Route 53 Resolver DNS Firewall
VPC の DNS クエリを Resolver 経由でフィルタする DNS Firewall、ルールグループとドメインリストの考え方、ネットワークセキュリティとの位置づけを整理します。
学習順Step 25 / 69サービスVPC試験ドメイン弾力性
DNS Firewall が守る境界
Route 53 Resolver DNS Firewall は、VPC から出る DNS クエリ(実際には Resolver が受け取るクエリ)に対して、どのドメイン名への問い合わせを許可するか/拒否するかを定義する機能です。
アプリケーションが 悪意ある C2 ドメインや フィッシングドメインに 名前解決しようとした段階でブロックできる、というレイヤーの低い防御として位置づけられます。AWS WAF や セキュリティグループとは役割が異なり、**「名前解決の可否」**にフォーカスします。
構成要素の関係
| 要素 | 役割 |
|---|---|
| ルールグループ | 複数の ルール を束ねるコンテナ。VPC への関連付けの単位。 |
| ルール | ドメインリストや動作(ALLOW / BLOCK / ALERT 等)を指定。優先度で評価されます。 |
| ドメインリスト | 許可/拒否するドメイン名の集合。自前定義に加え、マネージドの脅威リストと組み合わせる説明が資料でよく出ます。 |
| Resolver との関係 | VPC の DNS クエリが Resolver に入ったときに DNS Firewall の評価が行われる、という流れをイメージします。 |
ユースケース(試験で効く言い回し)
- マルウェアが使う既知ドメインへの解決をブロックする。
- 許可リスト方式で、社内が認めたドメイン以外の解決を拒否する(運用負荷は別問題)。
- ログとメトリクスで「どのクライアントがどの名前を聞いたか」を可視化する文脈(詳細は公式)。
他サービスとの混同防止
| サービス | 守るレイヤー |
|---|---|
| DNS Firewall | DNS クエリ/名前解決 |
| Network Firewall | パケット/ドメイン以外の L3–L7 フィルタ(別製品) |
| WAF | HTTP(S) のアプリ層 |
問題文が 「DNS クエリをフィルタ」「Resolver」 を強調していれば、まず DNS Firewall を疑います。
あわせて読む(サイト内)
公式ドキュメント(短い導線)
重要ポイント
- ▸DNS Firewall は Route 53 Resolver が処理するクエリに対して、許可/拒否のフィルタを適用する
- ▸ルールグループに複数ルールを束ね、VPC に関連付けて適用範囲を決める
- ▸ドメインリストで許可/拒否する名前の集合を管理し、脅威リストとの連携も可能
- ▸アプリ層の WAF とは別レイヤーで、DNS レベルの不正ドメイン接続を抑止する
- ▸試験では Resolver との組み合わせと「DNS クエリの可視化・制御」文脈で選ばれる
このトピックの学習を完了しますか?
完了状態はいつでも切り替えられます
この試験ドメイン内で次の学習に進む
同じサービスの関連トピック
VPC とネットワーク設計 に関連するトピックを続けて確認できます。