方の組み合わせを指定できます。独自のドメインリストを作成し、 が AWS 管理するドメインリストを使用できます。

詳細については、「Route 53 Resolver DNS Firewall のドメインリスト」を参照してください。

ドメインリダイレクト設定 (ドメインリストのみ）

ドメインリダイレクト設定を使用すると、DNS ファイアウォールルールを設定して、CNAME、DNAME など、DNS リダイレクトチェーン内のすべてのドメイン (デフォルト) または最初のドメインだけを検査して残りを信頼することができます。DNS リダイレクトチェーン全体を検査する場合は、ルールで ALLOW に設定されたドメインリストに後続のドメインを追加する必要があります。DNS リダイレクトチェーン全体を検査する場合は、後続のドメインをドメインリストに追加し、ルールが実行するアクション (ALLOW、BLOCK、ALERT のいずれか) に設定する必要があります。

詳細については、「DNS Firewall のルール設定」を参照してください。

クエリタイプ (ドメインリストのみ）

クエリタイプ設定では、特定の DNS クエリタイプをフィルタリングするように DNS ファイアウォールルールを設定できます。クエリタイプを選択しない場合、ルールはすべての DNS クエリタイプに適用されます。例えば、特定のドメインのすべてのクエリタイプをブロックし、MX レコードを許可します。

詳細については、「DNS Firewall のルール設定」を参照してください。

DNS Firewall Advanced 保護

DNS クエリの既知の脅威シグネチャに基づいて、疑わしい DNS クエリを検出します。ルールグループ内の各ルールには、単一の DNS Firewall Advanced 保護設定が必要です。保護は、以下から選択できます。

• ドメイン生成アルゴリズム (DGAs)

  DGAs は、攻撃者がマルウェア攻撃を開始するために多数のドメインを生成するために使用されます。

• DNS トンネリング

  DNS トンネリングは、攻撃者がクライアントにネットワーク接続せずに DNS トンネルを使用してクライアントからデータを盗むために使用されます。

DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、警告するかを選択できます。脅威保護アルゴリズムは、 によって管理および更新されます AWS。

詳細については、「Route 53 Resolver DNS Firewall Advanced」を参照してください。

信頼度しきい値 (DNS Firewall Advanced 保護のみ）

DNS 脅威保護の信頼しきい値。この値は、DNS Firewall Advanced ルールを作成するときに指定する必要があります。信頼レベルの値は、次のことを意味します。

• 高 – 誤検出率が低い、最も適切に検証された脅威のみを検出します。

• 中 – 脅威の検出と誤検出のバランスを提供します。

• 低 – 脅威の検出率が最も高くなりますが、誤検出も増加します。

詳細については、「DNS Firewall のルール設定」を参照してください。

DNS Firewall ルールグループと VPC 間の関連付け

DNS Firewall ルールグループを使用して VPC に対する保護を定義し、その VPC の Resolver DNS Firewall 設定を有効にします。

複数のルールグループを 1 つの VPC に関連付ける場合は、関連付けの優先度設定で、それらを処理する順序を指定します。DNS Firewall は、優先度が最も低い設定から VPC のルールグループを処理します。

詳細については、「VPC 向けの Route 53 Resolver DNS Firewall による保護の有効化」を参照してください

VPC のResolver DNS Firewall 設定

Resolver が VPC レベルで DNS Firewall による保護をどのように行うかを指定します。この設定は、VPC に関連付けられた DNS Firewall ルールグループが少なくとも 1 つある場合に有効です。

この設定では、DNS Firewall がクエリをフィルタリングできなかった場合に Route 53 Resolver がクエリを処理する方法を指定します。デフォルトでは、Resolver が DNS Firewall からクエリに対するレスポンスを受信しない場合、DNS Firewall はフェールクローズし、クエリをブロックします。

詳細については、「DNS Firewall での VPC の設定」を参照してください。

DNS ファイアウォールアクションのモニタリング

Amazon CloudWatch を使用して、DNS ファイアウォールのルールグループでフィルタリングされた、DNS クエリ数をモニタリングできます。CloudWatch では、生データを収集し、ほぼリアルタイムの読み取り可能なメトリクスに加工します。

詳細については、「Amazon CloudWatch を使用した Route 53 Resolver DNS Firewall のルールグループのモニタリング」を参照してください。

Amazon EventBridge は、イベントを使用してアプリケーションコンポーネント同士を接続するサーバーレスサービスです。これにより、スケーラブルなイベント駆動型アプリケーションを構築できます。

詳細については、「を使用した Route 53 Resolver DNS Firewall イベントの管理 Amazon EventBridge」を参照してください。

Route 53 Resolver DNS Firewall で DNS クエリをフィルタリングする方法

DNS ファイアウォールルールグループが VPC の Route 53 Resolver に関連付けられている場合、次のトラフィックはファイアウォールによってフィルタリングされます。

• その VPC 内で発信され、VPC DNS を通過する DNS クエリ。

• オンプレミスのリソースから、リゾルバーエンドポイントを通過して、リゾルバーに関連付けられた DNS ファイアウォールを持つ同じ VPC に渡される DNS クエリ。

