安全な Anycast DNS 解決のための Amazon Route 53 グローバルリゾルバーのご紹介（プレビュー）

2025 年 11 月 30 日、Amazon Route 53 グローバルリゾルバーを発表しました。 Amazon Route 53 グローバルリゾルバーは、どこからのクエリに対しても安全で信頼性の高い DNS 解決をグローバルに提供する、新しい Amazon Route 53 サービスです (プレビュー)。グローバルリゾルバーを使用すると、インターネット上のパブリックドメインや、Route 53 のプライベートホストゾーンに関連付けられたプライベートドメインへの DNS クエリを解決できます。Route 53 グローバルリゾルバーは、ネットワーク管理者に対して、オンプレミスのデータセンター、支社、リモート拠点にある認証済みクライアントやソースからのクエリを、世界中に分散された Anycast IP アドレスを通じて解決する統合ソリューションを提供します。このサービスには、DNS トラフィックのフィルタリング、暗号化クエリのサポート、集中ログ管理などの組み込みセキュリティ機能が含まれており、組織がセキュリティ要件を維持しながら運用負荷を軽減できるよう支援します。

ハイブリッド環境で展開している組織は、分散環境全体で DNS 解決を管理する際に運用の複雑さに直面します。パブリックなインターネットドメインとプライベートなアプリケーションドメインを解決するには、スプリット DNS インフラストラクチャを維持する必要があることが多く、特に複数の拠点に複製する場合には、コストや管理負担が増大します。ネットワーク管理者は、カスタム転送ソリューションの構成、プライベートドメイン解決用の Route 53 Resolver エンドポイントの展開、そして異なる拠点ごとに個別のセキュリティ制御の実装を行う必要があります。さらに、ネットワーク管理者は、Route 53 Resolver エンドポイントのマルチリージョンフェイルオーバー戦略を構成・維持し、すべてのリージョンで一貫したセキュリティポリシーを適用しながら、フェイルオーバーシナリオのテストを行う必要があります。

Route 53 グローバルリゾルバーには、これらの課題に対応する主要な機能があります。このサービスは、パブリックなインターネットドメインと Route 53 のプライベートホストゾーンの両方を解決できるため、別々のスプリット DNS 転送を用意する必要がありません。DNS オーバー UDP（Do53）、DNS オーバー HTTPS（DoH）、DNS オーバー TLS（DoT）など、複数のプロトコルを通じて DNS 解決を提供します。各デプロイメントは、共通の IPv4 および IPv6 のAnycast IP アドレスセットを 1 つ提供し、クエリを最も近い AWS リージョンにルーティングすることで、分散したクライアント環境での待機時間を短縮します。

Route 53 グローバルリゾルバーは、Route 53 リゾルバー DNS ファイアウォールと同等の統合セキュリティ機能を提供します。管理者は、AWS 管理ドメインリストを使用してフィルタリングルールを設定できます。これにより、DNS 脅威（マルウェア、スパム、フィッシング）や業務に適さない可能性のあるウェブコンテンツ（アダルトサイト、ギャンブル、ソーシャルネットワーキング）で分類されたリストを使った柔軟な制御が可能になります。また、ファイルからドメインをインポートしてカスタムドメインリストを作成することもできます。高度な脅威防御は、ドメイン生成アルゴリズム（DGA）のパターンや DNS トンネリングの試みを検出してブロックします。暗号化された DNS トラフィックに対して、Route 53 グローバルリゾルバーは DoH および DoT プロトコルをサポートしており、送信中のクエリを不正アクセスから保護します。

Route 53 グローバルリゾルバーは、リゾルバーで認証が必要な既知のクライアントからのトラフィックのみを受け入れます。Do53、DoT、DoH 接続に対して、管理者は IP アドレスおよび CIDR の許可リストを設定できます。DoH および DoT 接続に対して、トークンベースの認証は、カスタマイズ可能な有効期限と取り消し機能を備えた詳細なアクセス制御を提供します。管理者は、組織の要件に応じて、特定のクライアントグループや個々のデバイスにトークンを割り当てることができます。

Route 53 グローバルリゾルバーは、DNSSEC 検証をサポートしており、パブリックネームサーバーからの DNS レスポンスの真正性と完全性を確認します。また、EDNS クライアントサブネットにも対応しており、クライアントのサブネット情報を転送することで、コンテンツ配信ネットワーク（CDN）からの地理情報に基づくより正確な DNS レスポンスを可能にします。

