翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Route 53 Global Resolver を使用したクライアントの DNS の保護
<a name="gr-securing-dns"></a>

以下のセクションでは、クライアントによって行われた DNS クエリを保護するためのルールを作成する方法について説明します。

**Topics**
+ [DNS Firewall ルールの設定と管理](gr-configure-manage-firewall-rules.md)
+ [マネージドドメインリスト](gr-managed-domain-lists.md)
+ [ビルドドメインリスト](gr-build-domain-lists.md)
+ [DNS Firewall Advanced 保護](gr-dns-firewall-advanced-protections.md)
+ [セキュリティポリシーの管理](gr-manage-dns-security-policies.md)

# DNS Firewall ルールの設定と管理
<a name="gr-configure-manage-firewall-rules"></a>

## ファイアウォールルールの作成と表示
<a name="gr-creating-viewing-firewall-rules"></a>

ファイアウォールルールはRoute 53 Global Resolver がドメインリスト、マネージドドメインリスト、コンテンツカテゴリ、または高度な脅威保護に基づいて DNS クエリを処理する方法を定義します。各ルールは、優先度、ターゲットドメイン、実行するアクションを指定します。

**ルール優先度のベストプラクティス:**
+ 優先度の高い許可ルール (信頼されたドメイン) に優先度 100～999 を使用する
+ ブロックルール (既知の脅威) に優先度 1000-4999 を使用する
+ アラートルールに優先度 5000-9999 を使用する (モニタリングと分析)
+ 今後のルール挿入を可能にするために優先順位間にギャップを残す

**DNS Firewall ルールを作成するには**

1. Route 53 Global Resolver コンソールで、DNS ビューに移動します。

1. **ファイアウォールルール**タブを選択します。

1. **ファイアウォールルールの作成** を選択します。

1. **ルールの詳細**セクションで、次の操作を行います。

   1. **ルール名**には、ルールのわかりやすい名前 (最大 128 文字) を入力します。

   1. (オプション) **ルールの説明**には、ルールの説明を入力します (最大 255 文字）。

1. **ルール設定**セクションで、**ルール設定タイプ**を選択します。
   + **カスタマーマネージドドメインリスト** - 作成して管理するドメインリストを使用する
   + **AWS マネージドドメインリスト** - 利用できる Amazon が提供するドメインリストを使用します。
   + **DNS Firewall Advanced Protections** - マネージド保護の範囲から選択し、信頼度しきい値を指定します。

1. **ルールアクション**で、ルールが一致するときに実行するアクションを選択します。
   + **許可** - DNS クエリが解決されました
   + **アラート** - DNS クエリを許可しますが、アラートを作成します
   + **ブロック** - DNS クエリがブロックされます

1. **ファイアウォールルールの作成** を選択します。

割り当てられたルールを表示するには、次の手順に従います。ルールとルール設定を更新することもできます。

**ルールを表示および更新するには**

1. Route 53 Global Resolver コンソールで、DNS ビューに移動します。

1. **DNS ファイアウォールルール**タブを選択します。

1. 表示または編集するルールを選択し、**編集**を選択します。

1. **ルール**ページで、設定を表示および編集できます。

ルールの値の詳細については、「[DNS ファイアウォールのルール設定](#gr-rule-settings-dns-firewall)」を参照してください。

**ルールを削除するには**

1. Route 53 Global Resolver コンソールで、DNS ビューに移動します。

1. **DNS ファイアウォールルール**タブを選択します。

1. 削除するルールを選択し、**削除**を選択して削除を確定します。

## DNS ファイアウォールのルール設定
<a name="gr-rule-settings-dns-firewall"></a>

DNS ビューで DNS ファイアウォールルールを作成または編集するときは、次の値を指定します。

名前  
DNS ビューのルールの一意の識別子。

(オプション) 説明  
ルールの詳細についての簡単な説明。

ドメインリスト  
ルールが調査するドメインのリスト。独自のドメインリストを作成および管理することも、 が AWS 管理するドメインリストにサブスクライブすることもできます。  
ルールには、ドメインリストまたは DNS Firewall Advanced 保護を含めることができますが、両方を含めることはできません。

