InfobloxがDNSサーバーとして選ばれる5つの理由
DNS(Domain Name System)が世の中に誕生して40年が経過しました。
Infobloxは、約25年前にDNS専用のアプライアンスサーバーを世の中にリリースし、今ではフォーチュン100企業の92社や新興のイノベーターを含む13,000社以上のお客様に継続的に利用いただいています。
一方でこれまでの歴史上背景から、セキュリティリスクや運用負荷が極めて高いにも関わらずDNSを専用アプライアンスではなく、Linuxサーバー(BIND)やWindowsサーバーで担っている企業や団体がまだ多くいることも事実です。
本ブログでは、DIYでDNSサーバーを運用している方向けにInfobloxがDNSサーバーとして選ばれる5つの理由をご案内していきます。
Infobloxとは
Infobloxは、約25年前にDNS専用の堅牢かつ高速なアプライアンスサーバーを世の中にリリースして以降、事業領域をDHCP(Dynamic Host Configuration Protocol)やIPAM(IP Address Management)まで拡張し、DDI(DNS, DHCP, IPAM)というマーケットを創出してきたグローバル企業です。(本社はアメリカのサンタクララにあります。)
参考: 「Infoblox」って何の会社!?
DNSサーバーとは
DNSサーバーの主な役割はよく「電話帳」の例えで利用されますが、ドメイン名とIPアドレスを変換する仕組みを提供するサーバーです。
インターネット上でパケットの送受信に使われているプロトコルであるIPアドレスは数字の羅列であり、人間にとって覚えやすいものとは決して言えません。そこで考案されたのがDNS(Domain Name System)で、人間にも覚えやすい「www.infoblox.com」などのドメイン名で通信先を指定することを可能にしています。
あるべきDNSサーバーの構成
DNSサーバーのベストプラクティスな構成をここで紹介させていただきます。
DNSサーバーと言っても様々な用途で利用されるケースがあります。あくまでベストプラクティスであり、こうでなければならないということではありませんので、その点ご理解ください。
右下(1)から行きましょう。外部からの問い合わせを受ける組織の外部公開DNSサーバーです。
外部ユーザーからのHPの宛先、メールの宛先などの問い合わせを受けるわけですが、もちろん外部に公開されております。
当然改ざんやDDoS攻撃の対象となるケースが多いため、攻撃に対応するためのセキュリティを意識する必要があります。
セキュリティ観点より再帰問合せを一切無効、また外部へのゾーン転送も無効しておく事がDNSアーキテクチャとしての原則です。
また、キャッシュポインズニングやその他ボリューム系DDoS攻撃等々を回避することで、DoS攻撃の被害者・加害者となる事を防ぐことも必要で、この箇所に、DDoS対策の機能を盛り込むことが望ましいです。当社でAdvanced DNS Protectionというシグネチャベースのセキュリティ機能を提供しております。
多くのお客様で右上(2)に記載している内部のユーザーが社外へ問い合わせをするために利用するforwarderDNSと併用して利用されているケースが多くありますが、役割が異なり、保持しているドメイン情報が流出しないよう、権威サーバーとして問い合わせのみに専念させることが推奨されます。
上部2つが内部ユーザー用DNSサーバーになるわけですが、多くのお客様で外部(2)と内部(3)のDNSサーバーを分けられております。
外部(2)のキャッシュDNSサーバーはDMZに位置しており、外部からリーチ可能な箇所となるため、セキュリティの観点から内部サーバーのキャッシュ情報保持の観点からもこちらが推奨となります。
セキュリティの観点からいうと、マルウェアの感染端末が外部へ情報を送付するDNSトンネリングなどの手法が多く、ログの取得はもちろん、DNS ファイアウォールやDNSのふるまい検知を導入することでリスクを低減することが可能です。
また、左下(4)の管理サーバーHidden Primary DNSと記載がありますが、内部でマスタデータを管理することで攻撃の被害を受けた際、改ざんを受けた際に速やかな対応が可能です。また、当社製品の特色となりますが、各DNSサーバーを統合管理することでメンテナンス性を向上することが可能です。外部からのアクセスおよび一切のDNSクエリ到着が不可にしておくことが原則です。
InfoboxがDNSサーバーとして選ばれる5つの理由
InfobloxのDNSサービスは、世界中の様々な業界で導入され、その価値と効果を実証しています。上記ベストプラクティスを実現するために、何故InfobloxがDNSサーバーとして多くのお客様に選ばれるのか見ていきたいと思います。