Route 53 グローバルリゾルバーの利用開始ガイド
この手順では、米国東海岸と西海岸にオフィスを持ち、Route 53 のプライベートホストゾーンでホストされているプライベートアプリケーションとパブリックドメインの両方を解決する必要がある組織向けに、Route 53 グローバルリゾルバーを構成する方法を示します。Route 53 グローバルリゾルバーを構成するには、AWS マネジメントコンソールに移動し、ナビゲーションペインからグローバルリゾルバーを選択して、グローバルリゾルバーの作成をクリックします。

リゾルバーの詳細 セクションで、リゾルバー名として corporate-dns-resolver などを入力します。オプションの説明欄に 企業オフィスおよびリモートクライアント向けのDNSリゾルバー などを入力します。リージョンセクションで、リゾルバーを稼働させたい AWS リージョンを選択します。例：米国東部（北バージニア）および 米国西部（オレゴン）。Anycast アーキテクチャにより、クライアントからの DNS クエリは、選択した最も近いリージョンにルーティングされます。

リゾルバーの作成後、コンソールにはリゾルバーの詳細が表示され、DNS クエリで使用する Anycast の IPv4 および IPv6 アドレスが確認できます。DNS ビューの作成を選択して、クライアント認証や DNS クエリ解決の設定を構成することで、DNS ビューの作成に進むことができます。

DNS ビューの作成セクションで、DNS ビュー名として primary-view などを入力し、オプションで 企業オフィス向けの DNS ビュー などの説明を追加します。DNS ビューは、クライアントやソースを異なる論理的グループに分け、それぞれのグループに対する DNS 解決方法を決定するのに役立ちます。これにより、組織内の異なるクライアントに対して、異なる DNS フィルタリングルールやプライベートホストゾーンの解決ポリシーを維持できます。

DNSSEC 検証では、有効化を選択して、パブリック DNS サーバーからの DNS レスポンスの真正性を確認します。ファイアウォールルールのフェイルオープン動作では、無効化を選択して、ファイアウォールルールを評価できない場合に DNS クエリをブロックし、追加のセキュリティを確保します。EDNS クライアントサブネットでは、有効化を選択したままにして、クライアントの位置情報を DNS サーバーに転送します。これにより、コンテンツ配信ネットワークがより正確な地理情報に基づく応答を提供できます。DNS ビューの作成には、操作可能になるまで数分かかる場合があります。

DNS ビューが作成され、操作可能になったら、ルールの作成を選択して、ネットワークトラフィックをフィルタリングする DNS ファイアウォールルールを構成します。DNS ファイアウォールルールの作成セクションで、ルール名として block-malware-domains などを入力し、オプションで説明を追加します。ルール設定タイプでは、顧客管理ドメインリスト、 AWS が提供する AWS 管理ドメインリスト、または DNS ファイアウォールアドバンスドプロテクションを選択できます。

このウォークスルーでは、 AWS 管理ドメインリストを選択してください。ドメインリストドロップダウンで、既知の悪質なドメインをブロックするには、脅威 — マルウェアなどの AWS 管理リストを 1 つ以上選択します。クエリタイプは空欄のままにして、ルールをすべての DNS クエリタイプに適用することができます。この例では、 A を選択して IPv4 アドレスクエリにのみこのルールを適用します。ルールアクション セクションで ブロック を選択すると、選択したリストに一致するドメインの DNS 解決を防ぐことができます。ブロックアクションに送信する応答 で、クエリは成功したが応答がないことを示す NODATA を選択したままにし、ルールの作成 を選択します。

次のステップでは、アクセス元を構成して、リゾルバーに DNS クエリを送信できる IP アドレスや CIDR ブロックを指定します。DNS ビューの アクセスソース タブに移動し、アクセスソースの作成]を選択します。

アクセス元の詳細セクションで、office-networks などのルール名を入力し、アクセス元を識別します。CIDR ブロックフィールドに、そのネットワークからのクエリを許可するオフィスの IP アドレス範囲を入力します。プロトコル では、UDP 経由の標準 DNS クエリには Do53 を選択し、クライアントからの暗号化された DNS 接続を要求する場合は DoH または DoT を選択します。これらの設定を構成したら、アクセスソースの作成 を選択して、指定したネットワークがリゾルバーに DNS クエリを送信できるようにします。

次に、 DNS ビューの アクセストークンタブに移動してクライアント用のトークンベースの認証を作成し、アクセストークンの作成を選択します。アクセストークンの詳細セクションに、リモートクライアントトークンなどのトークン名を入力します。トークンの有効期限 については、セキュリティ要件に基づきドロップダウンリストから有効期間を選択します。例えば、クライアントの長期アクセスには365 日 を、より厳格なアクセス制御が必要な場合は 30 日、90 日などの短期間を選択します。これらの設定を構成したら、アクセストークンの作成 を選択してトークンを生成します。クライアントは、これを使用してリゾルバーへの DoH 接続と DoT 接続を認証できます。

