最新の big ip gtmがご提供するdnssec sign ingress dns_request •...
TRANSCRIPT
最新のBIG‐IP GTMがご提供するDNS機能概要最新のBIG‐IP GTMがご提供するDNS機能概要DNS機能概要DNS機能概要
2
DNSサービスと広域負荷分散によるDNSサ ビスと広域負荷分散によるクラウド環境の負荷分散
シンプルで強固なクラウド環境のDNS環境管理:• DNSのクエリが確実に最適なデータセンタ若しくはクラウドへとルーティングされ
る環境を実現
© F5 Networks, Inc.
る環境を実現• クラウド環境におけるDNSのクエリの管理性とキャッシング機能の強化を実現• アプリケーションのレスポンス向上よりインフラの大幅な強化
3
DNSサービスによってご提供する価値
DDoS攻撃への対策10倍以上のスケーラビリティ、70%のコスト削減
DNS64などによるユーザー利便性とインフラの統合
DNSインフラの管理性向上
アクセス管理
利便性とインフラの統合
IPv6 to IPv4
セキュアなDNSクエリとレスポンス地理情報に基づくルーティング管理:ジオロケーション
IPv6 to IPv4
© F5 Networks, Inc.
http://f5.com
4
アプリケーション可用性向上とDNSサービスアプリケ ション可用性向上とDNSサ ビス
BIG‐IP Global Traffic Manager (GTM)モジュールの機能概要
アプリケーションとデータの最適化
動的なデ タセンタ間の負荷分散• 動的なデータセンタ間の負荷分散• DNSとアプリケーションのヘルスモニタリング• ジオロケーション・ルーティング• 自動的なサイト間フェイルオーバー
IP 6/IP 4変換
Data Center 1
Data Center 2
• IPv6/IPv4変換• DNSスケーラビリティ強化• DNSキャッシングとリゾルビング
アプリケ シ ンとデ タのセキ リティ強化アプリケーションとデータのセキュリティ強化
• トランザクションの確実性向上• DNS iRulesによる利便性、柔軟性強化• リアルタイムなDNSSEC署名• リアルタイムなDNSSEC署名• DNSSEC Validation機能• DNSインフラを狙うDDoS攻撃対策• DNSファイアーウォール
© F5 Networks, Inc.
5
課題:DNSは攻撃に対して脆弱課題:DNSは攻撃に対して脆弱GTM DNS Firewall機能
D CData Center
DNS Servers www.company.com
LDNS
複数の攻撃 ポイズ ング• DNSへ複数の攻撃: DDoS, Cacheポイズニング, Man‐in‐the‐middle• アプリケーションはタイムアウト
• 顧客を喪失 および生産性の低下
© F5 Networks, Inc.
顧客を喪失、および生産性の低下
• 収益性とブランドイメージの損失
6
ソリューション:完全な DNSインフラの保護ソリュ ション:完全な DNS インフラの保護GTM DNS Firewall機能
Data Center
company comcompany.com
X QA i
LDNS
F5 DNS Firewall Services
• ハイパフォーマンスDNS –マルチコアGTM
• スケーラブルDNS ‐ DNS ExpressX
F5 DNS Firewall Services
• 複数デバイスを活用した負荷分散‐ IP Anycast
• Secure DNSクエリ ‐ DNSSEC
A
© F5 Networks, Inc.
• ルートベースで近いDCへ誘導 ‐ Geolocation
• Complete DNS control with – DNS iRules
Qi
7
DNS ExpressによるSecurity対策DNS ExpressによるSecurity対策
GTM DNS Firewall機能DNS Server
極めて高性能なAuthoritative DNSサーバ
100万単位のレコードを管理
100万qps (query per second)を凌駕する応答性能100万qps (query per second)を凌駕する応答性能
メモリ上で稼働する “Authoritative DNS”
BindをPrimaryサーバとしセキュリティ対策
ManageDNS
RecordsOS
NIC AdminAuthRoles
D iAnswer
DNS Express in TMOS
DynamicDNSDHCP
DNSQuery
AnswerDNSQuery
AnswerDNSQuery
LDNSLDNS
© F5 Networks, Inc.
125k QPS
600k QPS
1.5Mil QPS
3Mil QPS
6MilQPS
2Mil QPS
8
DNS Securityによる対策DNS Security による対策GTM DNS Firewall機能
••• http://f5.com
Data Center
© F5 Networks, Inc.
9
DNSのトータルコントロール with DNS iRulesDNSのト タルコントロ ル with DNS iRulesGTM DNS Firewall機能
DNSトラフィックの検査と操作• DNSトラフィックの検査と操作
• DNSの保護と高パフォーマンスClient Side
Egress
• DNS iRulesを使用したサービス
• Custom Query loggingDNS filt i
Last Action
DNSX
• DNS filtering• Rate limiting• Query/Zone specific LB
GTM Build
DNSSEC Answer
GTM Rewrite
DNS_RESPONSE
• Honeypot Responses
• DNS iRules例: ブラックホール
DNSSEC Sign
Ingress
DNS_REQUEST
• 禁止されたFQDNへのDNSリクエストを横取りし、リクエストのログを記録するようなコンテンツをホストしているLTMのVirtual ServerのAレコードを返答する。
© F5 Networks, Inc.
10
DNS iRulesの動作例DNS iRulesの動作例
• ブロッキングページをデザイン
• ユーザがブラックリストサイトにアクセス時にブロックページにより通知
• 会社におけるインターネットアクセスの利用ポリシのリマインドも可能
の イパフ ンスによりす ての ク リ を処理• GTMのハイパフォーマンスによりすべてのDNSクエリーを処理
ブロックページの例:IE9, Firefox 8.0.1, Chrome and Safari on IOS5.0 (iPad2)
© F5 Networks, Inc.