1.統合管理
オンプレからクラウドまでDNSの管理がバラバラな場合、DNS管理の運用効率が悪くなります。Infobloxではハイブリッド環境はもちろんのこと、マルチクラウド環境においても統合管理に必要な機能を提供できます。
2.脆弱性に対する迅速な対応
業界標準となる団体との密接な連携を有しており、脆弱性に即日対応することができます。また上記の統合管理機能により一元なパッチマネジメントを実現できます。
3.権限委譲
実際サービスを利用する部門の管理者に必要なドメインに関する作成・編集・削除等の権限を統合された管理コンソールを用いて委譲することにより、セキュリティクラウドの運用管理者の負担を軽減することが実現できます。
4.レポーティング
誰がどこのサイトに行ったのか等のDNSクエリの分析や、クエリレスポンスやその他DNSに関する統計情報からサイトのサービスレベルの状態確認、および将来のトラフィック予測等のキャパシティプランニング、監査対応を実現できます。
5.攻撃対策
ブランド価値を確保するためにDNSの信頼性を高め、運用管理をシンプルにしつつ、サイバー脅威に対応することを実現できます。DNSトンネリングやDoT/ DoHの対応等、DNSでしか守れない攻撃、DNSを用いた攻撃に対応可能です。
ここからInfoboxがDNSサーバーとして選ばれる5つの理由を深掘りしていきます。
1.統合管理
ベストプラクティスで説明をさせていただきましたが、一口にDNSといっても様々な箇所に様々な役割のDNSサーバーが必要となります。それぞれの設定やログを一括管理、可視化できるようにすることで運用負荷の低減、障害時、攻撃被害時のリカバリを迅速化することが可能です。
InfobloxのDNSには、Grid Masterという集中管理するためのサービスがあります。このGridの機能を利用することで、他社製品にはできないエンタープライズな統合管理を実現します。
1.設定変更の一元化
設定変更時に単一コンソールで設定可能
2.各ネットワークの可視化
DNSだけではなく、DHCPの利用状況を単一コンソールで確認可能。加えて、IPリソースの利用状況、DNSレコードを確認可能
3.障害発生時の迅速な復旧
管理サーバで設定管理を実施することで再設定などの手間を削減し、復旧時の人的ミスの発生リスクを低減可能
2.脆弱性に対する迅速な対応
多くのお客様でBINDと呼ばれるオープンソースのDNSサーバーが利用されています。
当社の製品もBINDをベースにカスタマイズされた専用OSです。昨今BINDの脆弱性
報告が多くされており、緊急性の高い脆弱性報告がすでに今年3回公表されております。
DNSは外部に公開されるサーバであるため、脆弱性を放置することで被害が大きくなりがちです。当社はBINDを管理するISCとの緊密な連携により、脆弱性情報を約1か月前に入手しており、基本的に公表から1日以内にパッチを提供しております。もちろんパッチの適用、切り戻しも簡単な操作で実施可能です。
補足:ISCとInfobloxの関係
ISCのTechnical Advisory Board メンバー(技術顧問メンバー)
Friends of ISC(ISCとパートナー・顧客との情報交換プログラム)の創立メンバー
長年にわたり、ISCの設計に積極的に関与
DNSやDHCPといったオープンソースインフラソフトの開発・維持・発展に従事
InfobloxではISCがCVEを発表した1日以内にパッチをリリース
この点がオープンソースのツールがある中で専用機を選択される多くのお客様の理由でもあります。
3.権威移譲
これは大規模なネットワーク環境を持つお客様、多くのサービスを運用しているお客様に多いですが、拠点やネットワークごとにDNSの登録権限を柔軟に付与することが必要なケースがあります。1つの設定ミスでネットワークの全断も起こりうるDNSサービスにおいては管理権限にしっかりとした制限をかけることが必要です。
弊社製品は、拠点毎、オブジェクト毎、Read Only/Read-Writeと細やかな権限移譲の設定が可能であり、管理者のアクションは監査ログに記録されることで、利用状況も容易に可視化可能です。
4.レポーティング
問い合わせのログ、その結果の回答のログ、それぞれクエリログ、レスポンスログと呼びますが、セキュリティ対策において保持すべきログとして各自治体やJPCERTなどの公的機関で推奨されております。
昨今様々なSIEM製品をご利用されているかと思いますが、弊社製品でもまとめてSyslogサーバー、SIEMサーバーへの転送、弊社のログサーバーへの保管など、様々な方法でログを保管することが可能です。
