F5 インテリジェント DNS スケールリファレンスアーキテクチャ

導入

ドメインネームシステム (DNS) は、インターネットに接続されているすべてのコンピューター、サービス、リソースを、記憶不可能なバイナリ情報の文字列であるインターネットプロトコル (IP) アドレスではなく、名前で簡単に識別できるようにするために 1983 年に作成されました。

DNS サーバーは、ブラウザに入力したドメイン名を IP アドレスに変換し、デバイスがインターネット上で探しているサービスやサイトを見つけられるようにします。

DNS は、インターネットを実現する主要なテクノロジーであると同時に、ネットワークインフラストラクチャにおける最も重要なコンポーネントの 1 つでもあります。 DNS は、コンテンツやアプリケーションの配信に加えて、分散型で冗長性のあるアーキテクチャも管理して、高可用性とユーザー応答時間の高速化を実現します。そのため、可用性が高く、インテリジェントで、安全かつスケーラブルな DNS インフラストラクチャを備えることが重要です。 DNS がダウンすると、ほとんどの Web アプリケーションが正常に動作しなくなり、ビジネスやブランドに影響を及ぼします。

F5 のエンドツーエンドのインテリジェント DNS スケールリファレンスアーキテクチャにより、組織はリソースを最大限に活用し、サービス管理を向上させる強力な DNS 基盤を構築できると同時に、既存および将来のネットワークアーキテクチャ、デバイス、アプリケーションの両方をサポートできる俊敏性を維持できます。

DNS サービスは可用性にとって重要です

ユーザーが Web ページを要求すると、その要求はローカル DNS サーバーに渡され、ローカル DNS サーバーはメイン DNS サーバーと通信します。トラフィックの急増や、攻撃者が DNS クエリ要求でサーバーを溢れさせるまで、すべては正常に動作します。メイン DNS サーバーが過負荷になると応答が停止し、Web サイトが利用できなくなる可能性があります。

DNS 障害は Web インフラストラクチャのダウンタイムの 41% を占めるため、DNS を利用可能な状態に保つことが重要です。 Aberdeen Group の調査によると、データセンターがダウンすると、組織は 1 時間ごとに平均 138,000 ドルの損失を被ります。ダウンタイムは顧客に悪影響を及ぼし、収益の損失につながる可能性があり、電子メールなどの企業リソースにアクセスしようとする従業員にも影響を与える可能性があります。

そのため、強力な DNS 基盤の重要性はいくら強調してもし過ぎることはありません。これがないと、顧客は必要なときにコンテンツやアプリケーションにアクセスできない可能性があります。また、顧客が望むものを入手できない場合、他の場所に行ってしまう可能性が高くなります。

成長痛

DNS 要件が急速に増加している理由はたくさんあります。過去 5 年間で、インターネットユーザー数は 82% 増加し、Web サイトの数は約 5 億 8,000 万から 12 億 4,000 万に増加し、DNS クエリの数は 100% 以上増加しました。

さらに、使用されているモバイル接続の数は 22 億増加し、Web ユーザーの約 60% が、Web サイトがモバイルフォンで 3 秒以内に読み込まれることを期待していると回答しています。

組織では、アプリケーションだけでなく、それらのアプリケーションにアクセスするトラフィック量も急速に増加しています。さらに、Web アプリケーション自体も成長し、ますます複雑になっています。 Web ページ上のすべてのアイコン、URL、埋め込みコンテンツには DNS ルックアップが必要です。複雑なサイトを読み込むには何百もの DNS クエリが必要になる場合があり、単純なスマートフォンアプリでも読み込むだけで多数の DNS クエリが必要になることがあります。

過去 5 年間で、.com および .net アドレスの DNS クエリの量は 2 倍以上に増加し、2016 年第 1 四半期には 1 日あたりの平均クエリ負荷が 1,240 億に達しました。同じ期間に、1,000 万を超えるドメイン名がインターネットに追加されました。今後は、クラウド実装の導入が進むにつれて、さらに速いペースで成長していくことが予想されます。

