Amazon Route 53 向けドメインネームシステムセキュリティ拡張機能 (DNSSEC) の開始を発表しました。
https://aws.amazon.com/jp/about-aws/whats-new/2020/12/announcing-amazon-route-53-support-dnssec/

本発表により、Route 53にホストしているゾーンに対してDNSSEC署名することも、Route 53リゾルバでDNSSEC署名を検証することも、両方向から対応されています。

■DNSSECとは

DNSSEC(Domain Name System Security Extensions)とは、DNSサーバからの出自・完全性(改ざんされていないか)を検証できる仕組みです。
DNS スプーフィングや中間者 (MITM) 攻撃と呼ばれる攻撃からは、DNS トラフィックを保護するプロトコルであるDNSSECを設定することでドメインの保護が可能になります。ドメインの信頼性も向上させることができます。

■DNSサーバを狙った攻撃の例

攻撃者は正規の問い合わせに先んじて、偽の問い合わせ情報をキャッシュDNSサーバーに送りこみ(※通称:毒入れ)、
ユーザーを偽サイトに誘導させます。

(例)
●ユーザが正常なアクセスを行っても、フィッシングサイトに誘導される
  ⇒攻撃されたことに気づきにくい
●同じキャッシュサーバのユーザ全員が影響を受ける
 ⇒例えばISPのキャッシュサーバが攻撃されると被害は甚大
●攻撃そのものの検出が容易ではない
 ⇒キャッシュへの毒入れは、見た目は通常のDNSパケットであるため、正常な応答と攻撃の区別が簡単ではない

■設定について

オフィシャルのドキュメントも公開済です。
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/domain-configure-dnssec.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dnssec-validation.html

DNSSECが利用できないため、DNSをAWSに移行できないと不便に思われていた方にとっては良いお知らせだと思います!オンプレ環境からAWS環境の移行でお困りの方、ぜひSunnyCloudにご相談ください。