Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNSSEC基礎とRoute53運用

Avatar for Toru_Kubota Toru_Kubota
February 23, 2023
Technology
0
2k

 DNSSEC基礎とRoute53運用

Avatar for Toru_Kubota

Toru_Kubota

February 23, 2023
Tweet

More Decks by Toru_Kubota

See All by Toru_Kubota
ガバメントクラウド運用改善からSaaS製品の開発へ
Avatar for Toru_Kubota toru_kubota
0
46
生成AI活用によるガバメントクラウド運用管理補助業務の効率化
Avatar for Toru_Kubota toru_kubota
0
24
「どこにある?」の解決。生成AI(RAG)で効率化するガバメントクラウド運用
Avatar for Toru_Kubota toru_kubota
4
1k
いつも初心者向けの記事に助けられているので得意分野では初心者向けの記事を書きます
Avatar for Toru_Kubota toru_kubota
2
600
AWSの利点
Avatar for Toru_Kubota toru_kubota
0
260
オンプレミス市監視村の人達と学ぶCloudWatch基礎
Avatar for Toru_Kubota toru_kubota
2
840
AWSサービスメニュー開発をしていてAWSを好きだ!と感じた瞬間
Avatar for Toru_Kubota toru_kubota
0
340
Security Hubのセキュリティスコアはどうやって計算されるか
Avatar for Toru_Kubota toru_kubota
0
740
本当のガバクラ基礎
Avatar for Toru_Kubota toru_kubota
0
1.2k

Other Decks in Technology

See All in Technology
30分でわかる「ネットワーク図の描き方入門」/infraengbooks56
Avatar for m.hagiwara corestate55
0
300
AWS Network Firewall Proxyを触ってみた
Avatar for nagisa_53 nagisa53
1
260
Oracle Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
3
610
1,000 にも届く AWS Organizations 組織のポリシー運用をちゃんとしたい、という話
Avatar for kazzpapa3 kazzpapa3
0
250
Cloud Runでコロプラが挑む 生成AI×ゲーム『神魔狩りのツクヨミ』の裏側
Avatar for COLOPL Inc. colopl
0
260
Cosmos World Foundation Model Platform for Physical AI
Avatar for Takuya MINAGAWA takmin
0
1k
今こそ学びたいKubernetesネットワーク ~CNIが繋ぐNWとプラットフォームの「フラッと」な対話
Avatar for Takuto Nagami logica0419
8
700
意外と知ってそうでしらない、Reserved Instances の世界
Avatar for Yuji Masaoka | まっぴぃ mappie_kochi
0
110
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
Avatar for oracle4engineer oracle4engineer
PRO
56
47k
AWS DevOps Agent x ECS on Fargate検証 / AWS DevOps Agent x ECS on Fargate
Avatar for Masanori Yamaguchi kinunori
3
390
コンテナセキュリティの最新事情 ~ 2026年版 ~
Avatar for Kyohei Mizumoto kyohmizu
8
2.9k
20260208_第66回 コンピュータビジョン勉強会
Avatar for KeiichiIto1978 keiichiito1978
0
240

Featured

See All Featured
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.7k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
162
24k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
81
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.7k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
515
110k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
Avatar for UX Y'all uxyall
0
450
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
120
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.5k
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
Avatar for Greg Gifford greggifford
PRO
0
88
Darren the Foodie - Storyboard
Avatar for Kevinho.art khoart
PRO
2
2.5k

Transcript

  1. DNSSEC基礎とRoute53運用 インフラ技術基礎勉強会 #1 2023/02/23 久保田 亨

  2. ネットワークスペシャリスト/情報処理安全確保支援士 情報セキュリティスペシャリスト/応用情報技術者 Oracle Master Gold/LPIC Level3/MSCA/CCNA/ SJC-P(Java)/Python3認定試験 電気通信主任技術者/工事担任者AI/DD総合種 第2種電気工事士/第二級陸上特殊無線技士 など

    会社:SI企業 職業:インフラエンジニア 氏名:久保田 亨 自己紹介

  3. DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ

  4. DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS

    権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com ② ③ ④ ⑤ Aレコード www 1.1.1.1 ⑥ www.example.comのサイトを見たい時の流れ

  5. DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS

    権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com ② Aレコード www 2.2.2.2 2.2.2.2 偽サイト 悪い人がレコード偽造

  6. DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS

    権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com Aレコード www 1.1.1.1 ② www.example.comのサイトを見たい 公開鍵 電子署名 秘密鍵 電子署名 電子署名でレコードの正当性を保証

  7. 公開鍵 / 秘密鍵 / 証明書 。。。。 このあたりはインフラをやり始めた時は良く分かっていませんでした。 このあたりも DNSSECで実用的な例を見ながら 再学習してみましょう!