セキュリティ問題

DNS はインターネットのバックボーンであり、すべてのクエリに応答し、すべての番号を解決してお気に入りのサイトを見つけられるようにしますが、ネットワーク内で最も脆弱なポイントの 1 つでもあります。 DNS は重要な役割を果たしているため、攻撃者にとって価値の高いターゲットとなります。 DNS DDoS 攻撃により、DNS サーバーが障害状態に陥ったり、要求が乗っ取られて悪意のあるサーバーにリダイレクトされたりする可能性があります。これを防ぐには、分散型の高性能で安全な DNS アーキテクチャと DNS オフロード機能をネットワークに統合する必要があります。

一般的に、組織には DNS サーバーのセットがあり、各サーバーは 1 秒あたり最大 150,000 件の DNS クエリを処理できます。高性能 DNS サーバーは、1 秒あたり約 200,000 件のクエリを処理できます。 Dyn、The New York Times、LinkedIn、Network Solutions、Twitter に影響を及ぼした DNS 障害の例からもわかるように、悪意のある者は簡単にこれらのレートを超えることができます。

DNS サージや DNS DDoS 攻撃に対処するために、企業は通常の業務運営で実際に必要のない DNS サーバーを追加します。このコストのかかるソリューションでは、変更の際に手動による介入が必要になることもよくあります。さらに、従来の DNS サーバーでは、主に新しい脆弱性に対応するために、頻繁なメンテナンスとパッチ適用が必要です。

従来のソリューション

DNS ソリューションを探す場合、多くの組織はインターネットのオリジナルの DNS リゾルバである BIND (Berkeley Internet Naming Daemon) を選択します。世界中の DNS サーバーの約 80% にインストールされている BIND は、Internet Systems Consortium (ISC) によって管理されているオープンソースプロジェクトです。 ISC は、DNS-CO と呼ばれる営利コンサルティング部門を持つ非営利団体であり、4 つの異なるレベルのサブスクリプションとサポートサービスを提供しています。

BIND は人気があるにもかかわらず、主に脆弱性、パッチ、アップグレードのために、年に複数回、大規模なメンテナンスが必要になります。無料でダウンロードできますが、サーバー（サポート契約などの追加費用）とオペレーティングシステムが必要です。さらに、BIND は通常、1 秒あたり 50,000 応答 (RPS) にしか拡張できないため、正当な DNS サージと悪意のある DNS サージの両方に対して脆弱になります。

変化する環境に対するソリューション

F5 インテリジェント DNS スケールリファレンスアーキテクチャは、DNS クエリに応答して拡張するためのよりスマートな方法を提供し、さまざまなネットワークの状態と状況を考慮して、ビジネスポリシー、データセンターの状態、ネットワークの状態、およびアプリケーションのパフォーマンスに基づいて、ユーザーアプリケーション要求とアプリケーションサービスを分散します。

DNS の停止を心配したり、急増に対処するために追加の DNS インフラストラクチャを購入したりする代わりに、ネットワークの DMZ に F5 BIG-IP デバイスをインストールし、メイン DNS サーバーに代わって要求を処理させることができます。

従来の DNS の考え方と F5 ソリューション (DNS 配信の再考) のグラフィック表現

オンデマンドで拡張

BIG-IP DNS は 1 億 RPS までハイパースケール化されているため、DNS 要求 (悪意のあるものを含む) が大量に発生しても、コンテンツが中断したり、重要なアプリケーションの可用性に影響したりすることはありません。ネットワーク管理者は、サイトがすべての DNS クエリに応答し、攻撃中でも利用可能な状態を維持することを知っているので、安心できます。あなたのブランドは保護され、あなたの会社は恥ずかしい一面記事を回避できます。

BIG-IP DNS で可用性を向上

F5 Intelligent DNS Scale リファレンスアーキテクチャは、アプリケーションとコンテンツをユーザーが継続的に利用できるようにするのに役立ちます。このアーキテクチャの最も重要な部分の 1 つは、BIG-IP DNS で特別に設計された DNS Express クエリ応答機能です。この機能は、プライマリ DNS サーバーから独自の RAM にゾーンを転送することで、権威 DNS クエリを管理します。

