概要
AWSは、Amazon Route 53 Global Resolverの一般提供(GA)を開始した。本サービスは2025年のre:Inventで11リージョンでのプレビューとして発表されていたもので、今回30のAWSリージョンに拡大して正式リリースとなった。Route 53 Global Resolverは、インターネット経由でアクセス可能なマネージドエニーキャストDNSリゾルバサービスであり、オンプレミスのデータセンター、ブランチオフィス、リモートクライアントなど、あらゆる場所からのDNSトラフィックのルーティングとセキュリティを簡素化する。パブリックインターネットドメインとRoute 53プライベートホストゾーンの両方の名前解決に対応しており、ハイブリッドクラウド環境におけるスプリットDNS構成を大幅に簡素化できる。
暗号化DNSとセキュリティ機能
Route 53 Global Resolverの大きな特徴は、DNS over HTTPS(DoH)およびDNS over TLS(DoT)による暗号化DNS通信のサポートである。これにより、DNSクエリが平文で送信されることを防ぎ、通信の盗聴やDNSスプーフィングのリスクを低減する。認証方式としては、DoH/DoT向けのトークンベース認証(有効期限や失効の設定が可能)と、Do53/DoT/DoH向けのIP/CIDRベースのACLによるアクセス制御の2つが用意されている。
セキュリティ面では、悪意のあるドメインへのDNSクエリをブロックするDNSフィルタリング機能を内蔵しており、DNSトンネリングやドメイン生成アルゴリズム(DGA)、辞書DGAに関連するドメインへのアクセスもブロックできる。さらに、CloudWatch、S3、Data Firehoseへの集中クエリログ出力に対応し、コンプライアンス要件への対応やセキュリティ監視を容易にする。
運用上の利点と今後の展望
Route 53 Global Resolverの導入により、企業はカスタムDNSフォワーダの構築・運用が不要になり、運用負荷を大幅に削減できる。複数リージョンへのデプロイにより、レイテンシの最適化とフェイルオーバーも実現される。VPNや企業ネットワークとの互換性も備えており、既存のネットワーク構成への統合が容易である。新規利用者には30日間の無料トライアルが提供されており、導入前の検証が可能となっている。IPv4およびIPv6の両方のDNSクエリトラフィックに対応している点も、モダンなネットワーク環境への適応を示している。