  8. DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ

  9. 電子署名 (RRSIG) ハッシュ関数 A = 1.1.1.1 www.example.com PC キャッシュ DNS

    権威 DNS (ZSKの) 公開鍵 123456 秘密鍵 (ZSK) 電子署名 (RRSIG) A = 1.1.1.1 電子署名 (RRSIG) 123456 A = 1.1.1.1 123456 = 一致 権威DNSサーバ ①レコードに電子証明 キャッシュDNSサーバ ②レコードの電子証明の検証 (ZSKの) 公開鍵 ①レコードに電子署名 ②レコードの電子署名の検証 ハッシュ関数 DNSSECの仕組み(レコード署名)

  10. 電子署名 (RRSIG) ハッシュ関数 A = 1.1.1.1 www.example.com PC キャッシュ DNS

    権威 DNS (ZSKの) 公開鍵 123456 秘密鍵 (ZSK) 電子署名 (RRSIG) A = 1.1.1.1 電子署名 (RRSIG) 123456 A = 1.1.1.1 123456 = 一致 権威DNSサーバ ①レコードに電子証明 キャッシュDNSサーバ ②レコードの電子証明の検証 (ZSKの) 公開鍵 ①レコードに電子署名 ②レコードの電子署名の検証 ハッシュ関数 DNSSECの仕組み(レコード署名)

  11. 秘密鍵 ZSK ZSK:ゾーンに署名する秘密鍵 KSK:公開鍵を署名する秘密鍵 DS:DNSKEYのハッシュ値 DS 秘密鍵 KSK (ZSKの) 公開鍵

    (KSKの) 公開鍵 署名 ハッシュ関数 DS 権威DNSサーバ(example.com) 権威DNSサーバ(com) 親のDNSサーバにDSを登録する ことで公開鍵の正当性を保証する レコード 署名 DNSSECの仕組み(公開鍵の検証) この箇所の 正当性を保証

  12. 秘密鍵 ZSK ZSK:ゾーンに署名する秘密鍵 KSK:公開鍵を署名する秘密鍵 DS:DNSKEYのハッシュ値 DS 秘密鍵 KSK (ZSKの) 公開鍵

    (KSKの) 公開鍵 署名 ハッシュ関数 DS 権威DNSサーバ(example.com) 権威DNSサーバ(com) 親のDNSサーバにDSを登録する ことで公開鍵の正当性を保証する レコード 署名 DNSSECの仕組み(公開鍵の検証) この箇所の 正当性を保証 ①KSKの公開鍵は保証される ②KSKの秘密鍵は保証される ③ZSKの公開鍵は保証される

  13. DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ

  14. Route53とは Amazon Route 53 DNSのフルマネージドサービスです。 1.ドメイン名の登録 2.ドメインのリソースへのルーティング 3.リソースの正常性チェック

  15. Route53でのDNSSEC導入 ◆導入時 ① KMSを使用してKSK(キー署名キー)の作成 ② ゾーンのDNSSEC署名有効化 ③ 信頼チェーンを確立(親ゾーンへのDSレコード登録) ※事前にレジストラ側がDNSSECに対応しているかどうか確認する必要があります

  16. 秘密鍵 ZSK DS 秘密鍵 KSK (ZSKの) 公開鍵 (KSKの) 公開鍵 署名

    ハッシュ関数 権威DNSサーバ(example.com) レコード 署名 Route53でのDNSSEC運用 AWS ユーザー ◆運用時 ・ ZSKの鍵管理はAWS側でやってくれる ・ KSKの管理はユーザ側で必要 ※鍵のローテが必要な場合 ◆費用 ・ DNSSECを有効にすることでの費用追加はなし ・ KMSの利用料金が追加

  17. ・ DNSとDNSSECの基礎 ・ DNSSECの仕組み(レコード署名検証・公開鍵検証) ・ 導入はレジストラ側がDNSSECに対応している必要があります ・ Route53を使用すると導入が楽 / 運用が自動

    or 楽です! まとめ

  18. ご清聴頂きありがとうございます