DNS Firewall は DNS クエリを受信すると、設定したルールグループ、ルール、その他の設定を使用してクエリをフィルタリングし、Resolver に結果を返します。

• DNS Firewall は、一致するものが見つかるまで、またはすべてのルールグループを使い果たすまで、VPC に関連付けられたルールグループを使用して DNS クエリの評価を行います。DNS Firewall は、関連付けで設定した優先度の順に、優先順位が最も低い設定からルールグループを評価します。詳細については、DNS Firewall のルールグループとルールおよびVPC 向けの Route 53 Resolver DNS Firewall による保護の有効化を参照してください。

• 各ルールグループ内で、DNS Firewall は、一致が見つかるか、すべてのルールを使い果たすまで、各ルールのドメインリストまたは DNS Firewall Advanced 保護に対して DNS クエリを評価します。DNS Firewall は、優先順位の順に、優先度が最も低い設定からルールを評価します。詳細については、「DNS Firewall のルールグループとルール」を参照してください。

• DNS Firewall は、ルールのドメインリスト、または DNS Firewall Advanced ルール保護によって識別された異常との一致を検出すると、クエリ評価を終了し、結果を Resolver に応答します。アクションがalert である場合、DNS Firewall は、設定した Resolver ログにもアラートを送信します。詳細についてはDNS Firewall でのルールアクション、Route 53 Resolver DNS Firewall のドメインリスト、およびRoute 53 Resolver DNS Firewall Advancedを参照してください。

• DNS Firewall が一致するものを見つけられずにすべてのルールグループを評価し終えた場合、通常どおりクエリに対して応答します。

Resolver は、DNS Firewall からのレスポンスに従ってクエリをルーティングします。万が一 DNS Firewall が応答しなかった場合、Resolver は VPC に設定されている DNS Firewall の障害モードを適用します。詳細については、「DNS Firewall での VPC の設定」を参照してください

Route 53 Resolver DNS Firewall を使用するための手順の概要

Amazon Virtual Private Cloud VPC で Route 53 Resolver DNS Firewall のフィルタリングを実装するには、次の手順を実行します。

• フィルタリングアプローチ、ドメインリスト、または DNS Firewall 保護を定義する – クエリをフィルタリングする方法を決定し、必要なドメイン仕様を特定し、クエリの評価に使用するロジックを定義します。例えば、既知の不正なドメインのリストにあるクエリを除くすべてのクエリを許可できます。または反対に、承認したリストのドメインを除くすべてのドメインをブロックすることもできます。これは、ウォールドガーデンアプローチとして知られています。承認済みまたはブロックされたドメイン仕様の独自のリストを作成および管理し、 が AWS 管理するドメインリストを使用できます。DNS Firewall 保護では、クエリをすべてブロックしてフィルタリングすることも、脅威 (DGA、DNS トンネリング) に関連する異常を含む可能性のあるドメインへの疑わしいクエリトラフィックをアラートして DNS Firewall 設定をテストすることもできます。詳細については、Route 53 Resolver DNS Firewall のドメインリストおよびRoute 53 Resolver DNS Firewall Advancedを参照してください。

• ファイアウォールルールグループの作成 — DNS Firewall で、VPC 向けの DNS クエリをフィルタリングするルールグループを作成します。ルールグループは、使用するリージョンごとに作成する必要があります。また、異なる VPC の複数のフィルタリングシナリオで再利用できるように、フィルタリング動作を複数のルールグループに分けることもできます。ルールグループについては、「DNS Firewall のルールグループとルール」を参照してください。

• ルールの追加と設定 — ルールグループで提供するドメインリストおよびフィルタリング動作ごとに、ルールグループにルールを追加します。ルールグループ内でルールが正しい順序で処理されるように、ルールの優先度を設定します。最初に評価するルールの優先順位が最も低くなるようにします。ルールについては、「DNS Firewall のルールグループとルール」を参照してください。

• 　ルールグループを VPC に関連付ける — DNS Firewall ルールグループの使用を開始するには、VPC に関連付けます。VPC で複数のルールグループを使用している場合は、ルールグループが正しい順序で処理されるように、各関連付けの優先度を設定します。最初に評価するルールグループの優先順位が最も低くなるようにします。詳細については、「VPC と Route 53 Resolver DNS Firewall ルールグループ間の関連付けの管理」を参照してください

• (オプション) VPC の DNS Firewall 設定を変更する— DNS Firewall がレスポンスの送信に失敗した場合、 Route 53 Resolver がクエリをブロックするようにするには、Resolver で VPC の DNS Firewall 設定を変更します。詳細については、「DNS Firewall での VPC の設定」を参照してください

複数のリージョンで Route 53 Resolver の DNS Firewall ルールグループを使用する

Route 53 Resolver DNS Firewall はリージョンサービスであるため、1 つの AWS リージョンで作成するオブジェクトは、そのリージョンでのみ使用できます。同じルールグループを複数のリージョンで使用するには、リージョンごとにルールグループを作成する必要があります。

ルールグループを作成した AWS アカウントは、他の AWS アカウントと共有できます。詳細については、「Route 53 Resolver DNS Firewall ルールグループを AWS アカウント間で共有する」を参照してください。