権威DNSサーバ脱自前運用のススメ

権威 DNS サーバ脱自前運用のススメ株式会社インターネットイニシアティブ島村充 <simamura@iij.ad.jp>

disclaimer 私の立ち位置について IIJ の人間です DNS は趣味ですと普段言っていますが IIJ では DNS サービスを販売しています多少は DNS サービスに関わっています IIJ のサービスを特別扱いはしていないつもりですがサービス提供者側であるということはお伝えしておきます

今日お話を聞いてもらい方公開権威 DNSサーバを運用管理していて疲れている方困りごと悩み事を抱えている方もっと他のことに時間を使いたい方

過去の発表 DNS Summer day 2016 BINDからの卒業 DNS Summer day 2017 BIND 卒業できました? DNS サーバソフトのダイバシティを奨めてきていました今年はもう一歩進んで

権威 DNS サーバーの運用楽したくありませんか?

権威 DNS サーバの自前運用大変じゃないですか? BIND 祭ソフトウェアダイバーシティの確保複数実装のドキュメント整備教育運用 etc ネットワーク冗長性の確保ラック DC 国内国外 AS NS の TLD の分散水責め攻撃への対策日本では権威 DNS は狙われていない? DDoS 攻撃への対策 Janog39 Dyn への攻撃の顛末

Internet Week 2017 DNSOPS.jp BoF 権威 DNS サービスのダイバーシティ高嶋さん

権威 DNS サーバの運用アウトソースしませんか?

メリット諸々の理由のサーバソフトversion upからの開放脆弱性対応サーバーソフトEoL 対応新 RR type 対応設備リプレース OS EoL 対応

メリット運用教育コストの削減 ( サーバのお守り以外で ) ダイバシティーのために色々な種類のサーバソフトウェアのことを考えなくて良い API のあるサービスなら wrapper を作成すればサービスが変わってもレコード編集の方法は何も変わらないで済むもっとも API を作るのが面倒という場合も多々

メリット DDoS 対策 anycast していたり DDoS 対策装置が入っていたり uplink 帯域が太かったり Backbone が太かったりサービス提供側もお客さんが少ないとコストが重くのしかかるので大規模なところでないと難しい大規模なところもいっぱいお客さんに契約してもらってコストメリットを出したい

メリット DNSSEC 対応面倒な鍵管理ロールオーバーなどを代行ただし複数サービスの併用では難しいサービス間での鍵のやりとりが実質無理プライマリで一括管理しセカンダリサービスを利用する場合を除くサービスを乗り換えるときに一旦 DNSSEC を OFF にする必要がある場合がほとんど off し忘れて引っ越ししたら DNSSEC validation fail に

そうは言ってもセキュリティーポリシー的にNG これが一番大きい理由でしょうか統計情報クエリログが不十分 / 無い

過去に発生した問題共用 DNS サーバにおけるサブドメインハイジャックの脆弱性 example.jp の権威 DNS サーバに www.example.jp を別の契約者が契約できるとき多くのサーバ実装で example.jp に NS レコードを書かなくても権威が移譲されてしまいハイジャックが可能となるサービス運用上の問題に起因するドメイン名ハイジャックの危険性について https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

デメリット直接的なキャッシュアウトが発生する同じサービスに収容されている他のお客さんへの攻撃の巻き添えを食らう場合がある複数サービスの組み合わせ脆弱性対応ポリシーが不明遅い場合がある

DNS Summer day 2016 BIND からの卒業はじめに

デメリット使いたい RR Type を書けない場合がある最近ではなさそうだけど AAAA 書けないとか新 RR type などへの対応が遅い場合がある BIND で CAA をサポートしたのは 9.9.6(2014 年 9 月 ) Route 53 2017 年 8 月さくら 2017 年 9 月 Azure 2017 年 11 月お名前.com, IIJ 2018 年 6 月セカンダリサービスなら特に対応不要 ( なはず )

天秤ドキュメント教育コストはサービスごとにかかるし乗り換えたら再作成 & 再教育が必要 API で API 作るのに工数かかるじゃん? 自前プライマリ + セカンダリサービスとか DDoS 攻撃うちのドメインにはこないよそんなにお金かけられるほどのドメインではないよ

