vantio caching dns solution
DESCRIPTION
Nominum Vantio Intelligent Caching DNS Solution Presentation in JapaneseTRANSCRIPT
Nominum Confidential
VantioインテリジェントDNSシステム ソリューション概要 2011年3月
米ノミナム社
Doug Miller +1 650-381-6182 [email protected]
2
Nominum Confidential
我々のミッション
ノミナム社はインターネットを
より賢く、より速く、より安全に
世界中のブロードバンドおよび
モバイルユーザにもっとお役に
立てるよう努力いたします。
Vantioの概要
3
Nominum Confidential
ノミナム社について DNSを通じインターネットをより良いものにする
ノミナム製品がより優れている理由
技術 ソリューションの多様性 運用実績
DNS要求と返答を評価、ガイドする ポリシーレイヤ
ビジネスニーズをアドレスする 多様なソリューション
広いネットワークカバレッジ – 全世界で5億以上のユーザが利用
リアルタイムでネットワーク、イベントを知るインテリジェントレイヤ
イン・ネット、オフ・ネット、または両者でのソリューション提供
業界最高水準のパフォーマンス
DNSサーバ、キャッシュ、問合せ及びデータを守るセキュリティレイヤ
ホステッド・ネットワークサービス 100% 運用中 障害ゼロ
ユーザの振る舞い、ネットワークイベントやトラフィックに基づく動的改善
コンシューマ向けアプリケーション 過去に一度もセキュリティ不履行なし
Vantioの概要
140 以上のお客様のうち、わずか数社で世界のインターネットトラフィックの30%以上を使用
ノミナムは証明されたインフラにより新しいインターネットを構築
4
Nominum Confidential
インテリジェントDNSシステム すべての人のためにインターネットをより良くする
• あらゆる点での複雑な方法
– 弊社システムを監視
– 積極的に脅威のネットワーク所有者を警告
– ダイナミックに解決手段を改善
– ボット、マルウェアなど攻撃に抵抗
– 弊社ホステッドネットワークに弊社ソフトウェアスイートを統合
• インターネットに知らせて、変えていく
– ネットワーク防御
– ネットワーク補強
– ネットワークインテリジェンス
– ナビゲーション支援
– 脅威低減
どの方法も独自性
ソフトウェアストラクチャ 機能
DBアーキテクチャ アルゴリズム
Vantioの概要
5
Nominum Confidential
ノミナムが提供する主なサービス 単純なDNSではありません
• ソフトウェアシステム
- Vantio キャッシュネームサーバ
- Vantio + NXR, MDR および UAR
- ANS/ANSP 権威ネームサーバ
- Centris 脅威アグリゲーション/プロビジョニングサーバ
- 動的構成サーバ DHCP サーバ
• ホステッドネットワークサービス
- SKYE リゾリューションキャッシングDNS
- SKYE オーソリティ 権威DNS
- SKYE NPS 脅威検知および緩和
- iView 情報サービス
• コンシューマ向けアプリケーション
- NavAssist インターネットサービスリクエストリゾリューション
Vantioの概要
6
Nominum Confidential
Vantioの概要
VantioインテリジェントDNSシステム 普通のDNS サーバ以上の機能を持っています
NX
R
負荷分散リダイレクト
自動フォードバック
SLK/MLK リダイレクト
動的リダイレクト
動的排除
Geo Aware IPv4 IPv6
高速パス処理
レイヤード・キャッシング・セキュリティ
DNSSEC DNSAUTH
DNSキャッシュ
再帰検索解決 – クエリ処理アルゴリズム
可視化と 認識性
動的プライオリティ配置 検査 エンジン
UA
R 特定ビューポリシー
動的ビュー選択
高拡張ビュー
ホワイトリスト除外
MD
R
レポート
オンデマンドアップデート
秘匿性
動的プロビジョニング
カテゴリー化
モニタ ブロック
ホワイトリスト
独自データベース
Opt In Opt Out
7
Nominum Confidential
階層化キャッシングセキュリティ キャッシュポイズニングを防ぐ
レイヤ アクション インパクト
抑止
攻撃を以下の方法を使って阻止:
ランダムなトランザクションID (QID)
UDPソースポートランダム化 (USPR)
ケース (クエリー名) ランダム化 (0x20)
うまくいく攻撃の確立を低減する
防御 検知して防御する (D&D)
偽造している応答を検出し、TCPに切り替える
E.g. 0x20 失敗をTCPにスイッチ
攻撃の進み具合をかなり遅くする(100倍かそれ以上)
抵抗 “Glueを分離”
求められていない答えを捨てる 攻撃者がにせの記録を挿入する機会を排除する
治療 通知とレポート
0x20 と D&Dを含む全TCPトランザクション 攻撃者を隔離し、そして改善
策を取る
Vantioの概要
8
Nominum Confidential
