困っていること
EC2 上で動かす予定の NGINX などで resolver の IP 設定することを考えていますが、推奨される方法があれば教えてください。
また、EC2 上の NGINX の設定で resolver を IP 指定したいものの、例えば Google の public dns の 8.8.8.8 を指定した場合、GuardDuty のセキュリティアラートが発報されるため、何か良い方法があれば教えてください。
どう対応すればいいの?
まず前提として現時点で、EC2 にて利用を推奨する DNS サーバーはございません。
デフォルトでは、EC2 インスタンスが IP アドレスを取得する際に使用する DHCP に含まれる DNS サーバーのアドレスを使用します。この DNS サーバーはデフォルト DHCP オプションセットでは Amazon DNS サーバーとなり、その IP アドレスは AWS により予約されたサブネット内の IP アドレスです。
なお、実際に設定された IP アドレスは "/etc/resolv.conf" 等からも確認可能なので、お試しください。
また、Amazon DNS サーバーは "169.254.169.253 (IPv4)"、"fd00:ec2::253 (IPv6)" の IP アドレスでもご利用いただけます。
仮に Amazon DNS サーバーのご利用を検討しており、NGINX 等の設定にてサブネットの CIDR から AWS より予約された Amazon DNS サーバーの IP アドレスを個別に記載することが望ましくない状況にある場合は、当該 IP アドレスのご利用もご検討ください。
Route 53 Resolver (「Amazon DNS サーバー」または「AmazonProvidedDNS」とも呼ばれます) は、AWS リージョン内の各アベイラビリティーゾーンに組み込まれている DNS リゾルバーサービスです。Route 53 Resolver は 169.254.169.253 (IPv4)、fd00:ec2::253 (IPv6)、および VPC+2 にプロビジョニングされたプライマリプライベート IPV4 CIDR 範囲に配置されています。例えば、IPv4 CIDR が 10.0.0.0/16 で、IPv6 CIDR が fd00:ec2::253 の VPC がある場合、Route 53 Resolver には 169.254.169.253 (IPv4)、fd00:ec2::253 (IPv6)、または 10.0.0.2 (IPv4) でアクセスできます。
意図して 8.8.8.8 のようなパブリックな DNS サーバーを利用しているものの、Amazon GuardDuty により通知がされる場合は、弊社ブログを参考に抑制ルールの作成をご検討ください。
-
Finding type(検出結果タイプ)
DefenseEvasion:EC2/UnusualDNSResolver -
Network connection remote IPv4 address(ネットワーク接続のリモート IPv4 アドレス)
8.8.8.8 ※検知したDNSサーバーのIPアドレスに置き換えてください
0
