【動画で体験シリーズ第四弾】障害や攻撃に強いDNSの導入を体験しよう #F5XC

東京エレクトロンデバイス主催プライベートイベントで行われたハンズオンブースにおいて、多くのお客様に体験いただいた「Webアプリケーション公開に関わる様々な課題を解決するソリューション」のコンテンツの一部を動画＋ブログで紹介するシリーズ第四弾です。
ブログ内で紹介している動画と合わせてぜひご覧ください。

どうも。

東京エレクトロンデバイス株式会社　F5製品プリセールスエンジニアのワラビです。

前回のブログ「NGINXにWAFを入れてセキュリティ強化を体験」ではWebサーバーとして有名なNGINXにWAF機能を追加する方法やポリシー修正方法を紹介しました。

前回までは、WAAPやWAFというセキュリティに関した切り口でF5社が提供するF5 Distributed Cloud Services（通称 F5 XC）やNGINXを紹介してきましたが、アプリケーションを公開するためには他にも課題があります。

F5 XCには、Webアプリケーション公開に伴う様々なソリューションがありますので、今回はその中から【動画で体験シリーズ】第四弾である「障害や攻撃に強いDNS」を動画付きでご紹介します。

DNSはとても大事

公開したアプリケーションのドメイン空間を管理する

権威DNSサーバーがもし停止してしまったら・・・

アプリケーションをインターネットに公開する際、ドメイン名を管理するDNSサーバーの適切な運用が必要です。設定ミスはもちろんのこと、DNSサーバーの障害や攻撃を受けるなどを理由に名前解決ができなくなると、サービスの停止だけでなく企業の信頼にも影響します。

DNSサーバーを運用する場合、どのような取り組みが必要になるでしょうか？

＜DNS運用における課題＞

可用性を考えた場合、複数の拠点に分散してDNSサーバーを構築し運用することが一般的ですが、リゾルバにより上位のDNSから名前解決が行われる過程で、地理的に離れたDNSサーバーや停止中のDNSサーバーに割り振られて通信遅延となってしまうケースもあるため、分散させたDNSの設計や運用は非常に重要になります。

トラフィックの増加や、DDoS攻撃を受けたときにリソースを柔軟に拡張することは難しく、拠点が分散していることで障害時の対応方法なども事前に検討しておく必要があります。

また、BINDなどを運用する際、歴史の長いソフトウェアですので、その分、脆弱性が発見されることも多く、脆弱性対応のためにパッチ適用やバージョンアップ対応にある程度のリソースがかかってしまうことも忘れてはいけません。

最近では、リフレクション攻撃などのDNSサーバーが接続した「ネットワーク帯域を枯渇させる攻撃」と、DNS水攻め攻撃（ランダムサブドメイン攻撃）などのDNSサーバーの「サーバーリソースを枯渇させる攻撃」を組みあせたマルチベクトル型のDDoS攻撃が増加しておりセキュリティ強化も重要な取り組みです。

＜課題解決の突破口＞

このような課題を解決するソリューションとして、F5 XCには「クラウド型DNSサービス」機能があります。

F5 XCであればグローバルに分散されたDNS基盤をサービスとして利用でき、DNSの冗長設計やOS・ミドルウェアの管理、DDoS対策などをサービス側に任せることで、運用の負荷を削減しつつ、セキュリティを強化することができます。

他の同様なDNSサービスだと、プライマリDNSとしてしか使えないものや、移行が大変なもの、DNSクエリー数に応じて課金が発生するなどコストが流動的なものもありますが、F5 XCのDNSサービスであればそれらの課題も解決できます。（紹介ブログもありますので、併せてご覧ください）

【動画で体験シリーズ第四弾】障害や攻撃に強いDNSの導入を体験しよう

シリーズ第四弾は、運用中のプライマリDNSサーバーを隠して(Hidden Primary)、セカンダリDNSとしてF5 XCのクラウド型のDNSサービスを導入することを体験するコンテンツです。

今回の動画目次は以下の通りです。

0:00 オープニング

1:40 F5 XCのDNSサービスについて

3:04 トライアル環境やシナリオの紹介

6:14 ①開始時点の環境確認

8:06 ②F5 XCをSecondary DNSとして設定

16:53 ③上位DNSの設定変更

19:50 ④ログ確認

21:10 ⑤DNSサーバーのレコード追加

23:51 次回予告と問い合わせ先

動画の前半ではF5 XCのDNSサービスについて紹介していますが、特徴としては「プライマリ・セカンダリの両方に対応していること」「直感的な操作性と様々な可視化機能があること」「F5 XCサービスに標準で組み込まれており定額で利用できること」ではないでしょうか。

今回の動画では、セカンダリDNSとして導入し、レコード管理などは従来のDNSサーバーで実施できるような構成にしていますが、もちろんプライマリDNSとしても導入できます。別のブログでプライマリDNS構成も試していますので是非ご覧ください。

また、F5 XCのコンソール画面（GUI）の実際の設定画面やログの表示なども今回の動画で確認できます。

今回の構成では、BINDのDNSサーバーも用意していますが、実際にBINDの設定ファイルをお見せしたり、10:33ごろにゾーン転送について解説したり、“あまりDNSについてよくわかっていない”という方でも分かりやすい内容になっていると思いますので、ぜひ最後までご視聴ください。

次回は・・・

次回、第五弾は、速さと信頼を築くためのCDNソリューションをご紹介します。動画の公開は2月後半を予定しており、その後も1～2週間隔で用意でき次第さまざまなコンテンツを公開していきますので、お楽しみに！

NGINXやF5 XCには、さまざまな機能がありますが、「こんな事もできるんだ！」「こんなに簡単に設定できるんだ！」ということをより分かりやすく、さまざまな方法でアピールし、より多くの方に知っていただければと思います。気になった機能やサービス全般のご質問などありましたら、以下お問い合わせページからお問い合わせください。その他ハンズオンやトレーニングのご依頼など、さまざまなご相談もお待ちしております。

＜F5製品についてのお問い合わせ＞

https://cn.teldevice.co.jp/product/f5/form.html