ダイナミックDNSインフラストラクチャ

ドメイン ネーム システム (DNS) はインターネットの技術的な基礎ですが、成長とセキュリティの面で大きな課題に直面しています。 インターネットは DNS に依存しており、DNS が機能しないとインターネットも機能しなくなります。 今日の組織はインターネット DNS だけでなく、独自の DNS にも依存しており、DNS システムが故障するとアプリケーションも故障します。

過去 10 年間でスマートフォンが普及し、インターネット ユーザーの数は 500% 以上増加して 26 億人を超えました。 フォレスター¹2016 年までに世界中で 10 億台を超えるスマートフォンが使用され、その結果、LTE (Long Term Evolution) 4G ネットワーク上のスマートフォン アプリケーションが爆発的に増加し、DNS トラフィックが急増すると予測されています。

エンターテイメント サイト、ソーシャル メディア、検索、オンライン購入の増加も DNS に圧力をかけています。 過去 5 年間で、DNS クエリの量は 200% 以上増加しており、2011 年第 1 四半期の 1 日あたりの平均クエリ負荷は驚異的な 570 億に達しました。

サイトやアプリケーションがより充実し、より高度になるにつれて、DNS にかかる負担は増大します。 たとえば、最近の Web ページでは、すべての画像、追加ボタン、ウィジェット、リンク、アイコン、その他の埋め込みコンテンツに、検索する必要がある潜在的な IP アドレスがあります。 1 つのページでブラウザによる 20 を超える異なる DNS ルックアップが必要になることは珍しくありません。 cnn.com などのトップレベル ページでは、100 回を超える DNS ルックアップが必要です。 ウェブが大規模かつ複雑になると、DNS 要求も増え続けます。

ほぼすべてのクライアントは、目的のサービスにアクセスするために DNS に依存しているため、DNS はすべてのサービスの中で最も重要かつ公開されています。 DNS の中断は、単一のアプリケーションだけでなく、すべての外部データセンター サービスに影響を及ぼします。 この単一の完全障害点と、特にインターネットおよび企業のデータ センター内で歴史的に十分にプロビジョニングされていない DNS インフラストラクチャにより、DNS は攻撃者にとって非常に魅力的なターゲットになります。 これは、分散型サービス拒否 (DDoS) 攻撃で HTTP に次いで 2 番目に頻繁に使用される攻撃ベクトルとなり、組織は効果的な防御策を急いで講じる必要に迫られています。

同様に重要なのは、フィッシングや中間者 (MITM) 攻撃など、最も金銭的な損害をもたらす攻撃が DNS 応答の操作から始まるという事実です。 ドメイン ネーム システム セキュリティ拡張 (DNSSEC) テクノロジはこれらの問題に対処することを目的としていますが、その追加オーバーヘッドと複雑さは、急速な成長と DDoS 防御によってもたらされる問題への対処にすでに取り組んでいる組織にとって、さらなる負担となっていることが判明しています。

ブラウザのツールバー ブロッカーなどの従来のセキュリティ対策も DNS サービスに依存しているため、これらのサービスが中断されると、セキュリティ対策が失敗する可能性があります。 SSL サイト証明書でも、ある程度同じ問題が存在します。

組織は、DNS ソリューションを新たに検討し、今日の、そして将来のインターネットのパフォーマンスとセキュリティの要件を満たしていることを確認する必要があります。

成長とセキュリティの課題に対応する組織は、DNS とグローバル アプリケーション配信のために 10 年以上にわたって F5 Networks を採用してきました。 F5 BIG-IP Global Traffic Manager (GTM) は、これまで最高のパフォーマンスと最も柔軟性を備えたマルチサイト アプリケーション配信テクノロジーでした。 現在、F5 は、グローバル、ローカル、クラウドの負荷分散のための完全なソリューションを提供する、ダイナミック DNS のフルプロキシ アーキテクチャによって、技術的な限界を押し広げています。

複数のデータ センターと既存の DNS インフラストラクチャを備えたグローバル組織向けに、BIG-IP GTM は、グローバル サーバー ロード バランシング (GSLB) から F5 独自の DNS Express テクノロジーによるフル ゾーン サービスまで、さまざまなサービスを提供します。 DNSSEC 署名により、クライアントが悪意を持ってリダイレクトされないことが保証されます。

