クラウドクロニクル、パート2: DNS DDoS 攻撃の防止と防御
DNS ソリューションを環境にどのように適合させるかを考えるときに、セキュリティは最初に考慮されるものではないかもしれません。 結局のところ、これは「インターネットの電話帳」と呼ばれることが多く、電話帳とセキュリティが同じ文で言及されることはどれほどあるでしょうか? DNS は、基本的には日常的なインターネットのやり取りのバックボーンであるにもかかわらず、あまり目立たない存在です。 おそらくこの普遍性のため、DNS サービスは分散型サービス拒否 (DDoS) 攻撃の標的になることも多々あります。 そして、こうした攻撃の複雑さと頻度が増すにつれ、インターネット インフラストラクチャの基盤を守るための要求も高まります。
DNS DDoS 攻撃: バラはどんな名前で呼ばれても交通を妨害するだろう
DNS DDoS 攻撃について、これまでに語られていないことは何でしょうか? それらはさまざまな種類があり、その規模も「不便」なものから「インターネットを破壊する」ものまで、あるいは少なくともインターネットの一角を破壊するものまでさまざまです。 「DDoS」とは、正当なアプリケーション トラフィックに侵入してサービスを拒否するさまざまな種類のネットワークおよびアプリケーション攻撃を包括する包括的な用語です。 以下に、より一般的な大規模攻撃を 4 つ示します。
DNS 増幅攻撃とリフレクション攻撃 DNS 自体を武器に変え、 DNS サーバーのオープンな性質を利用して攻撃トラフィックを増幅します。これは、峡谷に向かって叫んで、その反響を利用して音を増幅するのとよく似ています。
NXDOMAIN 攻撃は、存在しないドメインのリクエストをサーバーに大量に送信し、サービスを停止させる「間違った番号」の悪質な不協和音を作り出します。
ランダム サブドメイン攻撃は、存在しないサブドメインを大量に要求して予想外の攻撃を仕掛け、DNS リゾルバーを混乱させます。
DNS フラッドは、一見正当なトラフィックをサーバーに送り込み、その膨大な量でシステムを圧倒しようとします。
DNS フラッド、サブドメイン、NXDOMAIN、増幅およびリフレクション攻撃など、どのような形で現れようとも、いずれも過剰なトラフィックや不規則なトラフィックを利用して、正当なユーザーによるビジネスクリティカルなアプリへのアクセスを妨害することを目的としています。 これらは必ずしも単独で起動されるわけではありません。 実際、DNS DDoS 攻撃は、他の悪意のある活動を隠すための煙幕としても機能します。 デジタルトランスフォーメーションの急増、IoT デバイスの普及、5G ネットワーク アクセスの拡大という状況でこれらの攻撃タイプが存在することを考慮すると、悪意のある攻撃者はこれまで以上に多くのテクノロジーとインターネット接続を活用して、DNS サービスに対する悪意ある目的を実現できるようになっています。 何をするか?
マルチベクトル攻撃、マルチベクトルセキュリティ
環境内でのアプリケーション配信の開始点として DNS を位置付けると、DNS サービスが従来の意味でのセキュリティ ソリューションとして考えられていない場合でも、チームはそれをセキュリティの開始点としても考慮する必要があります。
セキュリティについては、スケーラビリティ、高可用性、悪意のあるトラフィック管理という 3 つの関連機能の観点から考えると役立ちます。 これらの機能はすべて、トラフィックと対話する上で実践的な役割を果たし、適切なトラフィックが妨げられることなく必要な場所に到達することを保証します。
スケーラビリティ: 急増するトラフィック需要に応じて自動的にスケールアップするように構築されたインフラストラクチャを検討してください。これにより、サービスを管理するチームは DDoS 攻撃の検出を有利に進めることができます。 これにより、ボリューム攻撃の最中でも、ラッシュアワーの交通渋滞を防ぐために車線を追加できる橋があるのと同じように、正当なユーザーが最小限の干渉で DNS クエリを解決できるようになります。 DNS サービスの拡張性は、悪意のあるトラフィックであろうとなかろうと、突然のトラフィックの波によってバックエンドのリソースが機能不全に陥ることがないことを意味します。
高可用性: 特に DNS セキュリティの文脈で、スケーラビリティの概念に別の側面を加えると、リソースをオフラインにする可能性のある攻撃中に中断のない解決を提供する DNS サービスの必要性がわかります。 そのサービスが世界中のプレゼンス ポイント (PoP) の恩恵を受けている場合、そのサーバー ネットワークは、指定されたリソースへのシームレスなフェイルオーバーを提供し、ユーザーのアクセスを可能にし、攻撃者が単一障害点を特定して悪用するのを防ぐことで、インテリジェントなトラフィック管理を提供できます。 このソリューションのもう 1 つの特徴は、クラウドベースの DNS サービスとオンプレミスの DNS サービスを組み合わせて、これら 2 つを一種の動的なDDoS 対策デュオとして展開し、負荷を分散したり、一方の DNS サービスをもう一方のバックアップとして配置したりすることです。
悪意のあるトラフィックの管理: DNS サービスでは、スケーラビリティと高可用性に加えて、高度な悪意のあるトラフィック管理機能も採用する必要があります。 このようなサービスは、リアルタイム分析と脅威インテリジェンスを活用することで、管理者が悪意のあるトラフィックを識別して、被害が発生する前に対処するのに役立ちます。 きれいな水の流れと汚染された水の流れを区別し、きれいな水だけを通過させることができる水フィルターを想像してみてください。 ネットワークを通過する「クリーンな」トラフィックのみを許可すると、悪意のあるトラフィックを事前に検出し、被害者の宛先に到達する前にドロップすることでリソースが解放され、宛先がジャンク パケットを処理する必要がなくなり、アプリの可用性が向上します。
これらのセキュリティ方法は、不正なトラフィックを軽減するという問題を三角測量で解決します。 彼らは成長し、方向転換し、衰退する。 また、個別の方法では不十分な領域を相互にカバーします。 高可用性たとえば、高いスケーラビリティが必ずしも意味するわけではありません (逆もまた同様です)。 ただし、これら 3 つすべてを組み合わせたアプリ配信戦略を導入すると、悪意のあるトラフィック フラッドに対する強力な防御線を迅速に提供できます。
実際には、DDoS 攻撃などの課題に直面しても堅牢なアプリケーション配信を実現するには、インテリジェントなトラフィック管理、分散アーキテクチャ、自動フェイルオーバー メカニズムなどの戦略とテクノロジを組み合わせることが必要になることがよくあります。 F5 Distributed Cloud DNS は、分散アプリケーション向けにこのような環境を開発するための最初のステップとなります。
方法について詳しく知りたい場合は、お問い合わせください。