DNS over HTTPS (DoH) は、HTTPS を介して DNS リクエストを暗号化し、監視や改ざんを防ぎます。DoH はエンドユーザーのプライバシーを向上させる一方で、DNS トラフィックがファイアウォールベースのセキュリティコントロールをバイパスすることも可能にします。このトピックでは、制御されていない DoH トラフィックのセキュリティリスクと、Cloud Firewall でそれをブロックする方法について説明します。
制御されていない DoH のセキュリティリスク
-
従業員による不正アクセス
従業員は DoH を使用して暗号化されたチャンネル経由でドメイン名を解決し、アクセス制御ポリシーや脅威インテリジェンスルールをバイパスできます。これにより、組織が明示的にブロックしているドメイン名へのアクセスが可能になります。
-
マルウェアの通信
ワームやトロイの木馬は DoH を使用してドメイン名の送信元 IP アドレスをクエリできます。これらの DNS リクエストは暗号化されているため、侵入防御ルール、アクセス制御ポリシー、脅威インテリジェンスルールをバイパスし、悪意のあるアクティビティの検出と阻止がより困難になります。
DoH トラフィックのブロック
DoH をブロックするための組み込みルールは、デフォルトで [モニター] モードに設定されています。DoH トラフィックをアクティブにブロックするには、これらのルールを [ブロック] モードに切り替えます。
前提条件
開始する前に、以下を確認してください。
-
Cloud Firewall コンソールへのアクセス権限があること
-
IPS 設定ルールを変更する権限があること
操作手順
-
Cloud Firewall コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
[基本保護] ルールリストで、DoH 関連のルールを探します。検索ドロップダウンから [ルール名] を選択し、「DNS over HTTPS」と入力してルールをフィルターできます。
-
一部またはすべての DoH 関連ルールのモードを [モニター] から [ブロック] に変更します。
ルールを [ブロック] モードに切り替えると、Cloud Firewall は一致するトラフィックをログに記録するだけでなく、アクティブにドロップします。切り替える前にルールを確認し、セキュリティポリシーと一致していることを確認してください。
結果の確認
ルールを [ブロック] モードに切り替えた後、ルールリストでルールステータスが更新されていることを確認します。DoH リクエストが期待どおりにブロックされていることを確認するには、 に移動してトラフィックログを監視します。