DNSSECとは? DNSキャッシュサーバに対する攻撃をさらに防御する
キャッシュDNSサーバと権威サーバ間で “DNSデータをセキュアにする” 方法
DNSSEC
データの暗号化はしません
権威サーバデータの 信憑性を保証
なりすまし詐欺や キャッシュ汚染を防ぐ
Vantioの概要
9
Nominum Confidential
米コムキャストのDNSSEC導入事例
• 米国No.1のCATV事業者 – 2009年売上 3兆円、加入者1600万人のBBインターネット
• 世界で最も進んだDNSSECの導入
• 全米にDNSSEC対応のVantioサーバを全て導入 – Q1/2011までに5000管理ドメインをサイン予定
• 100% ノミナムのソリューション
“コムキャストはDNSソリューションベンダーと密接に働いており、簡単に使えるツールを確実に導入し、導入は煩わしくありませんでした。"
- ジェイソン・リビングッド氏(インターネットシステムエンジニアリング本部長)
Vantioの概要
10
Nominum Confidential
名前解決とクエリー処理機能
機能 メリット
権威サーバよりキャッシング機能を分離 セキュリティの脆弱性を制限して、コード効率を
高めます
クライアント側レート制限 DDOS攻撃を妨げます
再帰コンテクスト制限 DDOS攻撃を妨げます
最人気ドメインのプリフェッチ キャッシュヒット率を最適化します
往復時間(RTT)管理 低レイテンシー
最適化データ構造 (例. フラットハッシュテーブル) キャッシュ検索速度を大きく改良することに
よって性能を向上させます
Glue分離 セキュリティと権威サーバのリクエスト数を制限
同じ要求のクエリープール 権威サーバのリクエスト数を制限
メモリ管理 予測可能なメモリ使用法
サービス中の構成変更 リスタート不要
Vantioの概要
11
Nominum Confidential
可視化と認識性(ビジビリティとアウェアネス)
•以下のDNS属性ベースのイベントを作成 – 以下のいずれも含むか、除く:
•ブール演算式、論理式を適用
•持続時間、アラートの警戒水位の上下を設定
• SNMP経由のアラート、シスログ、コマンドチャネルイベント
client-address domain local-address query-class regex-name
client-network flags local-port query-id result-code
client-port ip-version name query-type view
事業者にとって重要なイベント情報を
積極的に警告する、あるいは報告します
Vantioの概要
12
Nominum Confidential
iViewによるデータの可視化 完全な情報サービス
凡例
特定のサービス頁へリンク
ユーザアクセス権設定
タブで仕切られたレポート
シンプルなグラフレポート
カスタマイズされたレポート
Vantioの概要
13
Nominum Confidential
悪意あるドメイン・リダイレクション (MDR) ネットワークおよび接続された端末を守る
• Vantioのポリシーソフトモジュールのオプション
– 悪意あるドメインへのアクセスを妨げる
– 悪意あるドメインをブロック、記録、レポートする
• 最適化ラーニングアルゴリズム
– NavAssistと直接的に動作
– フライレポートでボットを理解し、NPSに情報を返す
• 最新の脅威情報を定常的にアップデートする
– ネットワーク防御サービス(NPS)およびCentris経由
– アップデート後のキャッシュフラッシュ は必要ありません(プリロードとは違う)
• 他に勝るものがない拡張性
– Vantioサーバ当たり悪意あるドメインを数千万まで拡張可能
• ポリシーおよびインテリジェントレイヤと連携して動作
– VantioインテリジェントDNSシステムと直に統合
– 可視化および認識性機能により自動的にMDRをアップデート
Vantioの概要
MD
R
Reporting
On-Demand Updates
Confidentiality
Dynamic Provisioning
Categorization
Monitor Block
Whitelisting
14
Nominum Confidential
• Vantioのポリシーソフトモジュールのオプション – ブラウザ・アドレスバーのユーザ入力を翻訳
– ユーザを意図したWEBサイトに導く
• NavAssistと連動して動作 – 最適化ラーニングアルゴリズムを活用
– フィードバックループ(動的改善)経由で通信
•ポリシー、構成および排除ルール
– アプリケーションとユーザトラフィックを分散から守る
– 必要に応じてアジャスト
• ネットワーク所有者によるマニュアル操作
• NavAssistによる自動改善
存在しないドメイン・レゾリューション (NXR) リクエストを分析し、ユーザ正しいWEBサイトに導く
NX
R
Load Balanced
Redirect
Automatic Feedback
SLK/MLK Redirection
Dynamic Redirection
Dynamic Exclusion
Vantioの概要
15
Nominum Confidential
