DNS サーバーに対する脅威とは、DNS サービスの可用性、速度、パフォーマンスを低下させるようなあらゆる種類の攻撃です。この中には、DNS サーバーをリソースの要求で過負荷にし、正規の要求を処理できない状態にする DNS フラッドが含まれます。DNS スプーフィングあるいはキャッシュポイズニングは、トラフィックを不正な Web サイトにリダイレクトするサイバー攻撃の一種です。DNS トンネリングは、DNS クエリーと応答にエンコードしたデータを使用して DNS サーバーをハイジャックし、攻撃者がリモートで管理できるようにします。
DNS サーバーに必要な可用性とセキュリティの確保
ドメイン名システム(DNS)サーバーは、例えば www.companywebsite.com のような人間が使用する可読性のあるドメインホスト名を、マシンが読み取ることができる IP アドレスに変換します。DNS サーバーは、良好なブラウジング体験や、クラウドでホストされている Web サイト、API、エンタープライズ・アプリケーション・ソフトウェアへの高速で信頼のおけるインターネット接続を確保するために不可欠です。
DNS サーバーの保護は、IT セキュリティチームのビジネス上、非常に重要な優先事項です。DNS を使用することで Web アプリケーションや API へのアクセスが可能になるため、DNS サーバーに対する脅威は、ビジネス運用、収益性、顧客やパートナーとの信頼にとっても脅威となります。
Web サイトやアプリケーションのパフォーマンスに対して DNS 解決が重要であるにもかかわらず、多くの組織では適切な DNS インフラに投資しておらず、ユーザーが求める Web サイトやアプリケーションへの接続を 2~3 台の DNS サーバーに頼っている場合がほとんどです。このアプローチでは、DNS サービスは分散型サービス妨害(DDoS)攻撃やデータセンターの停止に対して脆弱になります。
Akamai の Edge DNS はクラウドベースの DNS ソリューションであり、24 時間/365 日の可用性を実現し、DNS の応答性を高め、最大規模の DDoS 攻撃を防御できる耐障害性も備えています。
Akamai Edge DNS
Akamai が当初 Edge DNS を開発したのは、Akamai のグローバルコンテンツ・デリバリー・ネットワーク(CDN)上のソリューションをサポートする権威 DNS サービスを提供するためでした。Akamai の大規模な分散型エッジおよび クラウドプラットフォームの使用により、Edge DNS のアーキテクチャは、今日の市場で対抗する権威 DNS サービスの中でも最大規模に拡張可能となっています。他の DNS サーバーとソリューションは通常、パフォーマンスのみに焦点を当てていますが、Edge DNS は、優れたパフォーマンスに加えて、高可用性と攻撃に対する耐障害性も保証するように設計されています。
Edge DNS は、DNS クエリーに応答するために IP エニーキャストモデルを使用します。つまり、Akamai のお客様は、2 台や 3 台といった DNS サーバーのみに依存するのではなく、世界中の 4,100 の拠点で導入されている数千台のネームサーバーにアクセスできるのです。IP エニーキャストは、エンドユーザーからのクエリーを最も近い接続点に送信して解決するため、性能の高速化、拡張性、幅広い展開が実現されます。IP エニーキャストを活用しているのは Akamai だけではありませんが、Akamai ではネームサーバーと接続点を複数の IP エニーキャストクラウドにセグメント化しているため、Edge DNS は可用性、規模、展開の点で複数のスタンドアロン DNS プロバイダーと同等になります。
Akamai Edge DNS サーバーを使用すると、次のことが可能になります。
- 信頼できる保証付きノンストップ DNS の可用性。 アップタイム 100% の SLA と耐障害性に優れたアーキテクチャによりミッションクリティカルな DNS サービスを実現します。
- DNS コストの管理。予測可能なゾーンベースの課金機能により、DNS の使用率が高くても想定外の課金が発生しません。
- セカンダリー DNS サーバーによるアクセス確保。 Edge DNS でインターネットに面したセカンダリゾーンを使用することで、プライマリー DNS サーバーの可用性を強化できます。
Edge DNS は、さまざまなマルチベクトル攻撃から組織を防御するためのアプリケーションと API セキュリティのソリューションの一部です。Akamai App & API Protector は、Web アプリケーション攻撃や API 攻撃に対する防御機能を備えたワンストップのアプリセキュリティを提供します。Prolexic は、大規模な DDoS 攻撃を阻止するための最も効果的な防御を提供します。Client-side Protection & Compliance は、悪性のアクティビティを検知してブロックすることで、クライアント側の脅威からサイトを保護します。
ドメインの監視と閉鎖
ドメインの DNS 冗長性に加えて、ドメインセキュリティについても、インターネット上で類似の名前の使用を監視し、ブランドに悪影響を与えうる名前の使用を停止することが求められます。偽の Web サイトは、ブランドを偽装し、トラフィックを横取りすることでユーザー資格情報などの個人情報を盗み取ります。ゾーン保護とドメイン閉鎖を利用すれば、不正な意図を持つサードパーティドメインをプロアクティブに探知し、インターネット上での使用を停止できます。監視対象のドメインごとに、関連ドメインのリストが、リスクレベルなど一連の属性付きで使用可能になります。それぞれについて、次のような一連のアクションを適用できます。[a] ドメインをフォローして新しい Mx(メール交換)レコードなどの変更を検知、[b] トラッキング用にドメインにタグ付け、[c] ソートの優先順位の設定、[d] 閉鎖、などのアクションがあります。
Edge DNS の利点