BIG-IP DNS は、DNS Express に転送されたゾーン内のアドレスに対する要求であれば、DNS クエリパケットを 1 回だけ開くだけで済みます。これにより、プロセスが簡素化され、DNS アーキテクチャのパフォーマンスと応答時間が大幅に向上します。

DNS Express を使用すると、各 BIG-IP デバイスの個々のコアは、1 秒あたり約 125,000 ～ 200,000 件のリクエストに応答でき、最大 5,000 万件以上のクエリ RPS まで拡張できます。これは、一般的なプライマリ DNS サーバーの容量の 12 倍以上です。

BIG-IP プラットフォーム: DMZ 内のファイアウォール

各 BIG-IP デバイスは、ネットワークファイアウォールとして ICSA Labs 認定を受けています。 BIG-IP デバイスは、インターネットホストの評判をインテリジェントに評価することで、攻撃者が DNS DDoS 攻撃で DNS をオフラインにしたり、データを盗んだり、企業リソースを危険にさらしたり、その他の方法でビジネスを妨害したりするのを防ぐことができます。

さらに、DNSSEC は、クラウド展開を含む DNS インフラストラクチャをキャッシュポイズニング攻撃やドメインハイジャックから保護します。 DNSSEC サポートにより、DNS クエリにデジタル署名して暗号化された応答をサポートできるため、リゾルバは応答の信頼性を判断し、DNS ハイジャックやキャッシュポイズニングを防ぐことができます。 F5 IP インテリジェンスサービスは、マルウェアに感染している、マルウェア配布ポイントと接触している、または評判が悪いことがわかっている IP アドレスへのアクセスを拒否することで、全体的なセキュリティを強化します。

ネットワークのエッジにおける DNS サービス

F5 Intelligent DNS Scale リファレンスアーキテクチャは、重要なインフラストラクチャの奥深くからではなく、ネットワークのエッジから DNS クエリに応答することで、コンテンツとアプリケーションの可用性を維持するのにも役立ちます。 DNS 応答を BIG-IP プラットフォームにオフロードすると、要求がネットワークのバックエンドに到達しないため、DNS インフラストラクチャを保護するとともに、DNS の急増に対応して拡張する能力が大幅に向上します。

F5 Intelligent DNS Scale リファレンスアーキテクチャは、DNS インフラストラクチャの速度、可用性、拡張性、セキュリティを向上させることで、顧客や従業員が重要な Web、アプリケーション、データベースサービスにいつでもアクセスできるようにします。

分散 DNS

これは、DNS が分散されているクラウド展開やインフラストラクチャにも適用されます。組織は、ほぼあらゆる環境で高性能 DNS インフラストラクチャを複製できます。災害復旧/事業継続のためのクラウド DNS や、署名された DNSSEC ゾーンを備えたクラウド DNS サービスがある場合もあります。 F5 DNS サービスの拡張 AXFR サポートにより、BIG-IP デバイスから任意の DNS サービスへのゾーン転送が可能になり、組織は物理、仮想、クラウド環境で DNS を複製できるようになります。 DNS レプリケーションサービスは、ユーザーに最も近いデータセンターやクラウド内の他の BIG-IP デバイスや他の一般的な DNS サーバーに送信できます。

さらに、組織はユーザーを最高のエクスペリエンスを提供するサイトに誘導することができます。 BIG-IP DNS サービスは、特定のアプリとユーザーごとにさまざまな負荷分散方法とインテリジェントな監視を使用します。トラフィックは、ビジネスポリシー、現在のネットワークおよびユーザーの状況に応じてルーティングされます。 BIG-IP DNS サービスには、正確で詳細な地理位置情報データベースが含まれており、ユーザーの位置に基づいてトラフィックの分散を制御できます。

BIG-IP DNS および DNS サービス

BIG-IP DNS は、サービス配信およびアクセスネットワークのエッジでネームサービスを提供するグローバル DNS ソリューションです。地理的位置情報サービスを使用することで、ユーザーの物理的な位置に基づいて、最適なサービス提供データセンターにユーザーを誘導できます。

