Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DNSSEC基礎とRoute53運用
Search
Toru_Kubota
February 23, 2023
Technology
2.1k
0
Share
DNSSEC基礎とRoute53運用
Toru_Kubota
February 23, 2023
More Decks by Toru_Kubota
See All by Toru_Kubota
AWSアップデートから考える継続的な運用改善
toru_kubota
2
390
AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理
toru_kubota
1
280
ガバメントクラウド運用改善からSaaS製品の開発へ
toru_kubota
0
75
生成AI活用によるガバメントクラウド運用管理補助業務の効率化
toru_kubota
0
54
「どこにある?」の解決。生成AI(RAG)で効率化するガバメントクラウド運用
toru_kubota
4
1.1k
いつも初心者向けの記事に助けられているので得意分野では初心者向けの記事を書きます
toru_kubota
2
660
AWSの利点
toru_kubota
0
280
オンプレミス市監視村の人達と学ぶCloudWatch基礎
toru_kubota
2
890
AWSサービスメニュー開発をしていてAWSを好きだ!と感じた瞬間
toru_kubota
0
370
Other Decks in Technology
See All in Technology
Agentic AI時代における メルカリのAIガバナンスとガードレール実装
naoichihara
16
17k
Javaコミュニティをもっと楽しむための9箇条
takasyou
0
740
Gradle×GitHub_ActionsでCI時間を約50%短縮 ジョブ分割の設計と落とし穴 / Cutting CI Time by ~50% with Gradle and GitHub Actions: Job-Splitting Design and Pitfalls
takatty
0
540
最低限これだけ押さえれ大丈夫_Claude Enterprise/Team企業展開ガバナンス入門
tkikuchi
1
560
Strands Agents超入門
kintotechdev
1
150
Spring Boot における AOT Cache 活用テクニックと 起動時間改善事例
ntt_dsol_java
0
180
AIガバナンス実践 - 生成AIコネクタのデータ漏洩リスクと実務対策
knishioka
0
140
oracle-to-databricks-migration-with-llm-and-dbt
casek
1
380
APIテストとは?
nagix
0
160
Diagnosing performance problems without the guesswork
elenatanasoiu
0
130
Javaで学ぶSOLID原則
negima
1
240
脅威をエンジニアリングの糧にして:恐怖を乗り越えた先にあったもの / Turn threats into fuel for engineering: what lay beyond overcoming fear
nrslib
1
360
Featured
See All Featured
What's in a price? How to price your products and services
michaelherold
247
13k
Believing is Seeing
oripsolob
1
140
Java REST API Framework Comparison - PWX 2021
mraible
34
9.3k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
Testing 201, or: Great Expectations
jmmastey
46
8.2k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Speed Design
sergeychernyshev
33
1.8k
Leading Effective Engineering Teams in the AI Era
addyosmani
9
2k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
55k
Documentation Writing (for coders)
carmenintech
77
5.4k
Raft: Consensus for Rubyists
vanstee
141
7.5k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
Transcript
DNSSEC基礎とRoute53運用 インフラ技術基礎勉強会 #1 2023/02/23 久保田 亨
ネットワークスペシャリスト/情報処理安全確保支援士 情報セキュリティスペシャリスト/応用情報技術者 Oracle Master Gold/LPIC Level3/MSCA/CCNA/ SJC-P(Java)/Python3認定試験 電気通信主任技術者/工事担任者AI/DD総合種 第2種電気工事士/第二級陸上特殊無線技士 など
会社:SI企業 職業:インフラエンジニア 氏名:久保田 亨 自己紹介
DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ
DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS
権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com ② ③ ④ ⑤ Aレコード www 1.1.1.1 ⑥ www.example.comのサイトを見たい時の流れ
DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS
権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com ② Aレコード www 2.2.2.2 2.2.2.2 偽サイト 悪い人がレコード偽造
DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS
権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com Aレコード www 1.1.1.1 ② www.example.comのサイトを見たい 公開鍵 電子署名 秘密鍵 電子署名 電子署名でレコードの正当性を保証
公開鍵 / 秘密鍵 / 証明書 。。。。 このあたりはインフラをやり始めた時は良く分かっていませんでした。 このあたりも DNSSECで実用的な例を見ながら 再学習してみましょう!
DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ
電子署名 (RRSIG) ハッシュ関数 A = 1.1.1.1 www.example.com PC キャッシュ DNS
権威 DNS (ZSKの) 公開鍵 123456 秘密鍵 (ZSK) 電子署名 (RRSIG) A = 1.1.1.1 電子署名 (RRSIG) 123456 A = 1.1.1.1 123456 = 一致 権威DNSサーバ ①レコードに電子証明 キャッシュDNSサーバ ②レコードの電子証明の検証 (ZSKの) 公開鍵 ①レコードに電子署名 ②レコードの電子署名の検証 ハッシュ関数 DNSSECの仕組み(レコード署名)
電子署名 (RRSIG) ハッシュ関数 A = 1.1.1.1 www.example.com PC キャッシュ DNS
権威 DNS (ZSKの) 公開鍵 123456 秘密鍵 (ZSK) 電子署名 (RRSIG) A = 1.1.1.1 電子署名 (RRSIG) 123456 A = 1.1.1.1 123456 = 一致 権威DNSサーバ ①レコードに電子証明 キャッシュDNSサーバ ②レコードの電子証明の検証 (ZSKの) 公開鍵 ①レコードに電子署名 ②レコードの電子署名の検証 ハッシュ関数 DNSSECの仕組み(レコード署名)
秘密鍵 ZSK ZSK:ゾーンに署名する秘密鍵 KSK:公開鍵を署名する秘密鍵 DS:DNSKEYのハッシュ値 DS 秘密鍵 KSK (ZSKの) 公開鍵
(KSKの) 公開鍵 署名 ハッシュ関数 DS 権威DNSサーバ(example.com) 権威DNSサーバ(com) 親のDNSサーバにDSを登録する ことで公開鍵の正当性を保証する レコード 署名 DNSSECの仕組み(公開鍵の検証) この箇所の 正当性を保証
秘密鍵 ZSK ZSK:ゾーンに署名する秘密鍵 KSK:公開鍵を署名する秘密鍵 DS:DNSKEYのハッシュ値 DS 秘密鍵 KSK (ZSKの) 公開鍵
(KSKの) 公開鍵 署名 ハッシュ関数 DS 権威DNSサーバ(example.com) 権威DNSサーバ(com) 親のDNSサーバにDSを登録する ことで公開鍵の正当性を保証する レコード 署名 DNSSECの仕組み(公開鍵の検証) この箇所の 正当性を保証 ①KSKの公開鍵は保証される ②KSKの秘密鍵は保証される ③ZSKの公開鍵は保証される
DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ
Route53とは Amazon Route 53 DNSのフルマネージドサービスです。 1.ドメイン名の登録 2.ドメインのリソースへのルーティング 3.リソースの正常性チェック
Route53でのDNSSEC導入 ◆導入時 ① KMSを使用してKSK(キー署名キー)の作成 ② ゾーンのDNSSEC署名有効化 ③ 信頼チェーンを確立(親ゾーンへのDSレコード登録) ※事前にレジストラ側がDNSSECに対応しているかどうか確認する必要があります
秘密鍵 ZSK DS 秘密鍵 KSK (ZSKの) 公開鍵 (KSKの) 公開鍵 署名
ハッシュ関数 権威DNSサーバ(example.com) レコード 署名 Route53でのDNSSEC運用 AWS ユーザー ◆運用時 ・ ZSKの鍵管理はAWS側でやってくれる ・ KSKの管理はユーザ側で必要 ※鍵のローテが必要な場合 ◆費用 ・ DNSSECを有効にすることでの費用追加はなし ・ KMSの利用料金が追加
・ DNSとDNSSECの基礎 ・ DNSSECの仕組み(レコード署名検証・公開鍵検証) ・ 導入はレジストラ側がDNSSECに対応している必要があります ・ Route53を使用すると導入が楽 / 運用が自動
or 楽です! まとめ
ご清聴頂きありがとうございます
toru_kubota
naoichihara
takasyou
takatty
tkikuchi
kintotechdev
ntt_dsol_java
knishioka
casek
nagix
elenatanasoiu
negima
nrslib
michaelherold
oripsolob
mraible
aleyda
jmmastey
rocio
sergeychernyshev
addyosmani
destraynor
carmenintech
vanstee
jcasabona
