Amazon Route 53 向けドメインネームシステムセキュリティ拡張機能 (DNSSEC) の開始を発表しました。
https://aws.amazon.com/jp/about-aws/whats-new/2020/12/announcing-amazon-route-53-support-dnssec/
本発表により、Route 53にホストしているゾーンに対してDNSSEC署名することも、Route 53リゾルバでDNSSEC署名を検証することも、両方向から対応されています。
■DNSSECとは
DNSSEC(Domain Name System Security Extensions)とは、DNSサーバからの出自・完全性(改ざんされていないか)を検証できる仕組みです。
DNS スプーフィングや中間者 (MITM) 攻撃と呼ばれる攻撃からは、DNS トラフィックを保護するプロトコルであるDNSSECを設定することでドメインの保護が可能になります。ドメインの信頼性も向上させることができます。
■DNSサーバを狙った攻撃の例
攻撃者は正規の問い合わせに先んじて、偽の問い合わせ情報をキャッシュDNSサーバーに送りこみ(※通称:毒入れ)、
ユーザーを偽サイトに誘導させます。
(例)
●ユーザが正常なアクセスを行っても、フィッシングサイトに誘導される
⇒攻撃されたことに気づきにくい
●同じキャッシュサーバのユーザ全員が影響を受ける
⇒例えばISPのキャッシュサーバが攻撃されると被害は甚大
●攻撃そのものの検出が容易ではない
⇒キャッシュへの毒入れは、見た目は通常のDNSパケットであるため、正常な応答と攻撃の区別が簡単ではない
■設定について
オフィシャルのドキュメントも公開済です。
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/domain-configure-dnssec.htmlhttps://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dnssec-validation.html
DNSSECが利用できないため、DNSをAWSに移行できないと不便に思われていた方にとっては良いお知らせだと思います!オンプレ環境からAWS環境の移行でお困りの方、ぜひSunnyCloudにご相談ください。
AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5%割引、さらに日本円の請求書による支払いが可能です!