クエリタイプ (ドメインリストのみ)  
ルールが検査する DNS クエリタイプのリスト。有効な値を次に示します。  
+ A: IPv4 アドレスを返します。
+ AAAA: Ipv6 アドレスを返します。
+ CAA: ドメインの SSL/TLS 証明書を作成できる CA を制限します。
+ CNAME: 別のドメイン名を返します。
+ DS: 委任ゾーンの DNSSEC 署名キーを識別するレコード。
+ MX: メールサーバーを指定します。
+ NAPTR: ドメイン名の正規表現ベースの書き換え。
+ NS: 権威ネームサーバー。
+ PTR: IP アドレスをドメイン名にマッピングします。
+ SOA: ゾーンの管理情報の始点レコード。
+ SPF: ドメインから E メールを送信する権限を持つサーバーを一覧表示します。
+ SRV: サーバーを識別するアプリケーション固有の値。
+ TXT: E メール送信者とアプリケーション固有の値を検証します。
DNS タイプ ID を使用して定義するクエリタイプ (例えば、AAAA の場合は 28)。値は TYPE として定義する必要があります。ここで`NUMBER`、 は 1～65334、たとえば TYPE28 `NUMBER`です。詳細については、「[DNS レコードタイプの一覧](https://en.wikipedia.org/wiki/List_of_DNS_record_types)」を参照してください。  
ルールごとに 1 つのクエリタイプを作成できます。

DNS Firewall Advanced 保護  
DNS クエリの既知の脅威署名に基づいて、疑わしい DNS クエリを検出します。保護は、以下から選択できます。  
+ ドメイン生成アルゴリズム (DGAs)

  DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
+ DNS トンネリング

  DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。
DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、アラートするかを選択できます。  
詳細については、「DNS Firewall Advanced protections」を参照してください。  
ルールには、DNS Firewall Advanced 保護またはドメインリストを含めることができますが、両方を含めることはできません。

信頼度のしきい値 (DNS Firewall Advanced のみ)。  
DNS Firewall Advanced の信頼度のしきい値。DNS Firewall Advanced のルールを作成するときに、この値を指定する必要があります。信頼度の値は次のことを意味します。  
+ 高 − 誤検出率が低く、最も裏付けのある脅威のみを検出します。
+ 中 − 脅威の検出と誤検出のバランスが取れています。
+ 低 − 脅威の検出率が最も高いが、誤検出も増加します。
詳細については、「DNS Firewall のルール設定」を参照してください。

Action  
DNS Firewall で、ルールのドメインリストの仕様と一致するドメイン名を持つ DNS クエリを処理する方法 詳細については、「[DNS Firewall でのルールアクション](#gr-rule-actions-dns-firewall)」を参照してください。

優先度  
処理順序を決定する DNS ビュー内のルールの一意の正の整数設定。DNS Firewall は、DNS ビューのルールに対して DNS クエリを検査します。優先順位は数値が最も低い設定から順に上がります。ルールの優先度はいつでも変更できます。例えば、処理の順序を変更したり、他のルールのためのスペースを確保できます。

## DNS Firewall でのルールアクション
<a name="gr-rule-actions-dns-firewall"></a>

DNS Firewallでは、DNS クエリとルールのドメイン仕様の間で一致が検出されると、ルールで指定されたアクションがクエリに適用されます。

作成する各ルールで、次のオプションのいずれかを指定する必要があります：
+ **Allow** - クエリの検査を停止し、通過を許可します。DNS Firewall Advanced では使用できません。
+ **警告** — クエリの検査を停止し、通過を許可して、Route 53 Resolver ログにクエリのアラートを記録します。
+ **ブロック** — クエリの検査を中断し、目的の送信先への送信をブロックして、Route 53 Resolver ログにそのクエリのブロックアクションを記録します。

  次のように、設定されたブロックレスポンスで応答します。
  + **NODATA** - クエリが成功したことを示す応答がありますが、それに対して利用可能になったという応答はありません。
  + **NXDOMAIN** – クエリのドメイン名が存在しないことを示す応答。
  + **OVERRIDE** – レスポンスにカスタムオーバーライドを指定します。このオプションには、次の設定が必要です。
    + **Record value** — クエリにレスポンスを返送するカスタム DNS レコード。
    + **レコードタイプ** – DNS レコードのタイプ。これによりレコード値の形式が決定します。これは、`CNAME` である必要があります。
    + **秒単位の存続時間** – DNS リゾルバーまたはウェブブラウザがオーバーライドレコードをキャッシュし、再度受信された場合にこのクエリに応答して使用するための推奨時間。デフォルトではこの値はゼロであり、レコードはキャッシュされません。

# Route 53 Global Resolver のマネージドドメインリスト
<a name="gr-managed-domain-lists"></a>

マネージドドメインリストには、悪意のあるアクティビティやその他の潜在的な脅威に関連するドメイン名が含まれています。Route 53 Global Resolver のお客様が DNS Firewall を使用する際に、インターネットにバインドされた DNS クエリをチェックできるように、 はこれらのリスト AWS を維持します。

絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドドメインリストを使用すると、Global Resolver で DNS Firewall を実装して使用する時間を短縮できます。 は、新しい脆弱性や脅威が発生したときにリスト AWS を自動的に更新します。

マネージドドメインリストは脅威カテゴリとコンテンツカテゴリに分類され、一般的なウェブ脅威からユーザーを保護し、safe-for-workでないドメインへのクエリ解決をブロックするように設計されています。

ベストプラクティスとして、本番稼働環境でマネージドドメインリストを使用する前に、ルールアクションを `Alert` に設定して、非本稼働環境でテストを行います。Amazon CloudWatch メトリクスと DNS Firewall のサンプルリクエストまたはグローバルリゾルバーログを組み合わせてルールを評価します。ルールが希望通りであることを確認したら、必要に応じてアクション設定を変更します。

## 利用可能な AWS マネージドドメインリスト
<a name="gr-available-managed-domain-lists"></a>

このセクションでは、グローバルリゾルバーで現在利用可能なマネージドドメインリストについて説明します。 は、**脅威**または**コンテンツ**タイプ別に分類されたグローバルリゾルバーのすべてのユーザーに対して、次のマネージドドメインリスト AWS を提供します。


**脅威カテゴリ**  

|  | 
| --- |
| Malware | 
| ボットネット/コマンドとコントロール | 
| 脅威リストの集約 | 
| Amazon GuardDuty 脅威リスト | 
| フィッシング | 
| スパム | 


**コンテンツカテゴリ**  

|  | 
| --- |
| 暴力とヘイトスピーチ | 
| 子供向け | 
| オンライン広告 | 
| 科学 | 
| 家族と子育て | 
| Pets | 
| キャリアとジョブの検索 | 
| 宗教 | 
| Lifestyle | 
| ホームとガーデン | 
| 犯罪および違法行為 | 
| スポーツと娯楽 | 
| 車両 | 
| 金融サービス | 
| 不動産 | 
| 趣味と興味 | 
| Travel | 
| 料理とレストラン | 
| 政府と法律 | 
| 教育 | 
| ファッション | 
| 健康 | 
| ショッピング | 
| アダルトコンテンツと成熟コンテンツ | 
| テクノロジーとインターネット | 
| ビジネスと経済 | 
| ニュース | 
| 検索エンジンとポータル | 
| アートと文化 | 
| エンターテインメント | 
| 軍事 | 
| ソーシャルネットワーク | 
| プロキシ回避 | 
| リダイレクト | 
| E メール | 
| [Translation] (変換) | 
| 児童虐待 | 
| 中止 | 
| ギャンブル | 
| ハッキング | 
| マリファナ | 
| Cryptocurrency | 
| 日付 | 
| 人工知能とMachine Learning | 
| パークされたドメイン | 
| プライベート IP アドレス | 

マネージドドメインリストは、ダウンロードや閲覧はできません。知的財産を保護するために、マネージドドメインリスト内の個々のドメイン仕様を表示または編集することはできません。この制限はまた、悪意のあるユーザーが具体的に公開されているリストを避けて脅威を作り出すことを防ぐのにも役立ちます。

# ブロックまたは許可するドメインのリストを構築する
<a name="gr-build-domain-lists"></a>

独自のドメインリストを作成すると、マネージドドメインリストのサービスに見つからないドメインカテゴリや、自分で処理したいドメインカテゴリを指定できます。

このセクションで説明する手順に加えて、 コンソールでは、ルールを作成または更新するときに、DNS Firewall ルール管理のコンテキストでドメインリストを作成できます。

ドメインリストの各ドメイン仕様は、次の要件を満たす必要があります。
+ オプションで `*` (アスタリスク) から始めます。
+ ラベル間の区切り文字として、オプションで先頭に付加するアスタリスクとピリオドを除き、使用できるのは `A-Z`、`a-z`、`0-9`、`-` (ハイフン) の各文字だけです。
+ 長さは 1～255 文字にする必要があります。

**ドメインリストを作成するには**

1. Route 53 グローバルリゾルバーコンソールで、グローバルリゾルバーに移動します。

1. **ドメインリスト**タブを選択します。

1. **ドメインリストの作成** を選択します。

1. ドメインリストの名前とオプションの説明をタグとともに指定し、**ドメインリストの作成**を選択します。

1. 作成して運用できたら、ドメインの追加を選択して**ドメインリストへのドメイン**の追加を開始できます。

1. **Amazon S3 バケットからドメインのリストをアップロードすることを選択した場合は**、ドメインリストを作成した Amazon S3 バケットの URI を入力します。このドメインリストには、1 行につき 1 つのドメイン名が必要です。