企業にとって、BIG-IP GTM は、アウトバウンド DNS 名前解決、キャッシュと解決、および DNSSEC 検証のための中央クリアリング ハウスとして機能します。 DNS Express は、ローカル ゾーンの解決を拡張、保護、高速化します。

物理データセンターと仮想データセンターを任意に組み合わせて持つ組織の場合、BIG-IP GTM は、データセンター間およびデータセンター内での名前の移動を制御する俊敏性を提供します。 パブリック クラウド環境とプライベート クラウド環境で BIG-IP GTM Virtual Edition (VE) を使用すると、組織は新しい展開を自由に開始し、柔軟なグローバル アプリケーションの可用性を提供できます。

DNS 経由の GSLB は、DNS が応答ごとに複数の IP アドレスを初めて組み込んで以来、負荷を分散する方法となっています。 現在でも、多くのサイトではラウンドロビン DNS 応答手法を使用して、サーバーやアプリケーション間でトラフィックを分散させようとしています。

シンプルで便利ですが、原始的なラウンドロビン DNS 負荷分散には 2 つの重大な弱点があります。 まず、従来の DNS サーバーはアプリケーション サーバーの健全性を認識しません。 名前が 4 つのアプリケーション サーバー アドレスにマップされ、3 番目のサーバーがダウンしている場合、提供される接続の 25 パーセントが拒否されます。 第二に、従来のラウンドロビン手法では、名前自体を照会するユーザーのプロファイルが考慮されません。 つまり、ユーザーを近くのデータセンターにマッチングさせる機能はありません。

BIG-IP Global Traffic Manager は、2002 年からこれらの弱点などを解決する GSLB ソリューションを提供してきました。 インターネット サイトや企業のデータ センターでは、高いアプリケーション可用性と優れたユーザー エクスペリエンスを提供する高度なグローバル サーバー負荷分散を実現するために、BIG-IP GTM を活用しています。 企業にとって、BIG-IP GTM は基盤となるアプリケーションの健全性を考慮し、健全なサーバーのアドレスのみを配信します。 複数のデータ センターを持つグローバル インターネット サイトの場合、BIG-IP GTM は、各アプリケーションのビジネス ロジックを実装する高度な負荷分散方法を採用できます。 この方法は、静的または動的な比率を使用して負荷を分散する優先度ベースの優先リストのように単純なものから、クライアントの近接性に基づくもの、または複数の要素と入力を使用してクライアントに最適なリソースを選択するような複雑なものまであります。 現在、多くの組織が地理位置情報データを使用して、ユーザーを最も近いデータセンターに接続しています。 ユーザーは接続不良が減り、より充実したエクスペリエンスを得られるようになり、データ センターではグローバル サーバーの負荷分散が向上します。

これまで、BIG-IP GTM は、インテリジェントでありながら非権威的な DNS 解決を提供することで GSLB を提供してきました。 新しい DNS Express 機能は、世界クラスの高性能な権威 DNS 解決を提供することで、これを改善します。 これは、既存の DNS サーバーからゾーン情報を独自の RAM に転送し、すべてのクエリに自ら応答することによって行われます。 DNS Express は、新しい管理インフラストラクチャを必要とせずに、BIG-IP GTM を権威サーバーにします。

DNS Express の背後で使用する場合、DNS サーバーは DNS 管理のための単なるストレージおよび管理制御ポイントになります。 つまり、必要なサーバーの数が少なくなります。 他の F5 製品と同様に、BIG-IP GTM は ICSA Labs 認定ネットワーク ファイアウォールであるため、DMZ 内やファイアウォール境界外にも配置できます。

BIG-IP GTM は、DNS セキュリティ境界での DDoS 攻撃に対する保護を提供する一連のセキュリティ サービスを提供します。 たとえば、BIG-IP GTM は、通常の DNS サーバーをはるかに超えるパフォーマンスを拡張することで、一般的な分散 UDP フラッドを簡単に軽減します。 同様に、より高度なクエリ攻撃に対しても、DNS Express 機能は NXDOMAIN DDoS 攻撃中でも有効なゾーン エントリをすべて保持するため、一般的な DNS サーバーよりも優れたパフォーマンスを発揮します。