BIG-IP DNS は次の名前サービスを提供します。

すべての内部および外部サービスのためのネットワークエッジでの DNS サービス。
モバイルユーザーの位置に基づいて、アプリケーションまたはサービスの配信精度を正確に特定する地理位置情報サービス。
IP インテリジェンスサービスは、悪意のあるアクティビティに関連する IP アドレスからのアクセスを検出して停止することでインフラストラクチャを保護します。
すべてのグローバルおよびローカルネームサービスの管理のための単一の制御ポイント。
グローバルアプリケーション配信、ポリシー適用、NAT64 および DNS64 変換、ヘルスモニター、F5 スクリプト言語、iRules などの追加の BIG-IP インテリジェントサービスソリューション。
グローバルDNSサービスのサポート
きめ細かい DNS 決定とネームサービスの配信のための DNS iRules との統合。
SIP トランザクションの ENUM 要求などのサービスプロバイダー固有のプロトコルのサポート。

BIG-IP LTM および DNS サービス

データセンター内では、BIG-IP Local Traffic Manager (LTM) により、モバイルエッジからサービスに至るまでフォールトトレラントなアーキテクチャを構築し、アプリケーションとコンテンツの高可用性を確保できます。 BIG-IP LTM は、高可用性の提供に加えて、SIP トランザクションの ENUM 要求の負荷分散などのサービスプロバイダー固有のアプリケーションもサポートします。

ネーミングサービス用の BIG-IP LTM ソリューションには次のものが含まれます。

BIG-IP DNS との統合により、豊富なネーミングサービスをローカルデータセンターおよびサービスネットワークに拡張します。
ローカル DNS と再帰 DNS の両方の負荷分散をサポートします。
SIP トランザクションの ENUM 要求などのサービスプロバイダー固有のプロトコルのサポート。
ユーザーをサービスに送信する前にサービスの健全性を評価する透過的なヘルスモニター。 BIG-IP LTM は、ヘルス情報を BIG-IP DNS にリレーして、SDN のエッジにアプリケーション認識をもたらします。
きめ細かい DNS 決定とネームサービスの配信のための iRules との統合。

完全なサービス配信インフラストラクチャの導入

F5 Intelligent DNS Scale リファレンスアーキテクチャは、高可用性と大容量アプリケーションに合わせて調整しながら、同時に毎秒数百万件のユーザーリクエストをサポートします。これらは、iRules スクリプト言語、透過的アプリケーション監視、その他の IP 関連サービスなどの他の BIG-IP サービス配信機能と連携して、完全なサービス配信インフラストラクチャである F5 サービス配信ネットワークを作成します。すべての BIG-IP デバイスに共通するインテリジェントなサービス配信プラットフォームを活用することで、シームレスな拡張性と柔軟性が実現されます。

結論

F5 Intelligent DNS Scale リファレンスアーキテクチャを使用することで、組織は次のことが可能になります。

DNS インフラストラクチャの速度、可用性、スケーラビリティ、セキュリティを向上させます。
不要な追加 DNS サーバーを排除することで複雑さとコストを削減します。
サイトがすべての DNS 要求に応答することがわかっていれば、安心できます。

F5 Intelligent DNS Scale リファレンスアーキテクチャは、DNS レイテンシを削減して Web パフォーマンスを向上させ、DNS DDoS 攻撃を軽減して Web プロパティとブランドの評判を保護し、DNS インフラストラクチャを統合してデータセンターのコストを削減する、エンドツーエンドの DNS 配信ソリューションです。最も重要なことは、最適なアプリケーションとサービスの提供のために、最高のパフォーマンスを発揮するコンポーネントを顧客に提供することです。

F5 Intelligent DNS Scale リファレンスアーキテクチャでは、Web アプリケーションがすべての DNS クエリに応答するという安心感も得られ、ユーザーはいつでもどこでもコンテンツやアプリケーションにアクセスできます。

2018年1月24日公開