今回はDNSサーバのDDoS攻撃対策に関するお話です。
DDoS攻撃は、ターゲットに対して大量のパケットを投げつけ、サーバやネットワークなどのリソースに過剰な負荷をかけサービスを妨害する攻撃です。
DNSサーバは基盤中の基盤です。
アプリケーションサーバやネットワークが稼働していても、DNSサーバがダウンしてしまうと名前解決の処理ができず、結局通信できなくなってしまうため、DNSサーバを攻撃から保護することは重要です。
CloudflareではDNSサービスも提供しています。
DDoS対策もされており、BINDも使われていないためBINDの脆弱性に該当することもありません。
また、既設のDNSサーバをプライマリDNSサーバとしてCloudflareへゾーン転送を行い、CloudflareのDNSサービスをセカンダリDNSとして使用することもできます。
プライマリサーバはドメインのIPアドレスや管理責任者情報などを含むゾーンファイルをホストします。
情報の変更はプライマリサーバでのみ行い、セカンダリはプライマリから変更内容の複製を受け取って常に同様の設定で動作します。
利用形態の1つとして、上位DNSにCloudflareのDNSのみ登録し、プライマリをインターネットへ公開しない運用も考えられます。
こうすることで、設定変更の運用手順を変えずに、強固なDNSを利用することが可能です。オペレーションを外部委託していて、手順書を渡さないと対応してくれない場合でも楽に導入することができます。
CloudflareのDNSは応答の早さで定評があり、世界最速のパブリックなリゾルバDNS(1.1.1.1)を運営しているのもCloudflareです。
また、クエリ数や平均応答時間などの様々な指標を可視化することが出来ます。さらに、エンタープライズプランの顧客は2500%のSLAが提供されています。
絶対に止められないサイトの構築、運用にはセキュアでパワフルなDNSも欠かせません。
ご検討されてみてはいかがでしょうか。
本記事ではCloudflare連携によるDNSサーバのDDoS攻撃対策についてご紹介させていただきましたが、いかがでしたでしょうか。 当社ではCloudflareのPoCご相談も承っておりますので、「PoCのご相談」からお気軽にご連絡ください!(※PoCは法人のお客様に限ります。あらかじめご了承ください)
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事