みなさん、こんにちは。サニービュー事業部の小寺です。

先週、Amazon Route 53 Resolver DNS Firewallがリリースされました。
https://aws.amazon.com/jp/about-aws/whats-new/2021/03/introducing-amazon-route-53-resolver-dns-firewall/

■Amazon Route 53 Resolver DNS Firewallとは

既知の悪意のあるドメインに対して行われた DNS クエリをブロックし、信頼できるドメインに対するクエリを許可できるようにするマネージドファイアウォールです。

Route 53 Resolver は、すべての Amazon VPC でデフォルトで使用可能な DNS サーバー (「AmazonProvidedDNS」または「.2 リゾルバー」と呼ばれる場合があります) です。

Amazon Route 53 Resolver DNS Firewallは組織が信頼するサイトに対してのみアウトバウンド DNS リクエストを行うようにすることができ、データの流出を防ぐことができます。悪意のあるドメインをブロックし、フィッシングドメインなどの既知の不正な名前に対する DNS 要求を拒否することができます。

VPC リソースが DNS を介して通信することを望まないドメインの「ブロックリスト」を作成できます。指定したドメインに対してのみアウトバウンド DNS クエリを許可する「許可リスト」を作成することができます。さらに、アウトバウンド DNS クエリが特定のファイアウォールルールに一致した場合のアラートを作成して、本番トラフィックにデプロイする前にルールをテストすることもできます。

以前はDNSサーバ(リゾルバ)を独自で構築したり、仮想アプライアンスを利用する必要がありました。今回のアップデートでAWSのマネージドな Route 53 Resolver で実現できることになります。

■他のサービスとの違いは?


ドメイン名のフィルタリングができる、AWS Network Firewallというサービスもあります。
どのような点が違うのでしょうか。
AWS Network Firewallはアクセスコントロールリスト (ACL) ルール、ステートフル検査、プロトコル検出、侵入防止などの機能を使用して、すべてのインバウンドインターネットトラフィックを検査して、侵入を防ぐのに役立つマネージド型のネットワークファイアウォールサービスです。

AWS Network Firewallがネットワーク層、アプリケーション層のトラフィックをフィルタするのに対し、DNS Firewall は DNS クエリをフィルタします。

■料金

利用料金はルールに追加するドメイン数とクエリ回数に対する従量課金です。詳細はこちら。英語にすると料金が表示されます。

・ドメイン数
$0.0005 /月 (時間単位での案分)

・クエリ回数
$0.60 /100万クエリ

■対応リージョン

2021/4/6時点で対応しているリージョンは、米国東部(バージニア北部)、米国西部 (オレゴン)、欧州 (アイルランド)、アジアパシフィック (ムンバイ) です。また、他のすべての AWS 商用リージョンと AWS GovCloud (米国) リージョンでも利用開始が予定されているようです。

■まとめ

いかがでしたでしょうか。東京リージョンでまだ利用ができませんが、リリース後に活用してみたいですね。

AWS構築、移行案件等のご相談はSunnyCloudまでお願いします。
担当者より追ってご連絡します。