今月２回目の投稿です。

.

 とはいうものの、投稿が遅延気味だったので、挽回の意味もかねて。。。

.

今回のお題は公開DNS（外部DNS）と、内部DNSです。

.

.

.

そんな基本的な事を何を今さら？

っと思われている方には必要ないかもしれません。以降は、スルーしてください。

.

.

ですが、クラウドサービスの構築にあたってシステムアーキテクチャの検討においても、必須要素であるDNSは外す事はできません。

アーキテクチャの検討において、内部DNSと公開DNSを内部で構築する時に変更頻度が少ないためかインフラエンジニアであっても習熟できているいる人が意外と少なく理解不足で要件定義時に悩む曲者でもあります。

.

.

今回、NIST( アメリカ国立標準技術研究所 )のガイドライン内容と一般論を加えて解説していきたいと思います。

.

.

DNSは、Domain Name System という名称の略称で、

組織名からIPアドレスを解決するためのシステムです。

.

.

.

ホームページ作成経験のある人であれば、自身のドメインを持って登録された事があるかと思います。

ですが、自身でクラウド基盤（AWS,GCP,Azure)を使ってサービスを構築していく事になった場合、DNSの構築は必須要素になってきます。

.

.

その時、よく登場してくる言葉として、「内部DNS」と、「外部DNS（公開DNS）」の存在です。

.

.

そもそも、プライベートIPアドレスであってもグローバルIPアドレスであっても名前解決する目的は同じなので、分ける必要性があるのか？

といった質問が出され、コストダウンを検討しているマネジメント陣からその点をつかれるかもしれません。

.

.

.

というわけで、内部DNSと、外部DNSについて解説していきたいと思います。

.

.

.

NIST SP 800-81-2 / 2013年9月

.

.

まずは分割によるプライベートIPアドレスの流出を防ぐ対策として、ゾーンファイル分割について以下の記述があります。

=======================================================================

7.2.8 ゾーンファイルの分割による情報露出の制限 組織の権威ネームサーバは、外部と内部の両方のクライアントからリクエストを受信する。多くの場 合、外部クライアントが受信する必要があるのは、公開のサービス（公開 Web サーバ、メールサー バなど）に関連する RR のみである。内部クライアントは、公開のサービスと内部ホストに関連する RR を受信する必要がある。したがって、これらの RR を提供するゾーン情報を、外部クライアント用 と内部クライアント用にそれぞれ物理的に異なるファイルに分けることができる。ゾーンファイルのこ のような実装方法は、分割 DNS と呼ばれる。

=======================================================================

.

上記の内容を踏まえて、内部DNSを持つことによるデメリットの記述があります。

=======================================================================

1 つは、リモートホスト（たとえば出張先からノート型 PC を 使って組織に接続する場合など）が内部の名前解決 DNS サーバを使用できないことがあるため、 内部ホストを認識できない場合があることである。

もう 1 つは、内部ホスト情報が（事故や攻撃により）ファイアウォールの外側に漏れる可能性が生じることである。

=======================================================================

.

逆にそのデメリットを踏まえても分割する事によるメリットして以下の記述があります。

=======================================================================

7.2.9 各種クライアント用にネームサーバを導入することによる情報露出の制限

.

外側の世界に内部ホストの IP アドレスが知られるのを防ぐことである。この 設定は、BIND にあるビュー機能のない DNS サーバソフトウェアを使用している組織にとっては、利 用可能な唯一の選択肢であると考えられる。

=======================================================================

.

上記を踏まえてた上で、外部DNSを内部で運用しない事によるメリットとして、以下があります。

=======================================================================

DNSに登録するIPアドレスがプライベートIPアドレスがある場合、登録内容を内部DNSとして別途管理する事で、

外部にプライベートIPアドレス情報の漏洩リスクが最小化に貢献する。

.

大量の名前解決のリクエスト要求があっても外部DNSサービスでは、システムの冗長化、自動スケールの実現を行っているため、

中規模以下のWEBシステムを運用する場合、自分で準備をおこなうよりシステム構成の簡略化と貢献とコストダウンに貢献する。

.

公開DNSの外部サービスを活用する事で、常にシステムの高度なセキュリティ対策の強化を求められる運用業務から

解放されるため、運用コストの最小化に貢献する。

=======================================================================

.

逆にそれらの外部DNSを内部で運用しない事によるメリットを踏まえてでも外部DNSを内部持つ場合は、以下が考えられます。

=======================================================================

①数百台、数千台規模のWEBサーバを運用していく場合、サーバの新規追加、削除を行った場合の設定変更と反映作業が

最短で実現できる。

②レコード登録の詳細なカスタマイズが可能

③外部サービスよりDNSリクエスト要求のレスポンスの向上が見込める。

=======================================================================

.

それでは、皆様ごきげんよう。