DNS サーバーの 24 時間の可用性を保証。 Akamai の拡張性に優れグローバルに分散されたプラットフォームを活用することにより、顧客、従業員、パートナーが Web アプリケーションや API に迅速にアクセスできるようになります。
最大規模の DDoS 攻撃をブロック。 Akamai Connected Cloud の比類のない拡張性と容量により、Edge DNS は最大規模の DDoS 攻撃を吸収しつつ、ユーザーのアクセスを継続できます。組み込みの耐障害性コントロールにより、さまざまなタイプの DNS 攻撃に対して耐久性のある可用性を実現します。
より高速で信頼性の高い名前解決を保証。 Zone Apex Mapping と世界中の何万台もの DNS サーバーにより、信頼性が高く高速な DNS のサービスが提供されます。
簡便なコスト管理。 リクエスト数ではなくゾーン数に基づく価格設定により、DNS のコストをより正確に管理できます。
DNS の偽装を防止。 Domain Name System Security Extensions(DNSSEC)により、DNS 偽造による攻撃を防ぎます。
管理のシンプル化。 Akamai Control Center、Edge DNS API、Terraform のような構築ツールにより、DNS インフラの管理が合理化できます。
DNS をコードとして管理。開発者が API や既存の管理ツールを使用して Edge DNS ワークフローを自動化できるようにします。
ドメインの監視と閉鎖。 インターネット上で類似したドメイン名を追跡し、ブランドを偽装して侵害しているドメインを停止します。
Edge DNS による DDoS 制御
Edge DNS のアーキテクチャ設計、規模、容量により DDoS 攻撃時には高い耐障害性が得られますが、DNS サーバーは、DDoS 攻撃の一種である DNS フラッドの影響を緩和するのに役立つセキュリティ制御も備えています。DNS フラッドは、正規の DNS リクエストを大量に発行して、物理ネームサーバー上で膨大な量の計算リソースとメモリーリソースを消費するものです。その結果として、ターゲットとされた DNS サーバーは、正規のエンドユーザーからのクエリーに応答できなくなります。
DNS フラッドから防御するために、Edge DNS は重要な機能をいくつか備えています。
- 拡張性。 当社の権威 DNS サーバーの規模は、競合他社のソリューションの数倍にも達します。Edge DNS は、世界中の 1,000 以上の接続点に導入された数千台のネームサーバーを使用して、DNS フラッドによる要求の大規模な急増を十分に吸収できるだけの計算リソースとメモリーリソースを提供します。
- レート制限。 エッジ DNS 設定は、リクエストの数が定義された閾値を超えたときに、疑わしいリゾルバーからの要求を自動的にドロップするように設定できます。レート制限により、DNS リクエストの急増によるコンピューティングリソースとメモリーリソースの過度の消費が防止されます。また、大量のリクエストを生成するが帯域幅は比較的低いような攻撃に対しても役立ちます。
- DNS 許可リスト。Akamai Intelligent Connected Cloud の比類のない拡張性と容量により、当社の脅威研究者は、正当な DNS ルックアップの約 95% を処理する再帰リゾルバーの動作を独自に可視化できます。必要に応じて、Edge DNS はポジティブなセキュリティモデルを展開して、正常であると判明している DNS リゾルバーのグループにアクティビティーを制限できます。
Global Traffic Management
Edge DNS と組み合わせると、 Global Traffic Management(GTM) は DNS 制御の完全なセットを提供し、地理情報によってユーザーを世界の特定の地域のリソースにマッピングしたり、トラフィックを複数の地理的な場所に均等に分散したり、使用するユーザーごとに地理的に近いエッジサーバーを優先度をつけて設定したりする機能があります。
GTM は、DNS ベースのクラウドベースのサーバー・ロード・バランサーであり、Akamai 接続クラウドのインテリジェンスと拡張性を活用して、Web および API トラフィックの耐障害性、高パフォーマンス、およびノンストップの可用性を提供します。GTM では、幅広いルールと変数を使用して、標準的な DNS ワークフローを利用し、エンドユーザーのリクエストを、そのユーザーへのコンテンツ配信を最適にできるデータセンターにルーティングします。また、Akamai Connected Cloud は大規模な分散型のエッジおよびクラウドのプラットフォームであるため、GTM は同等のサービスの中で最高の役割を果たすことができます。GTM は、世界中のさまざまな業界で最大規模の著名エンタープライズ組織に利用されており、Akamai Control Center、堅牢な API、強力な DevOps 統合の組み合わせで、機能性とユーザビリティーの完璧なコンビネーションを提供します。
よくある質問(FAQ)
IP エニーキャストは、分散ネットワーク中に同一のネットワークノードを配置して 1 つの共通 IP アドレスを提供するネットワークルーティング技術です。全てのノードは同じ IP アドレスに応答し、トラフィックはルーティングプロトコルに基づいて最も近いノードにルーティングされるため、ユーザーに対しては遅延が最短になり最高の可用性が得られます。
ロードバランサーは、ネットワークまたはアプリケーショントラフィックを複数のサーバー間で分散させるデバイスです。ロードバランサーは、アプリケーションの容量(同時ユーザー数)と信頼性を向上させるために使用されます。アプリケーションやネットワークセッションの管理と保守に関連するサーバーの負荷を軽減し、アプリケーション固有のタスクを実行することにより、アプリケーションの全体的なパフォーマンスを向上させます。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。