2002 年に世界的な DNS インフラストラクチャに対する最初の大規模な攻撃が発生して以来、IP Anycast テクノロジーは、さまざまな種類の DDoS 攻撃に対する重要な防御手段となっています。 IP Anycast は、負荷 (正当なトラフィックまたはネットワーク攻撃) を複数のデバイス (通常は世界各地の異なるデータ センター) に分散することで、DDoS 攻撃を軽減します。 これにより、グローバル ボットネットは単一のターゲットに攻撃力を集中することができなくなり、ボットネットの攻撃が阻止されます。

BIG-IP GTM を含む F5 のすべての TMOS ベース製品には、ネットワーク攻撃を軽減する ICSA Labs 認定のネットワーク ファイアウォール機能が含まれています。 BIG-IP バージョン 11 の新しいフルプロキシ アーキテクチャにより、BIG-IP GTM はすべての DNS クエリに対してネイティブ プロトコル検証を実行できるようになります。 DNS ダイアログの両側を終了することで、BIG-IP GTM は無効な DNS 要求を迅速に排除できます。

DNS Express は DNS 応答の提供方法に革命をもたらしていますが、F5 は従来の DNS サーバー負荷分散ソリューションを進化させ続けています。 BIG-IP GTM バージョン 11.1 では、真のフル プロキシ インライン機能が導入され、BIG-IP GTM は DNS クライアントからの要求と DNS サーバーからの応答をプロキシして最大限の制御を提供します。

この新しいフルプロキシ アーキテクチャにより、組織は、キャッシュ、解決、DNSSEC 署名および検証を含む DNS パフォーマンスおよびセキュリティ関連のサービスの完全なセットを提供するための制御が可能になります。

フルプロキシ アーキテクチャにより、DNS キャッシュと解決により、BIG-IP GTM は単一の DNS サーバーだけでなく、DNS サーバーのプール全体に対して透過的なキャッシュとして機能できます。 単一の制御ポイントでの透過的なキャッシュにより、単一の BIG-IP GTM キャッシュは各 DNS リゾルバ上の個別のキャッシュよりも高速にデータを取り込むことができるため、応答が速くなります。 これにより、全体的なパフォーマンスが向上し、最終的にはユーザー エクスペリエンスが向上します。

DNS は通常、顧客が組織のデータ センターに接続するときに最初に行うステップであるため、DNS 応答をハイジャックする攻撃 (フィッシングや MITM 攻撃など) は、資産を侵害する最も簡単な方法です。 DNS 応答スプーフィングは、攻撃者にとって常に人気の手法であり、再帰ネーム サーバーに対するキャッシュ ポイズニングは、IT コミュニティが当初考えていたよりもはるかに簡単です。 2008 年、セキュリティ研究者の Dan Kaminsky 氏が DNS メッセージ識別子の設計に欠陥があることを明らかにし、その結果、米国などの高セキュリティ組織が DNS の脆弱性を突く攻撃に遭いました。 国防総省は、DNS のセキュリティ確保を最優先事項とし、規制遵守のために必須としました。

F5 の DNSSEC ソリューションは、あらゆる種類のキャッシュ ポイズニング攻撃を防御し、フィッシングや MITM の脅威を軽減します。 これにより、組織の顧客は、フィッシング プロキシではなく、実際にデータ センターに接続していることを保証できます。 F5 の DNSSEC 署名キーは、最大限のセキュリティを確保するために、改ざん防止機能を備えた FIPS 140-2 レベル 3 ハードウェア セキュリティ モジュール (HSM) に保存できます。

DNSSEC の導入は、名前解決業界の多くの企業にとって困難で時間がかかりました。 特に、一部のグローバル サーバー負荷分散ソリューションは DNSSEC と互換性がありません。ほとんどのソリューションは、初期のリファレンス実装に従い、1 か月に 1 回ゾーン全体を静的に署名してから、事前に署名された応答を提供します。 ただし、静的に署名されたソリューションには問題があります (サイドバーを参照)。

F5 の動的 DNS インフラストラクチャは優れたアプローチを提供します。² BIG-IP GTM では、DNSSEC と GSLB が共存します。これは、BIG-IP GTM が応答にリアルタイムで署名するため、強力な非対称暗号化で応答を保護しながら、GSLB のすべての利点を実現できるためです。