アクセス トークンが作成されたら、DNS ビューのプライベートホストゾーンタブに移動し、Route 53 のプライベートホストゾーンを DNS ビューに関連付けます。これにより、リゾルバーがプライベートアプリケーションのドメインに対するクエリを解決できるようになります。プライベートホストゾーンの関連付けを選択し、プライベートホストゾーンセクションで、リゾルバーに処理させたいプライベートホストゾーンをリストから選択します。ゾーンを選択したら、関連付けを選択して、構成したアクセス元からのこれらのプライベートドメインに対する DNS クエリにリゾルバーが応答できるようにします。

DNS ビューの構成、ファイアウォールルールの作成、アクセス元とトークンの定義、プライベートホストゾーンの関連付けが完了すると、Route 53 グローバルリゾルバーの設定は完了し、構成済みのクライアントからの DNS クエリを処理できる状態になります。

Route 53 グローバルリゾルバーを作成した後、DNS クライアントがリゾルバーの Anycast IP アドレスにクエリを送信するように構成する必要があります。構成方法は、DNS ビューで設定したアクセス制御によって異なります。

• IP ベースのアクセス元（CIDR ブロック) の場合 – ソースクライアントを構成して、DNS トラフィックをリゾルバーの詳細に表示されている Route 53 グローバルリゾルバーの Anycast IP アドレスに向けます。グローバルリゾルバーは、アクセス元として指定した許可リストに登録された IP からのみアクセスを許可します。アクセス元を異なる DNS ビューに関連付けることで、IP の異なるグループごとにより詳細な DNS 解決ビューを提供することもできます。
• アクセス トークンベースの認証の場合 – クライアントにトークンを展開して、DoH および DoT 接続を Route 53 グローバルリゾルバーで認証できるようにします。クライアントを構成して、DNS トラフィックをリゾルバーの詳細に表示されている Route 53 グローバルリゾルバーの Anycast IP アドレスに向ける必要もあります。

特定のオペレーティングシステムやプロトコル向けの詳細な構成手順については、技術文書を参照してください。

その他の情報
既存の Route 53 リゾルバーを Route 53 VPC リゾルバー に名称変更します。この名称変更により、両サービス間のアーキテクチャ上の違いが明確になります。VPC リゾルバーは、VPC 内でリージョン単位で動作し、Amazon VPC 環境内のリソースに対する DNS 解決を提供します。VPC リゾルバーは、特定の AWS リージョン内でのハイブリッド DNS アーキテクチャ向けに、インバウンドおよびアウトバウンドのリゾルバーエンドポイントのサポートを引き続き提供します。

Route 53 グローバルリゾルバーは、VPC 配置やプライベート接続を必要とせずに、オンプレミスやリモートクライアント向けにインターネットから到達可能なグローバルおよびプライベート DNS 解決を提供することで、Route 53 VPC リゾルバーを補完します。

既存の VPC リゾルバーの構成は変更されず、引き続き設定どおりに機能します。名称変更は、AWS マネジメントコンソールやドキュメント上のサービス名に影響しますが、API の操作名は変更されません。VPC 内のリソースに対する DNS 解決が必要なアーキテクチャの場合は、引き続き VPC リゾルバーを使用してください。

プレビューに参加する
Route 53 グローバルリゾルバーは、単一の管理サービスを通じてパブリックおよびプライベートドメイン向けの統合 DNS 解決を提供することで、運用負荷を軽減します。グローバルな Anycast アーキテクチャにより、分散したクライアントに対する信頼性が向上し、待機時間が短縮されます。統合されたセキュリティ制御と集中ログ管理により、組織はすべての拠点で一貫したセキュリティポリシーを維持しつつ、コンプライアンス要件を満たすことができます。

Amazon Route 53 グローバルリゾルバーの詳細については、Amazon Route 53 ドキュメントをご覧ください。

米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (北カリフォルニア)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、ヨーロッパ (フランクフルト)、ヨーロッパ (フランクフルト)、ヨーロッパ (アイルランド)、ヨーロッパ (ロンドン)、アジアパシフィック (ムンバイ)、アジアパシフィック (シンガポール)、アジアパシフィック (東京)、およびアジアパシフィック (シドニー) の各リージョンで、AWS マネジメントコンソールから Route 53 グローバルリゾルバーの使用を開始できます。

– Esra

原文はこちらです。