もちろん、統合的なログサーバー、SIEMなどとログの自動連係も可能です。当社Ecosystem、その他汎用のSyslogサーバに対して自動的にログを転送することでログ分析を行うためアクセス情報(アクセス日時、接続元IPなど)を記録し、ログ分析装置に自動連係することで、運用負荷を上げることなく、インシデントに備えることが可能です。
5.サイバー攻撃対策
Advanced DNS Protection(ADP)と呼ばれるDNSサーバーに追加する機能ライセンスにより、シグネチャを用いてDNSサーバへの攻撃に対応することが可能です。また、不正通信を通常のDNS処理エンジンと別のエンジンで攻撃を処理することで通常通信への影響も最小化することが可能です。昨今注目されるDoT DoH*などへの対応も可能としており、これらの手法を用いた攻撃にも対応が可能です。
*DNS over TLS(DoT), DNS over HTTPS(DoH)
主な対応攻撃手法として、Reflection, NXDOMAIN, Amplification, TCP/UDP/ICMP floods, Data Exfiltration (through known tunnels), Hijacking, Reconnaissance, Cache poisoning, Protocol anomalies等々があります。DDoS攻撃の全ての範囲における脅威を防御し、自動的に検知しDNSサービスレベルの維持を実現します。
BINDやMicrosoftとの比較
前段でも触れさせていただきましたが、DNSサーバーはBINDだけでなく、Windowsやその他のフリーツール、通信事業者の提供するサービスも存在します。
そんな中でInfobloxを選定するメリットを最後にご案内させてください。
様々記載させていただいておりますが、特に差別化となるポイントを太字で記載させていただいております。
BINDなどのOpenSourceの課題
サーバ毎に個別に運用管理が必要
クラウド等を利用する場合、プラットフォーム毎に運用管理が必要
IPAM情報との連携を行うためには作りこみが必要
権限委譲を行うためには作りこみが必要
CLIベースのため、運用管理者が限定される
DNSクエリの把握が困難
ベースのUnixの脆弱性も含め、脆弱性対応の範囲が広い
Primaryのダウンの際、SecondaryのレコードがExpireしてしまう可能性がある
DR対策は別途仕組みが必要
DNSレコードを最新に保つ事に負荷がかかる
MS-DNSの課題
サーバ毎に個別に運用管理が必要
クラウド等を利用する場合、プラットフォーム毎に運用管理が必要
IPAM情報が十分でないため、エンタープライズレベルのIPAMとしては不十分
DNSクエリの把握が困難
IAサーバのため、複数サービスの脆弱性があり、その対応にDNSサービスが引きずられる
セキュリティ対策が限定的
DR対策は別途仕組みが必要
DNSレコードを最新に保つ事に負荷がかかる
その他の課題
管理の範囲が限られているため、包括的なReportingの情報が得られない
DNSを用いた攻撃への対策が難しい
脆弱性への対応に時間を要する
仮想アプライアンスしかない
管理マネージャが冗長構成を取れない
作りこむ必要が多く、そのメンテナンスをお客様が負担する必要がある
障害時対応にデータ投入等ハード交換以外の作業が必要
多くはすでに触れさせえていただきましたが、管理サーバーによる統合管理による運用負荷低減、脆弱性や攻撃に対する対応機能の充実、権限付与やレコード登録の負荷低減といった点が主に差別化となるポイントとなります。
まとめ
DIYでDNSサーバーを運用している方向けにInfobloxがDNSサーバーとして選ばれる5つの理由をご案内させていただきました。
詳細な比較をご希望の方はご要望いただけましたら個別にご連絡ください。
Infoblox DDI Week Online開催決定!
「基礎からわかるDNS、DHCP、IPAMな4日間」と題して、入門的な内容から弊社ソリューションの特徴や優位性、ユースケースまで分かりやすくご案内します。
さらに、実際にBINDやWindowsサーバーからの移行方法やベストプラクティス、Day 2 オペレーション、既に導入済みのシステム(SIEM、SOAR、Firewall、Endpointなど)との連携による自動化やセキュリティ強化などのテクニカルな情報も解説します。
ご興味ある方は、登録をお願いします!
■開催概要
名称:Infoblox DDI Week Online -
基礎からわかるDNS、DHCP、IPAMな4日間 -
主催:Infoblox株式会社
共催:東京エレクトロン デバイス株式会社
日時:2024年5月21日(火) - 24日(金) 15:00 - 16:15
場所:オンライン(On24)
今なら早期申込キャンペーン開催中!4月19日まで!!
お申し込みはこちらまで↓↓↓
この記事が気に入ったらサポートをしてみませんか?