ハイブリッド アーキテクチャによる DNS の回復力とパフォーマンスの強化
ドメイン ネーム システム (DNS) は、インターネットの電話帳と呼ばれることが多く、人間が理解しやすいコンピューターのホスト名を IP アドレスに変換します。 この重要な機能により、インターネット アプリケーションとデジタル サービスへのアクセスが保証され、オンライン接続に不可欠な基盤が形成されます。
DNS ベースの攻撃は近年急増しており、DNS サービスの可用性、安定性、脆弱性を悪用するように進化し続けています。 F5 Labsの2023年DDoS攻撃動向レポートによると、サイバー攻撃者はますます高度な手法を採用しており、DNSベースの攻撃は永続的な脅威となり、サイバー犯罪者に好まれる攻撃タイプとなっています。 たとえば、2021 年 4 月に発生した大規模な分散型サービス拒否 (DDoS) 攻撃により、Xbox Live、Office、SharePoint Online、Teams、OneDrive など、複数の Microsoft クラウド サービスが 2 時間にわたって停止しました。 2023 年 4 月に、一連の DNS 非存在ドメイン (NXDOMAIN) DDoS 攻撃が米国の医療 Web サイトを標的とし、圧倒しました。 この攻撃によりネットワークの輻輳が発生し、サーバーが有効なユーザー要求を処理できなくなり、ハイブリッド ネットワークにおける堅牢で冗長性のある DNS システムの必要性が浮き彫りになりました。
DNS の重要性とクラウド テクノロジーの急速な進化を考慮すると、組織はあらゆる角度から DNS の回復力に対処するために、最適な高可用性 DNS ソリューションを探す必要があります。
クラウドは素晴らしいですが、オンプレミスのコンパニオン ソリューションと組み合わせるとさらに良くなります
クラウドベースの DNS の停止は、冗長システムにもかかわらず、クラウド サービス、特に DNS の中断が発生することを示しています。 これらの中断は、ソフトウェアのバグ、構成ミス、人為的エラー、電源やネットワークの到達可能性の問題など、さまざまな要因によって発生する可能性があります。 システムが常に稼働し続けることを保証することは困難です。
DNS の停止が増加しているため、組織は、クラウド サービスが中断した場合でも、可用性とセキュリティの制御を維持しながら、クラウド サービスの俊敏性を活用する方法を模索しています。
DNS サービスに付随するグローバル サーバー ロード バランシング (GSLB) は、DNS プロトコル上に構築されたロード バランシング メカニズムであり、マルチデータ センターとマルチクラウドの回復力を実現します。 これは、サービス リソースの分析情報と DNS を活用して、ビジネス ポリシーとネットワーク ポリシーに基づいて、分散した地理的な場所間でトラフィックをインテリジェントに誘導することによって実現されます。 組織は、業務の継続的な稼働を確保するために、これらの緊密に結合されたコア DNS とインテリジェント DNS サービスの最適な耐障害性設計を積極的に模索しています。
F5 ベースのハイブリッド アーキテクチャで DNS の回復力とパフォーマンスを強化
F5 Distributed Cloud Services の SaaS ベースの DNS サービスを導入し、オンプレミスの F5 BIG-IP DNS ソリューションと連携させることで、組織はグローバルな規模、パフォーマンス、可用性に加え、強化された弾力性、俊敏性、DDoS 軽減を実現できます。 これらのソリューション(オンプレミスとクラウドベース)を組み合わせると、メリットが本当に増え始めます。 BIG-IP DNS を使用すると、ユーザーは自動化機能を活用して完全なセキュリティと可用性を確保できるほか、非表示のプライマリ DNS レコードやオンプレミス DNS サービスをアクティブ化する権限などの追加機能も利用できます。
このアーキテクチャにより、組織は通常の運用中に権威 DNS として F5 分散クラウド サービスを使用できます。 必要に応じてオンプレミスの DNS サービスに切り替えて、DNS インフラストラクチャに対する制御を維持できます。
F5 ハイブリッド DNS アーキテクチャでは、分散クラウド DNS は権威 DNS とセカンダリ DNS の両方として機能し、次のような SaaS ベースの容量と機能を活用します。
- セキュリティの層: 組み込みの保護機能により、DDoS 攻撃やドメイン応答の操作を防ぐ自動フェイルオーバーによる動的なセキュリティを実現します。
- 自動容量スケーリング: どこにでもアプリケーションを展開してサポートします。 この DNS ソリューションは、導入と管理を容易にするグローバル データ プレーン上に構築されており、大量の需要に合わせて自動的に拡張されます。
- 高可用性を維持: グローバル エニーキャスト ネットワーク上に構築されており、世界中の市場にわたるプレゼンス ポイントを介して、可用性と応答性に優れた DNS を提供します。
- 迅速な導入と配信: 1 セットの API を使用して、数分で構成およびプロビジョニングできます。
SaaS ベースの DNS サービスが利用できなくなる予期しない状況が発生した場合、組織はオンプレミスの BIG-IP DNS を自動的にアクティブ化して、DNS トラフィックが中断されないよう確保できます。 BIG-IP DNS は次のような強力な機能を提供します。
- 1億RPSのパフォーマンス: BIG-IP DNS は、DNS Express サービスと Rapid Response モードを使用して、権威 DNS を 1 秒あたり最大 1 億クエリ応答 (RPS) までハイパースケール化し、ユーザーが最適なサイトに接続できるようにします。 F5 DNS Express サービスは、DNS 応答をオフロードし、数十万から 5,000 万以上の RPS に拡張することで、標準の DNS 機能を改善します。
- DNS ファイアウォール/DDoS: BIG-IP Advanced Firewall Manager (AFM) と組み合わせて、UDP フラッドや増幅型 DDoS 攻撃などのボリューム型 DDoS 攻撃から DNS を保護するなど、広範なセキュリティを提供できます。
- DNSSEC: リアルタイム ドメイン ネーム システム セキュリティ拡張 (DNSSEC) を使用して、ローカル ドメイン ネーム サーバーをキャッシュ ポイズニングや中間者攻撃から保護します。
- キャッシュ統合: レイテンシと応答時間を最大 80% 削減します。
- 可用性を保証するフェイルオーバー: データセンター全体または個々のアプリケーションとサーバーをフェイルオーバーして、ユーザーが必要なアプリケーションに中断なくアクセスできるようにします。
このアーキテクチャは、クラウドのメリットを活用しながらデジタル ビジネスをオンライン状態に保つための継続的な DNS サービスのニーズに対応します。 これにより、クラウド サービスがオフラインになった場合でも、組織が制御を維持し、取り残されることを回避できます。
DNS の旅の次のステップへ進みましょう
F5 ソリューション エンジニアの Michelangelo Dorado が開発したサンプル構成を調べて、F5 ハイブリッド DNS アーキテクチャの概念と設計について詳しく学びます。
このステップバイステップ ガイドでは、環境に DNS の回復力を設計するためのベースライン構成の概要を説明します。 構成ガイドには以下が含まれます。
- プライマリ隠しDNSと権威セカンダリDNSの設定
- DNSSEC設定
- アクティブなヘルスモニタリングによる DNS 回復力の設定
- APIファーストの自動化により、分散クラウドDNSとBIG-IP DNSの設定と統合が簡単
F5 Distributed Cloud DNS がマルチクラウドと最新アプリケーション間で DNS 配信を簡素化する方法をご覧ください: https://www.f5.com/products/distributed-cloud-services/dns