DNS Express と併用すると、BIG-IP GTM は、自身のゾーン情報、他のローカル DNS サーバー (DNSSEC を使用していない可能性があります)、および BIG-IP GTM 自身のキャッシュ リゾルバーから提供されるクエリを含む、提供されるすべてのクエリの応答に署名します。 BIG-IP GTM は、別のサーバーによってすでに署名されている応答には署名しないほどスマートです。 F5 は唯一の完全な GSLB および DNSSEC ソリューションを提供し、改ざん防止の FIPS 140-2 レベル 3 ハードウェア キー保護により署名キーを保護できます。

静的に署名されたゾーンの問題

• 管理者はゾーン全体が再署名されるまで小さなゾーン変更を行うことはできません
• 静的に署名されたゾーンでは、高可用性を確保するためにアプリケーションのヘルスモニタリングを利用できません。
• 地理位置情報などの高度なクライアント認定技術は、静的に署名された環境ではサポートされません。
• GSLB実装は静的DNSSECを破壊してルーティング決定を行う

ローカル DNS (LDNS) サービスは、エンタープライズ クライアントに代わって送信名前クエリを解決します。 この基本サービスを提供することで、LDNS は、企業管理者がパフォーマンス、スケーラビリティ、セキュリティを管理するための中心的な制御ポイントになることができます。

• パフォーマンス。 BIG-IP GTM キャッシュとリゾルバを設定すると、アウトバウンド DNS クエリが 80% 削減され、パフォーマンスが向上し、ユーザー エクスペリエンスが向上します。
• スケーラビリティ。 BIG-IP GTM マルチコア アーキテクチャは、DNS Express とともに拡張でき、最大規模のエンタープライズ データ センターのニーズにも対応できます。
• 安全。 BIG-IP GTM は、他の内部クライアントや DNS サービスから暗号化を多用するサービスをオフロードする、高性能なドロップイン DNSSEC 検証ソリューションを提供します。

BIG-IP GTM のフルプロキシ機能は、解決、キャッシュ、DNS 応答機能の任意の組み合わせの検証を実行することで、組織が DNSSEC 応答を検証するのに役立ちます。 BIG-IP GTM は各クエリを受け入れて解決できるだけでなく、DNSSEC 応答も検証できます。

BIG-IP GTM による検証により通信が保護され、クライアントは計算コストのかかる暗号化操作を実行する必要がなくなり、キャッシュにより後続のクエリのパフォーマンスが向上します。 複数のクライアントが同じ DNS 解決を要求すると、後続のすべてのクライアントは、すでにキャッシュされ検証された応答を受信します。

DNSSEC ソリューションは、最終的にインターネットを安全に保護する可能性を秘めています。 .com 名のルートが署名されたことで、たとえば、銀行からの電子メールが本当にその銀行からのものであるかを顧客が確認できるグローバル インフラストラクチャがようやく整いました。 インターネットが DNSSEC の成長痛を克服するにつれて、この重要なテクノロジーの採用は、それが義務付けられている連邦政府機関だけでなく、他の組織にとっても現実のものとなるでしょう。

DNSSEC 検証は計算コストが非常に高くなる可能性があるため、大企業では、内部クライアントがスムーズに機能し続けるように、キャッシュとパフォーマンスの適切な組み合わせが必要になります。

BIG-IP GTM の高性能なオンボード暗号化ハードウェアは、DNSSEC 検証の計算負荷を軽減します。 BIG-IP GTM は、DNSSEC を要求しない従来のクライアントに対しても DNSSEC 検証を実行できるため、企業全体にとって透過的なドロップイン セキュリティ ソリューションとなります。

BIG-IP GTM には、DNS サービスの健全性を 5 秒ごとに照会する新しいアプリケーション ヘルス モニターが含まれています。 モニターは、アクティブで利用可能なサーバーがクエリに適切に応答していることを確認します。 その後、応答のあらゆる側面を評価したり、単に応答を監視したりすることができます。

DNS ヘルス モニターの柔軟性により、実質的にパス モニターになることができます。 たとえば、管理者は外部名が解決されていないかどうかを監視できます。 この障害を通知することにより、モニターは、エンタープライズ サーバーとインターネット間のどこかに名前の中断が存在することを組織に警告します。

現在、データセンターは流動的な状態にあります。 一部の組織ではデータ センターを統合していますが、他の組織では新しい仮想データ センターとクラウドの展開を使用して成長を管理しています。 さらに、マネージド サービス ホスティングとインターネット SaaS (Software-as-a-Service) を組み合わせて仮想アプリケーションを提供している企業もあります。 BIG-IP GTM は、これらすべてのアーキテクチャに対応するソリューションを提供します。