ナビ支援構造 エンドユーザが意図したサイトに到達させる
NavAssist Vantio DNS
System
NXR
インターネット
地域で創造されたインプット
その他第三者のインプット
広告ネット ワーク
新ルール
確認された 問い合わせ
ノミナムアルゴリズムはユーザの要求にマッチするベストな コンテンツにユーザが到達するように利用されています
動的改善 NavAssistからNXRへ最も効果的なリダイレクトをするようフィードバックループを作成します
最適化ラーニング 時間が経つにつれユーザ活動をより関連付けた結果に導くためにパターンを「学びます」
キーワード 技術
最も関連している検索用語にインターネットのサービス要求を関連づけます
リアルタイム フィルタリング
含むか含まないかはマシンで発生している活動を取り除くために決められます
NXD
SLK
MLK
Vantioの概要
16
Nominum Confidential
• Vantioのポリシーソフトウェアモジュールのオプション
– DNSリクエスト上のユーザ毎の制御を提供
– 例えば、緊急サービスのみをアクセス許可
• ユーザのDNS活動を制限
– 感染したユーザを検疫
– 請求書支払の延滞ユーザを警告
– DNS解決を初めて試みた新しいユーザを登録
どのユーザ (例. IPアドレス)がDNSクエリーを行っているかを
ベースにリダイレクト
ユーザアクセス・リダイレクション (UAR) ユーザを分離してポリシーを適用
UA
R
View-Specific Policy
Dynamic View
Selection
Scalable Views
Whitelist Exclusions
Vantioの概要
17
Nominum Confidential
サービスとサポート
•完全なライフサイクルに対するパートナーシップ – 初期の技術営業サポート
– プロダクト/ソリューションの導入と結合
– 進行中の技術上・運営上の支援
•全ての責任を全うする3つのグループ – フィールドテクニカルリソース
• お客様対応のシステムエンジニア
• サポート計画とお客様への引き渡し評価
– オペレーション
• 世界で最も大きなDNSインフラでの経験
• 並行しない稼働時間とサービスレベルを提供するミッション
– サポート
• あらゆる製品に関連した問題にも対処する第一線のサポート
• 24 時間x 365日 電話もしくはメールによる対応
Vantioの概要
お客様はノミナムに業界最高水準の製品とソリューションを求めて訪ねてきますが、弊社のリードするサービスとサポートによって永い間お客様で
いて頂いています
18
Nominum Confidential
通信事業者 QPS性能 稼働年数 DNS成長率 導入日程 ネットワークへのインパクト
障害数総計
北米 – 1 250K – 500K 4 80% 3日 0% 0
北米 – 2 240K 5 110% 6 週間 0% 0
欧州 – 1 180K – 200K 4 2年で2倍 13 POPを3か月
以下で 0% 0
欧州 – 2 180K 4 21% 上昇(卸売) 1 か月 0% 0
北米 – 3 16K – 18K 4 40%以上 9サイトを1週間 0% 0
北米 – 4 40K 4 2年で2倍 2 か月 0% 0
アジア – 1 18K 4 35%アップ 1 か月 0% 0
世界中のキャリアでの納入実績
世界で最も大きな ネットワーク
複数年に亘る保守 サポート活動
初期導入によって 成長を支援
過去に全く障害は なし
ネットワークへの 影響ゼロ
短期間での導入
優れた運用実績
Vantioの概要
19
Nominum Confidential
まとめ… •ノミナムは単なるDNSソフトの会社ではありません
– DNS製品は素晴らしいが、それ以上のことができます
– ネットワークのスピードアップと防御をお手伝いします
– イン・ネットワークとホステッド・ネットワーク・サービスを共に活用
• Vantioは業界最高水準の DNSキャッシュを提供します – 適切なポリシーソフトを実装した唯一のソリューション
– DNS活動を視覚化できる唯一のソリューション
– 高性能および低レイテンシーを実現
•ノミナムは全世界に導入実績 – 世界中のエンドユーザにリアルワールドサービスを提供
– 世界最高の知識をローカライズして確実に提供
Vantioの概要
ノミナムはインターネットをより賢く、高速に、安全に、世界中の一般ユーザ、 法人、政府、通信事業者にとって役に立つようにします
Nominum Confidential
Questions…
21
Nominum Confidential
2005 2006 2007 2010 2008 2009
DNSの発展
ノミナム BIND
イノベーション
DNSSEC
2011
CNS 単一の目的; 高速, 信頼性の解決策
NXD リダイレクト
Vantio ポリシーソフト モジュール (NXR,
MDR, UAR)
階層的防御策; DNSSEC
ネットワーク監視、状況・障害把握;
ホステッドサービス (NavAssist), DNSSEC
NPS (ボットネット低減); 帯域制限,
DNSSEC
iView オンデマンド
のネットワークインテリジェンス