Akamai Diversity
Home > Security > eDNS: Akamaiで信頼のDNS管理

eDNS: Akamaiで信頼のDNS管理

サイトの運営にあたってコンテンツのストレージや配信速度、アクセス制限などのセキュリティー対策などが注目されていますが(もちろんこちらも全てAkamaiの得意分野です)、多くの場合忘れられがちなのがウェブサイトのDNSです。
DNSは世界中のエンドユーザーをサイトに導く重要な役割を果たしている無くてはならない存在です。それと同時にハッキングによりエンドユーザーを不正なサイトに導いたり、DDoS攻撃の標的になってしまう場合もあり、また故意によるものだけではなく天災や事故等による被害に晒される可能性もあります。
Akamaiは世界をリードするネットワークエキスパートとして普段あまり注目されないDNSセキュリティーにもスポットライトを当てています。 
今回はAkamaiが誇る総合DNSソリューション、Enhanced DNS(eDNS)がどのようにDNSを狙った脅威からサイトを守るのか、そしてどのようなビジネスメリットがあるのかをみていきましょう。
Screen Shot 2013-02-14 at 10.01.47 AM.png
まず初めに少しだけDNSのおさらいをします。
DNS(Domain Name Server)は簡単にいうとインターネットの電話帳みたいな役割をしていて一般のユーザーに覚えやすいURL(www.akamai.com等)からIPアドレス(72.246.2.102等)を割り出す機能を持っています。ただ全てのDNSにインターネット上のIPアドレス全てが登録されていてはとてつもない情報量となってしまいますので守備範囲が異なる複数のDNSから構成されています。ルートDNS(.com, .jp, .org等が登録されているもの)から特定のサイトのIPアドレスが登録されている組織レベルのDNSまで順番に巡り最終的に必要なIPアドレスを割り出しています。
このように組織レベルのDNSがエンドユーザーにIPアドレスを教えているので何らかの理由で機能しなくなってしまった場合は正しくIPアドレスが割り出す事ができなくなりユーザーはURLを使ってサイトをアクセスできなくなってしまいます。コンテンツは正常に機能していてもユーザーがサイトにたどり着けないという大変もったいない状況となってしまいます。

また最近ではDNSをターゲットとした脅威が注目されています。これはDNSを動かなくするどころかエンドユーザーを全く関係のないサイトに誘導するなど大変悪質なものもあります。代表的な例として下記の2つがあります。
DDoS:DNSに対して大量のリクエストを送ることによりインフラのキャパシティーを超えてパフォーマンスの低下やサービスの停止を狙う、DNSだけではなくウェブサーバーに対しても見られる手口です。
Cache Poisoning:エンドユーザーのDNSサーバーに対し正規のDNSレスポンスを装ったIPアドレスを送りエンドユーザーを攻撃を仕掛けた人物の任意のサイトに誘導してしまい、さらにユーザーからの連絡がない限り探知するが難しいやっかいな手口です。
このような脅威がある限りDNSセキュリティーも決して軽視できない課題となっていますが未だにウェブサーバーに対してのセキュリティーに集中しがちでDNSセキュリティーに対しての意識は高いものではありません。

ここで今回の主役となるeDNSが登場するわけです。

eDNSはAkamaiが持つ壮大なグローバルサーバー群、Akamai Intelligent Platformを使ったスケーラブルで高い信頼性を誇る総合的なDNSサービスです。
今までのDNS管理業務を変えずにいながらもお客様のDNSアーキテクチャーを最先端のテクノロジーを屈指し上記のDDoSやCache Poisoning等の危険性から守る事ができ、それと同時にDNSパフォーマンスを向上しエンドユーザーからの大事な信頼を得ることができます。

eDNSの仕組み
Screen Shot 2013-02-15 at 7.44.51 PM.png

ではeDNSの機能をもう少し詳しく見てみましょう!

AkamaiのeDNSを利用するにはまずLuna Control Centerでお客様のDNSゾーンを登録しAkamaiのサーバー群と結びつけます。この時点でお客様のマスターネームサーバーから複数のAkamaiネームサーバーへのゾーントランスファーが行われます。その後ドメインレジストラに連絡し名前解決をAkamaiネームサーバーが行うように切り替えた時点で導入完了となり、エンドユーザーからのDNSリクエストはAkamaiのプラットフォームで名前解決されるようになります。
eDNSは単にサーバー数で勝負しているだけではなく数々の技術が組み込まれていてこれらを重ねて使う事により強力なDNSサービスが作り上げられています。主な機能としては下記のようなものがあります。
IP Anycast:世界中に存在するAkamaiのネームサーバーを有効利用しDNSを指定する際に複数のサーバーがレスポンスする事によりユーザーからの距離やロードバランス等を考慮した最善のものを使用することができます。これによってユーザーにはスピーディーな名前解決を提供するとともに万が一ネームサーバーがダウンしている場合でも正しく機能しているものにシームレスに切り替える事ができます。
Secured Zone Transfer:お客様のプライマリーDNSとAkamaiのネームサーバー間の情報移行でTSIGを行う事によりセキュアなゾーントランスファーを実現します。DNSレベルでの認証を行う事によって不正なデータ改良によるCache Poisoningを未然に防ぐ事ができます。設定を行う事により指定されたマスターからの通信しか受けないなどの徹底した処置を行う事ができます。
Router Protected Name Servers:Akamaiネームサーバーの前に専用ルーターを設置し安全性を保ちながら快適に名前解決を続けることができます。ルーターにホワイトリストベースのセキュリティー管理機能を持たせる事によって外部からの不正アクセスを防ぐ事ができます。
non-BIND-based DNS:Akamai独自のネームサーバーソフトを使いBINDを利用しない事によりBIND系のセキュリティー欠陥を防げます。よく使われているBINDですが、幅広く使われているからこそセキュリティーリスクとなりがちなのです。
これはeDNSの機能の一部ですが既に多くのお客様にパフォーマンス面とセキュリティー面で効果を実感してもらっています。

このように様々なセキュリティーとパフォーマンス機能を一つのサービスにまとめる事によりお客様のDNS環境にも簡単に導入する事ができます。
そして今後もDNSセキュリティーのトレンドをいち早く察知し、その更に先を行く事を目指してAkamaiは進み続けます。

Leave a comment