1. それ以外の場合は、テキストボックスにドメイン仕様を 1 行に 1 つずつ入力します。

1. **ドメインの追加** を選択します。

**ドメインリストを削除するには**

1. Route 53 グローバルリゾルバーコンソールで、グローバルリゾルバーに移動します。

1. **ドメインリスト**タブを選択します。

1. 削除するドメインリストを選択し、**[削除]‎‏‎‏** をクリックして、削除されたことを確認します。

# DNS Firewall Advanced 保護
<a name="gr-dns-firewall-advanced-protections"></a>

DNS Firewall Advanced は、DNS クエリの既知の脅威シグネチャに基づいて、疑わしい DNS クエリを検出します。DNS ビューに関連付けられた DNS ファイアウォールルールで使用するルールで脅威タイプを指定できます。

DNS Firewall Advanced は、リクエストのタイムスタンプ、リクエストとレスポンスの頻度、DNS クエリ文字列、アウトバウンドとインバウンドの両方の DNS クエリの長さ、タイプ、サイズなど、DNS ペイロード内のキー識別子の範囲を調べることで、疑わしい DNS 脅威シグネチャを識別します。脅威署名のタイプに基づいて、ブロックするか、単にクエリをログに記録して警告するようにポリシーを設定できます。拡張された脅威識別子のセットを使用することで、より広範なセキュリティコミュニティによって維持されている脅威インテリジェンスフィードによってまだ分類されていないドメインソースからの DNS 脅威から保護できます。

現在、DNS Firewall Advanced は以下からの保護を提供しています。
+ ドメイン生成アルゴリズム (DGAs)

  DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
+ ディクショナリ DGA

  多数のディクショナリ単語に関連付けられたドメイン名を使用して悪意のあるコマンドを実行し、DNS 通信を制御する DGA 攻撃を検出します。
+ DNS トンネリング

  DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。

ルールの作成方法については、「」を参照してください[DNS Firewall ルールの設定と管理](gr-configure-manage-firewall-rules.md)。

## 誤検出シナリオの軽減
<a name="gr-mitigating-false-positives"></a>

DNS Firewall Advanced 保護を使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。

1. グローバルリゾルバーログで、誤検出の原因となっているルールと DNS Firewall Advanced 保護を特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、DNS ビュー、ルール、ルールアクション、DNS Firewall Advanced 保護が一覧表示されます。

1. ブロックされたクエリを明示的に許可する新しいルールを DNS ビューに作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。のルール管理のガイダンスに従ってください[DNS Firewall ルールの設定と管理](gr-configure-manage-firewall-rules.md)。

1. マネージドリストを使用しているルールの前に実行されるように、ルール内で新しいルールを優先します。これを行うには、新しいルールの優先順位の数値を小さく設定します。

ルールを更新すると、新しいルールはブロッキングルールを実行する前に許可するドメイン名を明示的に許可します。

# Route 53 Global Resolver で DNS セキュリティポリシーを管理する
<a name="gr-manage-dns-security-policies"></a>

## グローバルリゾルバーの管理
<a name="gr-managing-resolvers"></a>

グローバルリゾルバーを作成したら、グローバルリゾルバーページから詳細を表示し、設定を編集して、関連するリソースを管理できます。

### リゾルバーの詳細の表示
<a name="gr-viewing-resolver-details"></a>

グローバルリゾルバーページには、リゾルバー名、デプロイされたリージョン、関連する DNS ビュー、オブザーバビリティリージョン、運用ステータスなどのキー情報を含むすべてのリゾルバーのリストが表示されます。

### グローバルリゾルバーの編集
<a name="gr-editing-resolvers"></a>

リゾルバーの名前と説明は、作成後に変更できます。作成後にグローバルリゾルバーがデプロイされるリージョンを変更することはできません。

## ファイアウォールルールの管理
<a name="gr-managing-firewall-rules"></a>

ファイアウォールルールを作成したら、優先順位を変更したり、設定を更新したり、必要に応じて削除したりできます。

### ルールの優先度と評価順序
<a name="gr-rule-priority"></a>

ファイアウォールルールは優先順位で評価され、少数が最初に処理されます。クエリが複数のルールに一致する場合、最初に一致するルールのアクションのみが適用されます。

### ファイアウォールルールの更新
<a name="gr-updating-rules"></a>

ファイアウォールルールの優先度、アクション、ターゲットドメインなど、ファイアウォールルールのほとんどの側面は作成後に更新できます。