vantio caching dns solution

Nominum Confidential

VantioインテリジェントDNSシステムソリューション概要 2011年3月

米ノミナム社

Doug Miller +1 650-381-6182 [email protected]

2


我々のミッション

ノミナム社はインターネットを

より賢く、より速く、より安全に

世界中のブロードバンドおよび

モバイルユーザにもっとお役に

立てるよう努力いたします。

Vantioの概要

3


ノミナム社について DNSを通じインターネットをより良いものにする

ノミナム製品がより優れている理由

技術ソリューションの多様性運用実績

DNS要求と返答を評価、ガイドするポリシーレイヤ

ビジネスニーズをアドレスする多様なソリューション

広いネットワークカバレッジ – 全世界で５億以上のユーザが利用

リアルタイムでネットワーク、イベントを知るインテリジェントレイヤ

イン・ネット、オフ・ネット、または両者でのソリューション提供

業界最高水準のパフォーマンス

DNSサーバ、キャッシュ、問合せ及びデータを守るセキュリティレイヤ

ホステッド・ネットワークサービス 100% 運用中障害ゼロ

ユーザの振る舞い、ネットワークイベントやトラフィックに基づく動的改善

コンシューマ向けアプリケーション過去に一度もセキュリティ不履行なし

Vantioの概要

140 以上のお客様のうち、わずか数社で世界のインターネットトラフィックの30%以上を使用

ノミナムは証明されたインフラにより新しいインターネットを構築

4


インテリジェントDNSシステムすべての人のためにインターネットをより良くする

• あらゆる点での複雑な方法

– 弊社システムを監視

– 積極的に脅威のネットワーク所有者を警告

– ダイナミックに解決手段を改善

– ボット、マルウェアなど攻撃に抵抗

– 弊社ホステッドネットワークに弊社ソフトウェアスイートを統合

• インターネットに知らせて、変えていく

– ネットワーク防御

– ネットワーク補強

– ネットワークインテリジェンス

– ナビゲーション支援

– 脅威低減

どの方法も独自性

ソフトウェアストラクチャ機能

DBアーキテクチャアルゴリズム

Vantioの概要

5


ノミナムが提供する主なサービス単純なDNSではありません

• ソフトウェアシステム

- Vantio キャッシュネームサーバ

- Vantio + NXR, MDR および UAR

- ANS/ANSP 権威ネームサーバ

- Centris 脅威アグリゲーション/プロビジョニングサーバ

- 動的構成サーバ DHCP サーバ

• ホステッドネットワークサービス

- SKYE リゾリューションキャッシングDNS

- SKYE オーソリティ権威DNS

- SKYE NPS 脅威検知および緩和

- iView 情報サービス

• コンシューマ向けアプリケーション

- NavAssist インターネットサービスリクエストリゾリューション

Vantioの概要

6


Vantioの概要

VantioインテリジェントDNSシステム普通のDNS サーバ以上の機能を持っています

NX

R

負荷分散リダイレクト

自動フォードバック

SLK/MLK リダイレクト

動的リダイレクト

動的排除

Geo Aware IPv4 IPv6

高速パス処理

レイヤード・キャッシング・セキュリティ

DNSSEC DNSAUTH

DNSキャッシュ

再帰検索解決 – クエリ処理アルゴリズム

可視化と認識性

動的プライオリティ配置検査エンジン

UA

R 特定ビューポリシー

動的ビュー選択

高拡張ビュー

ホワイトリスト除外

MD

R

レポート

オンデマンドアップデート

秘匿性

動的プロビジョニング

カテゴリー化

モニタブロック

ホワイトリスト

独自データベース

Opt In Opt Out

7


階層化キャッシングセキュリティキャッシュポイズニングを防ぐ

レイヤアクションインパクト

抑止

攻撃を以下の方法を使って阻止:

ランダムなトランザクションID (QID)

UDPソースポートランダム化 (USPR)

ケース (クエリー名) ランダム化 (0x20)

うまくいく攻撃の確立を低減する

防御検知して防御する (D&D)

偽造している応答を検出し、TCPに切り替える

E.g. 0x20 失敗をTCPにスイッチ

攻撃の進み具合をかなり遅くする(100倍かそれ以上)

抵抗 “Glueを分離”