シンプルで堅牢なクラウド DNS 管理:

• クエリ管理とキャッシュをクラウド展開に拡張します。
• DNS クエリが最適なクラウドに効率的にルーティングされるようにします。
• 高速なアプリケーション応答を備えた DNS キャッシュにより生産性が向上します。

BIG-IP GTM を使用すると、組織はクラウド展開におけるインバウンド DNS とグローバル サーバー負荷分散を一元的に制御できるようになります。 BIG-IP GTMの仮想エディション（VE）は、VMware vSphere、Microsoft Hyper-V、Citrix XenServer環境に導入できます。³物理バージョンと同じサービスを提供します。 仮想環境内の BIG-IP GTM VE は仮想アプリケーションに LDNS を提供でき、物理的な BIG-IP GTM スタンドアロン デバイスは外部での可用性を確保できます。

GSLB を魅力的なソリューションにしている同じ原則が、仮想環境にも適用されます。 BIG-IP GTM を使用すると、組織は仮想データセンター内のアプリケーションにユーザーをルーティングすることで、柔軟なグローバル アプリケーション可用性を簡単に実装できます。 DNS ヘルス モニターは仮想アプリケーションの可用性を保証します。 BIG-IP GTM のネイティブ DNS インテリジェンスは、仮想展開のために、最も利用可能なクラウド アプリケーションやさまざまなクラウド間でユーザーを誘導します。

組織が IPv6 に移行する際には、レガシー システム、顧客の要件、互換性がすべて、移行の速度に影響します。 さらに問題を複雑にしているのは、一部のネットワークは IPv6 のみであるにもかかわらず、インターネット上のホストや IPv6 をサポートしていないレガシー サーバーなどの IPv4 リソースへのアクセスも必要となることです。 多くの組織では、デュアル スタックをサポートできないサブネットが存在し、そのギャップを埋めるソリューションが必要です。

F5 のフルプロキシ アーキテクチャは、ネットワーク内の戦略的な制御ポイントを活用して IPv6 クライアントと IPv4 サーバー間のギャップを埋める、独自の魅力的なソリューションを提供します。

BIG-IP Local Traffic Manager (LTM) の NAT64 ゲートウェイを使用したネットワーク アドレス変換は、アプリケーション配信用の IPv6 から IPv4 へのプロキシを提供します。 BIG-IP GTM の DNS64 ゲートウェイは、IPv6 アドレスを自動的にシミュレートし、NAT64 プロキシを呼び出します。

組織は DNS64 と NAT64 を使用して、ネットワークにデュアル スタックを実装することなく、IPv4 インフラストラクチャに引き続きアクセスできる新しい IPv6 専用ネットワークを構築しています。 F5 のネットワークにおける戦略的な制御ポイントは、これらのソリューションを実現する重要なコンポーネントです。

• LTEモバイルデバイスに重要なサポートを提供
• IPv6とIPv4の両方にアクセスする純粋なIPv6クライアントをサポート
• NAT64とDNS64を組み合わせて自動翻訳を実現

F5 は 2002 年から高性能 DNS ソリューションを提供してきました。 F5 は最新の DNS テクノロジー スイートを備え、グローバル アプリケーション配信の最先端を走り続けています。 権威ゾーンとローカルゾーン向けの DNS Express は、DNS 配信の最高のパフォーマンスを提供し、DNS DDoS 保護を追加します。 BIG-IP GTM の新しいフルプロキシ アーキテクチャにより、組織は DNS 解決による俊敏性、キャッシュによるパフォーマンス、署名と検証による完全な DNS セキュリティを最大化できます。 クラウド サービスに移行する組織にとって、BIG-IP GTM VE はプライベート クラウドと仮想環境内での柔軟性を実現します。 また、IPv6 に移行する組織の場合、BIG-IP GTM の DNS64 は移行中に IPv6 と IPv4 の世界をうまく橋渡しします。

組織がグローバル データ センター インフラストラクチャ、エンタープライズ データ センター、またはその両方とプライベート クラウド サービスまたはハイブリッド クラウド サービスを組み合わせて使用しているかどうかに関係なく、BIG-IP GTM に基づくソリューションは、アプリケーションの保護、拡張、および世界への配信に役立ちます。