今月2回目の投稿です。
.
とはいうものの、投稿が遅延気味だったので、挽回の意味もかねて。。。
.
今回のお題は公開DNS(外部DNS)と、内部DNSです。
.
.
.
そんな基本的な事を何を今さら?
っと思われている方には必要ないかもしれません。以降は、スルーしてください。
.
.
ですが、クラウドサービスの構築にあたってシステムアーキテクチャの検討においても、必須要素であるDNSは外す事はできません。
アーキテクチャの検討において、内部DNSと公開DNSを内部で構築する時に変更頻度が少ないためかインフラエンジニアであっても習熟できているいる人が意外と少なく理解不足で要件定義時に悩む曲者でもあります。
.
.
今回、NIST( アメリカ国立標準技術研究所 )のガイドライン内容と一般論を加えて解説していきたいと思います。
.
.
DNSは、Domain Name System という名称の略称で、
組織名からIPアドレスを解決するためのシステムです。
.
.
.
ホームページ作成経験のある人であれば、自身のドメインを持って登録された事があるかと思います。
ですが、自身でクラウド基盤(AWS,GCP,Azure)を使ってサービスを構築していく事になった場合、DNSの構築は必須要素になってきます。
.
.
その時、よく登場してくる言葉として、「内部DNS」と、「外部DNS(公開DNS)」の存在です。
.
.
そもそも、プライベートIPアドレスであってもグローバルIPアドレスであっても名前解決する目的は同じなので、分ける必要性があるのか?
といった質問が出され、コストダウンを検討しているマネジメント陣からその点をつかれるかもしれません。
.
.
.
というわけで、内部DNSと、外部DNSについて解説していきたいと思います。
.
NIST SP 800-81 : セキュアなドメインネームシステム (DNS)の導入ガイド 【IPA 日本語訳】
.
.
最新
NIST SP 800-81-2 / 2013年9月
.
.
●DNSのゾーン分割に対する記述
まずは分割によるプライベートIPアドレスの流出を防ぐ対策として、ゾーンファイル分割について以下の記述があります。
=======================================================================
7.2.8 ゾーンファイルの分割による情報露出の制限 組織の権威ネームサーバは、外部と内部の両方のクライアントからリクエストを受信する。多くの場 合、外部クライアントが受信する必要があるのは、公開のサービス(公開 Web サーバ、メールサー バなど)に関連する RR のみである。内部クライアントは、公開のサービスと内部ホストに関連する RR を受信する必要がある。したがって、これらの RR を提供するゾーン情報を、外部クライアント用 と内部クライアント用にそれぞれ物理的に異なるファイルに分けることができる。ゾーンファイルのこ のような実装方法は、分割 DNS と呼ばれる。
=======================================================================
.
●デメリットに対する記述
上記の内容を踏まえて、内部DNSを持つことによるデメリットの記述があります。
=======================================================================
1 つは、リモートホスト(たとえば出張先からノート型 PC を 使って組織に接続する場合など)が内部の名前解決 DNS サーバを使用できないことがあるため、 内部ホストを認識できない場合があることである。
もう 1 つは、内部ホスト情報が(事故や攻撃により)ファイアウォールの外側に漏れる可能性が生じることである。
=======================================================================
.
●メリットに対する記述
逆にそのデメリットを踏まえても分割する事によるメリットして以下の記述があります。
=======================================================================
7.2.9 各種クライアント用にネームサーバを導入することによる情報露出の制限
.
外側の世界に内部ホストの IP アドレスが知られるのを防ぐことである。この 設定は、BIND にあるビュー機能のない DNS サーバソフトウェアを使用している組織にとっては、利 用可能な唯一の選択肢であると考えられる。
=======================================================================
.
●総論
上記を踏まえてた上で、外部DNSを内部で運用しない事によるメリットとして、以下があります。
=======================================================================
①セキュリティリスクの最小化
DNSに登録するIPアドレスがプライベートIPアドレスがある場合、登録内容を内部DNSとして別途管理する事で、
外部にプライベートIPアドレス情報の漏洩リスクが最小化に貢献する。
.
②システム構成のコストダウン
大量の名前解決のリクエスト要求があっても外部DNSサービスでは、システムの冗長化、自動スケールの実現を行っているため、
中規模以下のWEBシステムを運用する場合、自分で準備をおこなうよりシステム構成の簡略化と貢献とコストダウンに貢献する。
.
③作業工数と人員リソースの最小化
公開DNSの外部サービスを活用する事で、常にシステムの高度なセキュリティ対策の強化を求められる運用業務から
解放されるため、運用コストの最小化に貢献する。
=======================================================================
.
●外部DNSを内部に持つメリット
逆にそれらの外部DNSを内部で運用しない事によるメリットを踏まえてでも外部DNSを内部持つ場合は、以下が考えられます。
=======================================================================
①数百台、数千台規模のWEBサーバを運用していく場合、サーバの新規追加、削除を行った場合の設定変更と反映作業が
最短で実現できる。
②レコード登録の詳細なカスタマイズが可能
③外部サービスよりDNSリクエスト要求のレスポンスの向上が見込める。
=======================================================================
.
それでは、皆様ごきげんよう。
The following two tabs change content below.
インフラ系SE歴13年目、サーバ、SOCの運用経験、ネットワーク、サーバの設計構築の経験を経てフリーランスとして独立。
ネットワーク、セキュリティ分野を得意分野として、様々なPJに参画。
2020年3月までは航空会社のネットワーク設計をしていたが、4月から金融システム開発会社のセキュリティ対策推進PMO業務に従事。
また、メインPJ以外にも、中小企業様に対してスポットでクラウドサービス、セキュリティ対策に関するコンサルティング業務に従事。