求められそうな機能普通の権威 DNS サーバの機能は一通りとはいえ先述の通り RR type の対応状況には差異がある対応される予定のない RR type もワイルドカードが使えなかったりする場合も DNSSEC 意外と対応していないサービスが多い Azure, Route 53, さくら Google, お名前.com, IIJ

求められそうな機能権限分割権限委譲操作変更履歴 API 統計情報クエリログ

求められそうな機能負荷分散関連 GSLB 重み付きround robin レイテンシベースルーティング zone APEXにCNAME( もどき ) ALIAS/ANAME

求められそうな機能セカンダリ関連機能他にゾーン転送をする ( サービスがプライマリ ) 他からゾーン転送を受ける ( がセカンダリ )

アンケート結果

アンケートご協力ありがとうございます m( )m 回答人数 : 95 名昨年のご利用のサーバーはなんですか? と比べて約 3 倍

設問内容運用している公開権威 DNSサーバーは? 自前運用のみ / サービス利用のみ / 組み合わせ自前運用の人 : 自前運用のみの理由サービスに望むことどのような課金体系が望ましいか

設問内容サービス利用のみ / 組み合わせの人 : サービスを利用している理由選定の際のポイントサービスに望むことどのような課金体系が望ましいか

運用している公開権威 DNS サーバーは

自前運用のみの理由 ( 複数回答 ) サービス提供者だから (30) 特に困っていない必要性を感じない (24) 技術水準維持のため (17) 費用感が合わない (13) メンテナンスタイミングを好きにできる (12) 趣味 (11) トラブルシュートがしづらい (10) ゾーン情報の変更がしづらい (9) 統計情報ログが不十分 (6) BIND の独自機能を使いたい (5) ゾーン追加の際のスピード感があわない (5) セキュリティーポリシー (4) 対応していない RR type がある (2) セキュリティ対応が遅い (2) 検討したいけど人手が足りない手が回っていない (3)

自前運用のみの理由 ( 複数回答 ) (cont.) 運用ツールを BIND に作り込んでしまっているから機器更新時に移行先サービスを認識していなかった

サービスに望むことは ( 自前運用 ) ( 複数回答 ) 素敵な統計情報 (23) クエリログ (22) 特になし (21) 定額課金 (20) SLA (16) UI/API がメンテナンスで止まらない (15) 専有権威 DNS サーバ (11) 費用の安さ (2) hidden master 対応スレーブとして機能逆引き対応サービスにないことを求めているのではない権威 DNS の IP アドレスの固定 (NS レコードを自社ドメインにしたい AWS route53 のホワイトラベルネームサーバのようなものを想定 )

課金体系について ( 自前運用 )

サービスを利用している理由は ( 複数回答 ) セキュリティ対応が不要 (20) トータルコストが安い (19) DDoS 耐性 (14) ダイバーシティ確保 (9) 別サービスのオマケ ( 無料 ) (8) DNSSEC 対応が自前では大変 (4) 素敵な統計情報画面楽 BCP 各サービス責任者の判断直接の担当ではないので不明

サービス選定の際のポイントは ( 複数回答 ) 価格 (31) DDoS 対策 (18) ゾーン情報の編集のしやすい UI (16) ゾーンの追加削除がオンラインでできる (15) ゾーン転送 ( 受信側 ) 対応 (12) ゾーン情報の編集が API でできる (10) サポートへの質問に対する回答が早い (7) DNSSEC に対応している (5) 素敵な統計情報ログ (2)

サービスに望むことは ( サービス利用 ) ( 複数回答 ) 素敵な統計情報 (14) クエリログ (13) UI/API がメンテナンスで止まらない (12) SLA (10) 定額課金 (10) 特になし (6) 専有権威 DNS サーバ (5) 素早い画面レスポンス無料 sandbox 安定運用自前運用と共存するためのより複雑な権限管理機能 DNSSEC 対応 ( 鍵管理含む ) 手軽な内部サーバ名前解決向けサービス速度が出ないかなぁ unbound とかの web サービス荒唐無稽すぎるか

課金体系について ( サービス利用 )

課金体系について ( 自前運用 )

Any Questions?

権威DNSサーバ 脱自前運用のススメ

権威DNSサーバ脱自前運用のススメ