翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
エグレスの一元化
エグレスの一元化とは、インターネットに向かうすべてのネットワークトラフィックに共通検査ポイントを 1 つ使用するという原則のことです。この検査ポイントでは、特定のドメインへのトラフィックのみを許可することも、指定したポートやプロトコルを経由するトラフィックのみを許可することもできます。また、エグレスを一元化することで、インターネットに到達するために各 VPC に NAT ゲートウェイをデプロイする必要がなくなるため、コスト削減にも役立ちます。これにより、マルウェアのコマンドアンドコントロール (C&C) インフラストラクチャなど、外部からアクセス可能な悪意のあるリソースへの露出が制限されるため、セキュリティの観点からはメリットがあります。一元的な出力の詳細とアーキテクチャオプションについては、「インターネットへの一元的な出力」(AWS ホワイトペーパー) を参照してください。
ステートフルでマネージド型のネットワークファイアウォールであり、侵入検知と防止のサービスである AWS Network Firewall を、送信トラフィックの一元化された検査ポイントとして使用できます。このファイアウォールは、送信トラフィック専用の VPC で設定します。Network Firewall は、インターネットアクセスを特定のドメインに制限するのに使用できるステートフルルールをサポートしています。詳細については、Network Firewall ドキュメントの「Domain filtering」を参照してください。
Amazon Route 53 Resolver DNS ファイアウォールを使用して、特定のドメイン名への送信トラフィックを制限することもできます。主な目的は、データの不正流出を防ぐことです。DNS ファイアウォールルールではドメインリスト (Route 53 ドキュメント) を適用して指定したドメインへのアクセスを許可または拒否することができます。悪意のあるアクティビティやその他の潜在的な脅威に関連するドメイン名を含む AWS マネージドドメインリストを使用することも、カスタムドメインリストを作成することもできます。DNS ファイアウォールルールグループを作成して VPC に適用します。アウトバウンド DNS リクエストは VPC のリゾルバーを経由してドメイン名を解決し、DNS ファイアウォールは VPC に適用されたルールグループに基づいてリクエストをフィルタリングします。リゾルバーに送られる再帰的な DNS リクエストは、トランジットゲートウェイと Network Firewall パスを経由しません。Route 53 Resolver と DNS ファイアウォールは VPC からの独立したエグレスパスと見なす必要があります。
次の図は、エグレスの一元化を示すサンプルアーキテクチャです。ネットワーク通信が開始される前に、DNS リクエストが Route 53 Resolver に送信され、DNS ファイアウォールが通信に使用される IP アドレスの解決を許可または拒否します。インターネットに向かうトラフィックは、一元化されたネットワークアカウントのトランジットゲートウェイにルーティングされます。トランジットゲートウェイは、検査のためにトラフィックを Network Firewall に転送します。ファイアウォールポリシーで送信トラフィックが許可されている場合、トラフィックは NAT ゲートウェイ、インターネットゲートウェイを経由して、インターネットに送信されます。を使用して AWS Firewall Manager 、マルチアカウントインフラストラクチャ全体で DNS Firewall ルールグループと Network Firewall ポリシーを一元管理できます。
送信トラフィックを保護するためのベストプラクティス
-
ログ記録専用モード (Route 53 ドキュメント) で開始します。正当なトラフィックが影響を受けないことを確認したら、ブロックモードに変更します。
-
AWS Firewall Manager ネットワークアクセスコントロールリストのポリシーまたは を使用して、インターネットへの DNS トラフィックをブロックします AWS Network Firewall。すべての DNS クエリは Route 53 Resolver を経由する必要があります。ここでは、Amazon GuardDuty (有効になっている場合) でモニタリングし、Route 53 Resolver DNS Firewall (有効になっている場合) でフィルタリングできます。詳細については、「VPC とネットワークの間における DNS クエリの解決」(Route 53 ドキュメント) を参照してください。
-
DNS ファイアウォールと Network Firewall の AWS マネージドドメインリスト (Route 53 ドキュメント) を使用します。
-
.info、.top、.xyz など、リスクが高く、あまり使われないトップレベルドメインや、一部の国コードドメインをブロックすることを検討してください。
-
ポート 1389、4444、3333、445、135、139、53 など、リスクが高く、あまり使われないポートをブロックすることを検討してください。
-
開始点として、 AWS マネージドルールを含む拒否リストを使用できます。その後、許可リストモデルの実装に時間をかけて取り組むことができます。例えば、許可リストに完全修飾ドメイン名の厳密なリストのみを含める代わりに、*.example.com などのワイルドカードをいくつか使用してください。また、想定する最上位ドメインのみを許可し、他のすべてのドメインをブロックすることもできます。次に、時間の経過とともに、これらも絞り込みます。
-
Route 53 Profiles (Route 53 ドキュメント) を使用して、DNS 関連の Route 53 設定を多くの VPCsと異なる に適用します AWS アカウント。
-
これらのベストプラクティスの例外を処理するプロセスを定義します。