Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DNSSEC基礎とRoute53運用
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Toru_Kubota
February 23, 2023
Technology
2k
0
Share
DNSSEC基礎とRoute53運用
Toru_Kubota
February 23, 2023
More Decks by Toru_Kubota
See All by Toru_Kubota
AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理
toru_kubota
1
220
ガバメントクラウド運用改善からSaaS製品の開発へ
toru_kubota
0
64
生成AI活用によるガバメントクラウド運用管理補助業務の効率化
toru_kubota
0
41
「どこにある?」の解決。生成AI(RAG)で効率化するガバメントクラウド運用
toru_kubota
4
1.1k
いつも初心者向けの記事に助けられているので得意分野では初心者向けの記事を書きます
toru_kubota
2
630
AWSの利点
toru_kubota
0
270
オンプレミス市監視村の人達と学ぶCloudWatch基礎
toru_kubota
2
870
AWSサービスメニュー開発をしていてAWSを好きだ!と感じた瞬間
toru_kubota
0
360
Security Hubのセキュリティスコアはどうやって計算されるか
toru_kubota
0
760
Other Decks in Technology
See All in Technology
サイバーフィジカル社会とは何か / What Is a Cyber-Physical Society?
ks91
PRO
0
160
【Findy FDE登壇_2026_04_14】— 現場課題を本気で解いてたら、FDEになってた話
miyatakoji
0
720
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
4
14k
Claude Teamプランの選定と、できること/できないこと
rfdnxbro
1
1.8k
Hello UUID
mimifuwacc
0
130
機能・非機能の学びを一つに!Agent Skillsで月間レポート作成始めてみた / Unifying Bug & Infra Insights — Building Monthly Quality Reports with Agent Skills
bun913
5
3.8k
バックオフィスPJのPjMをコーポレートITが担うとうまくいく3つの理由
yueda256
1
290
GitHub Copilotを極める会 - 開発者のための活用術
findy_eventslides
6
3.6k
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
yuriemori
0
120
「決め方」の渡し方 / How to hand over the "decision-making process"
pauli
8
1.3k
解剖"React Native"
hacusk
0
120
MCPゲートウェイ MCPass の設計と実装 エンタープライズで AI を「運用できる」状態にする
mtpooh
1
210
Featured
See All Featured
Practical Orchestrator
shlominoach
191
11k
How to Talk to Developers About Accessibility
jct
2
170
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
160
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
170
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.1k
The Invisible Side of Design
smashingmag
302
51k
The Cult of Friendly URLs
andyhume
79
6.8k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.9k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
310
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
160
Transcript
DNSSEC基礎とRoute53運用 インフラ技術基礎勉強会 #1 2023/02/23 久保田 亨
ネットワークスペシャリスト/情報処理安全確保支援士 情報セキュリティスペシャリスト/応用情報技術者 Oracle Master Gold/LPIC Level3/MSCA/CCNA/ SJC-P(Java)/Python3認定試験 電気通信主任技術者/工事担任者AI/DD総合種 第2種電気工事士/第二級陸上特殊無線技士 など
会社:SI企業 職業:インフラエンジニア 氏名:久保田 亨 自己紹介
DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ
DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS
権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com ② ③ ④ ⑤ Aレコード www 1.1.1.1 ⑥ www.example.comのサイトを見たい時の流れ
DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS
権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com ② Aレコード www 2.2.2.2 2.2.2.2 偽サイト 悪い人がレコード偽造
DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS
権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com Aレコード www 1.1.1.1 ② www.example.comのサイトを見たい 公開鍵 電子署名 秘密鍵 電子署名 電子署名でレコードの正当性を保証
公開鍵 / 秘密鍵 / 証明書 。。。。 このあたりはインフラをやり始めた時は良く分かっていませんでした。 このあたりも DNSSECで実用的な例を見ながら 再学習してみましょう!
DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ
電子署名 (RRSIG) ハッシュ関数 A = 1.1.1.1 www.example.com PC キャッシュ DNS
権威 DNS (ZSKの) 公開鍵 123456 秘密鍵 (ZSK) 電子署名 (RRSIG) A = 1.1.1.1 電子署名 (RRSIG) 123456 A = 1.1.1.1 123456 = 一致 権威DNSサーバ ①レコードに電子証明 キャッシュDNSサーバ ②レコードの電子証明の検証 (ZSKの) 公開鍵 ①レコードに電子署名 ②レコードの電子署名の検証 ハッシュ関数 DNSSECの仕組み(レコード署名)
電子署名 (RRSIG) ハッシュ関数 A = 1.1.1.1 www.example.com PC キャッシュ DNS
権威 DNS (ZSKの) 公開鍵 123456 秘密鍵 (ZSK) 電子署名 (RRSIG) A = 1.1.1.1 電子署名 (RRSIG) 123456 A = 1.1.1.1 123456 = 一致 権威DNSサーバ ①レコードに電子証明 キャッシュDNSサーバ ②レコードの電子証明の検証 (ZSKの) 公開鍵 ①レコードに電子署名 ②レコードの電子署名の検証 ハッシュ関数 DNSSECの仕組み(レコード署名)
秘密鍵 ZSK ZSK:ゾーンに署名する秘密鍵 KSK:公開鍵を署名する秘密鍵 DS:DNSKEYのハッシュ値 DS 秘密鍵 KSK (ZSKの) 公開鍵
(KSKの) 公開鍵 署名 ハッシュ関数 DS 権威DNSサーバ(example.com) 権威DNSサーバ(com) 親のDNSサーバにDSを登録する ことで公開鍵の正当性を保証する レコード 署名 DNSSECの仕組み(公開鍵の検証) この箇所の 正当性を保証
秘密鍵 ZSK ZSK:ゾーンに署名する秘密鍵 KSK:公開鍵を署名する秘密鍵 DS:DNSKEYのハッシュ値 DS 秘密鍵 KSK (ZSKの) 公開鍵
(KSKの) 公開鍵 署名 ハッシュ関数 DS 権威DNSサーバ(example.com) 権威DNSサーバ(com) 親のDNSサーバにDSを登録する ことで公開鍵の正当性を保証する レコード 署名 DNSSECの仕組み(公開鍵の検証) この箇所の 正当性を保証 ①KSKの公開鍵は保証される ②KSKの秘密鍵は保証される ③ZSKの公開鍵は保証される
DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ
Route53とは Amazon Route 53 DNSのフルマネージドサービスです。 1.ドメイン名の登録 2.ドメインのリソースへのルーティング 3.リソースの正常性チェック
Route53でのDNSSEC導入 ◆導入時 ① KMSを使用してKSK(キー署名キー)の作成 ② ゾーンのDNSSEC署名有効化 ③ 信頼チェーンを確立(親ゾーンへのDSレコード登録) ※事前にレジストラ側がDNSSECに対応しているかどうか確認する必要があります
秘密鍵 ZSK DS 秘密鍵 KSK (ZSKの) 公開鍵 (KSKの) 公開鍵 署名
ハッシュ関数 権威DNSサーバ(example.com) レコード 署名 Route53でのDNSSEC運用 AWS ユーザー ◆運用時 ・ ZSKの鍵管理はAWS側でやってくれる ・ KSKの管理はユーザ側で必要 ※鍵のローテが必要な場合 ◆費用 ・ DNSSECを有効にすることでの費用追加はなし ・ KMSの利用料金が追加
・ DNSとDNSSECの基礎 ・ DNSSECの仕組み(レコード署名検証・公開鍵検証) ・ 導入はレジストラ側がDNSSECに対応している必要があります ・ Route53を使用すると導入が楽 / 運用が自動
or 楽です! まとめ
ご清聴頂きありがとうございます
toru_kubota
ks91
miyatakoji
oracle4engineer
rfdnxbro
mimifuwacc
bun913
yueda256
findy_eventslides
yuriemori
pauli
hacusk
mtpooh
shlominoach
jct
techseoconnect
afnizarnur
ryanjones
addyosmani
smashingmag
andyhume
caitiem20
reverentgeek
inesmontani
jacobtomlinson