求められていない答えを捨てる攻撃者がにせの記録を挿入する機会を排除する

治療通知とレポート

0x20 と D&Dを含む全TCPトランザクション攻撃者を隔離し、そして改善

策を取る

Vantioの概要

8


DNSSECとは? DNSキャッシュサーバに対する攻撃をさらに防御する

キャッシュDNSサーバと権威サーバ間で “DNSデータをセキュアにする” 方法

DNSSEC

データの暗号化はしません

権威サーバデータの信憑性を保証

なりすまし詐欺やキャッシュ汚染を防ぐ

Vantioの概要

9


米コムキャストのDNSSEC導入事例

• 米国No.1のCATV事業者 – 2009年売上 3兆円、加入者1600万人のBBインターネット

• 世界で最も進んだDNSSECの導入

• 全米にDNSSEC対応のVantioサーバを全て導入 – Q1/2011までに5000管理ドメインをサイン予定

• 100% ノミナムのソリューション

“コムキャストはDNSソリューションベンダーと密接に働いており、簡単に使えるツールを確実に導入し、導入は煩わしくありませんでした。"

- ジェイソン・リビングッド氏(インターネットシステムエンジニアリング本部長)

Vantioの概要

10


名前解決とクエリー処理機能

機能メリット

権威サーバよりキャッシング機能を分離セキュリティの脆弱性を制限して、コード効率を

高めます

クライアント側レート制限 DDOS攻撃を妨げます

再帰コンテクスト制限 DDOS攻撃を妨げます

最人気ドメインのプリフェッチキャッシュヒット率を最適化します

往復時間(RTT)管理低レイテンシー

最適化データ構造 (例. フラットハッシュテーブル) キャッシュ検索速度を大きく改良することに

よって性能を向上させます

Glue分離セキュリティと権威サーバのリクエスト数を制限

同じ要求のクエリープール権威サーバのリクエスト数を制限

メモリ管理予測可能なメモリ使用法

サービス中の構成変更リスタート不要

Vantioの概要

11


可視化と認識性（ビジビリティとアウェアネス）

•以下のDNS属性ベースのイベントを作成 – 以下のいずれも含むか、除く:

•ブール演算式、論理式を適用

•持続時間、アラートの警戒水位の上下を設定

• SNMP経由のアラート、シスログ、コマンドチャネルイベント

client-address domain local-address query-class regex-name

client-network flags local-port query-id result-code

client-port ip-version name query-type view

事業者にとって重要なイベント情報を

積極的に警告する、あるいは報告します

Vantioの概要

12


iViewによるデータの可視化完全な情報サービス

凡例

特定のサービス頁へリンク

ユーザアクセス権設定

タブで仕切られたレポート

シンプルなグラフレポート

カスタマイズされたレポート

Vantioの概要

13


悪意あるドメイン・リダイレクション (MDR) ネットワークおよび接続された端末を守る

• Vantioのポリシーソフトモジュールのオプション

– 悪意あるドメインへのアクセスを妨げる

– 悪意あるドメインをブロック、記録、レポートする

• 最適化ラーニングアルゴリズム

– NavAssistと直接的に動作

– フライレポートでボットを理解し、NPSに情報を返す

• 最新の脅威情報を定常的にアップデートする

– ネットワーク防御サービス(NPS)およびCentris経由

– アップデート後のキャッシュフラッシュは必要ありません（プリロードとは違う）

• 他に勝るものがない拡張性

– Vantioサーバ当たり悪意あるドメインを数千万まで拡張可能

• ポリシーおよびインテリジェントレイヤと連携して動作

– VantioインテリジェントDNSシステムと直に統合

– 可視化および認識性機能により自動的にMDRをアップデート

Vantioの概要

MD

R

Reporting

On-Demand Updates

Confidentiality

Dynamic Provisioning

Categorization

Monitor Block

Whitelisting

14


• Vantioのポリシーソフトモジュールのオプション – ブラウザ・アドレスバーのユーザ入力を翻訳

– ユーザを意図したWEBサイトに導く

• NavAssistと連動して動作 – 最適化ラーニングアルゴリズムを活用

– フィードバックループ（動的改善）経由で通信

•ポリシー、構成および排除ルール

– アプリケーションとユーザトラフィックを分散から守る

– 必要に応じてアジャスト

• ネットワーク所有者によるマニュアル操作

• NavAssistによる自動改善

存在しないドメイン・レゾリューション (NXR) リクエストを分析し、ユーザ正しいWEBサイトに導く

NX

R

Load Balanced

Redirect

Automatic Feedback

SLK/MLK Redirection

Dynamic Redirection

Dynamic Exclusion

Vantioの概要

15


ナビ支援構造エンドユーザが意図したサイトに到達させる

NavAssist Vantio DNS

System

NXR

インターネット

地域で創造されたインプット

その他第三者のインプット

広告ネットワーク

新ルール

確認された問い合わせ

ノミナムアルゴリズムはユーザの要求にマッチするベストなコンテンツにユーザが到達するように利用されています

動的改善 NavAssistからNXRへ最も効果的なリダイレクトをするようフィードバックループを作成します

最適化ラーニング時間が経つにつれユーザ活動をより関連付けた結果に導くためにパターンを「学びます」

キーワード技術

最も関連している検索用語にインターネットのサービス要求を関連づけます

リアルタイムフィルタリング

含むか含まないかはマシンで発生している活動を取り除くために決められます

NXD

SLK

MLK

Vantioの概要

16


• Vantioのポリシーソフトウェアモジュールのオプション

– DNSリクエスト上のユーザ毎の制御を提供

– 例えば、緊急サービスのみをアクセス許可

• ユーザのDNS活動を制限

– 感染したユーザを検疫

– 請求書支払の延滞ユーザを警告

– DNS解決を初めて試みた新しいユーザを登録

どのユーザ (例. IPアドレス)がDNSクエリーを行っているかを

ベースにリダイレクト

ユーザアクセス・リダイレクション (UAR) ユーザを分離してポリシーを適用

UA

R

View-Specific Policy

Dynamic View

Selection

Scalable Views

Whitelist Exclusions

Vantioの概要

17


サービスとサポート

•完全なライフサイクルに対するパートナーシップ – 初期の技術営業サポート

– プロダクト/ソリューションの導入と結合

– 進行中の技術上・運営上の支援

•全ての責任を全うする３つのグループ – フィールドテクニカルリソース

• お客様対応のシステムエンジニア

• サポート計画とお客様への引き渡し評価

– オペレーション

• 世界で最も大きなDNSインフラでの経験

• 並行しない稼働時間とサービスレベルを提供するミッション

– サポート

• あらゆる製品に関連した問題にも対処する第一線のサポート

• 24 時間x 365日電話もしくはメールによる対応

Vantioの概要

お客様はノミナムに業界最高水準の製品とソリューションを求めて訪ねてきますが、弊社のリードするサービスとサポートによって永い間お客様で

いて頂いています

18


通信事業者 QPS性能稼働年数 DNS成長率導入日程ネットワークへのインパクト

障害数総計

北米 – 1 250K – 500K 4 80% 3日 0% 0

北米 – 2 240K 5 110% 6 週間 0% 0

欧州 – 1 180K – 200K 4 ２年で２倍 13 POPを3か月

以下で 0% 0

欧州 – 2 180K 4 21% 上昇(卸売) 1 か月 0% 0

北米 – 3 16K – 18K 4 40%以上 9サイトを1週間 0% 0

北米 – 4 40K 4 ２年で２倍 2 か月 0% 0

アジア – 1 18K 4 35%アップ 1 か月 0% 0

世界中のキャリアでの納入実績

世界で最も大きなネットワーク

複数年に亘る保守サポート活動

初期導入によって成長を支援

過去に全く障害はなし

ネットワークへの影響ゼロ

短期間での導入

優れた運用実績

Vantioの概要

19


まとめ… •ノミナムは単なるDNSソフトの会社ではありません

– DNS製品は素晴らしいが、それ以上のことができます

– ネットワークのスピードアップと防御をお手伝いします

– イン・ネットワークとホステッド・ネットワーク・サービスを共に活用

• Vantioは業界最高水準の DNSキャッシュを提供します – 適切なポリシーソフトを実装した唯一のソリューション

– DNS活動を視覚化できる唯一のソリューション

– 高性能および低レイテンシーを実現

•ノミナムは全世界に導入実績 – 世界中のエンドユーザにリアルワールドサービスを提供

– 世界最高の知識をローカライズして確実に提供

Vantioの概要

ノミナムはインターネットをより賢く、高速に、安全に、世界中の一般ユーザ、法人、政府、通信事業者にとって役に立つようにします


Questions…

21


2005 2006 2007 2010 2008 2009

DNSの発展

ノミナム BIND

イノベーション

DNSSEC

2011

CNS 単一の目的; 高速, 信頼性の解決策

NXD リダイレクト

Vantio ポリシーソフトモジュール (NXR,

MDR, UAR)

階層的防御策; DNSSEC

ネットワーク監視、状況・障害把握;

ホステッドサービス (NavAssist), DNSSEC

NPS (ボットネット低減); 帯域制限,

DNSSEC

iView オンデマンド

のネットワークインテリジェンス

vantio caching dns solution

Documents