Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNSSEC基礎とRoute53運用

Avatar for Toru_Kubota Toru_Kubota
February 23, 2023
Technology
0
1.9k

 DNSSEC基礎とRoute53運用

Avatar for Toru_Kubota

Toru_Kubota

February 23, 2023
Tweet

More Decks by Toru_Kubota

See All by Toru_Kubota
「どこにある?」の解決。生成AI(RAG)で効率化するガバメントクラウド運用
Avatar for Toru_Kubota toru_kubota
2
650
いつも初心者向けの記事に助けられているので得意分野では初心者向けの記事を書きます
Avatar for Toru_Kubota toru_kubota
2
480
AWSの利点
Avatar for Toru_Kubota toru_kubota
0
200
オンプレミス市監視村の人達と学ぶCloudWatch基礎
Avatar for Toru_Kubota toru_kubota
2
730
AWSサービスメニュー開発をしていてAWSを好きだ!と感じた瞬間
Avatar for Toru_Kubota toru_kubota
0
300
Security Hubのセキュリティスコアはどうやって計算されるか
Avatar for Toru_Kubota toru_kubota
0
670
本当のガバクラ基礎
Avatar for Toru_Kubota toru_kubota
0
1.1k
本当のAWS基礎
Avatar for Toru_Kubota toru_kubota
3
1.2k
TransitGatewayの基礎
Avatar for Toru_Kubota toru_kubota
0
570

Other Decks in Technology

See All in Technology
アクセスピークを制するオートスケール再設計: 障害を乗り越えKEDAで実現したリソース管理の最適化
Avatar for M-Yamashita myamashii
1
250
大量配信システムにおけるSLOの実践:「見えない」信頼性をSLOで可視化
Avatar for PLAID Tech plaidtech
PRO
0
260
TLSから見るSREの未来
Avatar for atpons atpons
2
190
インフラ寄りSREの生存戦略
Avatar for SansanTech sansantech
PRO
8
3.3k
AIエージェントが書くのなら直接CloudFormationを書かせればいいじゃないですか何故AWS CDKを使う必要があるのさ
Avatar for watany watany
14
5.9k
衛星運用をソフトウェアエンジニアに依頼したときにできあがるもの
Avatar for Takahiro Miyoshi sankichi92
1
210
2025-07-06 QGIS初級ハンズオン「はじめてのQGIS」
Avatar for kou_kita kou_kita
0
180
PO初心者が考えた ”POらしさ”
Avatar for (Ha)rady nb_rady
0
220
事例で学ぶ!B2B SaaSにおけるSREの実践例/SRE for B2B SaaS: A Real-World Case Study
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
1
270
ゼロからはじめる採用広報
Avatar for Yuta Horii yutadayo
3
1k
【LT会登壇資料】TROCCO新コネクタ「スマレジ」を活用した直営店データの分析
Avatar for sho choma kazari0425
1
140
CDKTFについてざっくり理解する!!~CloudFormationからCDKTFへ変換するツールも作ってみた~
Avatar for モブエンジニア masakiokuda
1
190

Featured

See All Featured
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
278
23k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.6k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.7k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
980
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
6
320

Transcript

  1. DNSSEC基礎とRoute53運用 インフラ技術基礎勉強会 #1 2023/02/23 久保田 亨

  2. ネットワークスペシャリスト/情報処理安全確保支援士 情報セキュリティスペシャリスト/応用情報技術者 Oracle Master Gold/LPIC Level3/MSCA/CCNA/ SJC-P(Java)/Python3認定試験 電気通信主任技術者/工事担任者AI/DD総合種 第2種電気工事士/第二級陸上特殊無線技士 など

    会社:SI企業 職業:インフラエンジニア 氏名:久保田 亨 自己紹介

  3. DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ

  4. DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS

    権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com ② ③ ④ ⑤ Aレコード www 1.1.1.1 ⑥ www.example.comのサイトを見たい時の流れ

  5. DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS

    権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com ② Aレコード www 2.2.2.2 2.2.2.2 偽サイト 悪い人がレコード偽造

  6. DNSとDNSSECの基礎 ①www.example.com PC キャッシュ DNS 権威 DNS root 権威 DNS

    権威 DNS .com example.com Aレコード www 1.1.1.1 1.1.1.1 www.example.com Aレコード www 1.1.1.1 ② www.example.comのサイトを見たい 公開鍵 電子署名 秘密鍵 電子署名 電子署名でレコードの正当性を保証

  7. 公開鍵 / 秘密鍵 / 証明書 。。。。 このあたりはインフラをやり始めた時は良く分かっていませんでした。 このあたりも DNSSECで実用的な例を見ながら 再学習してみましょう!

  8. DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ

  9. 電子署名 (RRSIG) ハッシュ関数 A = 1.1.1.1 www.example.com PC キャッシュ DNS

    権威 DNS (ZSKの) 公開鍵 123456 秘密鍵 (ZSK) 電子署名 (RRSIG) A = 1.1.1.1 電子署名 (RRSIG) 123456 A = 1.1.1.1 123456 = 一致 権威DNSサーバ ①レコードに電子証明 キャッシュDNSサーバ ②レコードの電子証明の検証 (ZSKの) 公開鍵 ①レコードに電子署名 ②レコードの電子署名の検証 ハッシュ関数 DNSSECの仕組み(レコード署名)

  10. 電子署名 (RRSIG) ハッシュ関数 A = 1.1.1.1 www.example.com PC キャッシュ DNS

    権威 DNS (ZSKの) 公開鍵 123456 秘密鍵 (ZSK) 電子署名 (RRSIG) A = 1.1.1.1 電子署名 (RRSIG) 123456 A = 1.1.1.1 123456 = 一致 権威DNSサーバ ①レコードに電子証明 キャッシュDNSサーバ ②レコードの電子証明の検証 (ZSKの) 公開鍵 ①レコードに電子署名 ②レコードの電子署名の検証 ハッシュ関数 DNSSECの仕組み(レコード署名)

  11. 秘密鍵 ZSK ZSK:ゾーンに署名する秘密鍵 KSK:公開鍵を署名する秘密鍵 DS:DNSKEYのハッシュ値 DS 秘密鍵 KSK (ZSKの) 公開鍵

    (KSKの) 公開鍵 署名 ハッシュ関数 DS 権威DNSサーバ(example.com) 権威DNSサーバ(com) 親のDNSサーバにDSを登録する ことで公開鍵の正当性を保証する レコード 署名 DNSSECの仕組み(公開鍵の検証) この箇所の 正当性を保証

  12. 秘密鍵 ZSK ZSK:ゾーンに署名する秘密鍵 KSK:公開鍵を署名する秘密鍵 DS:DNSKEYのハッシュ値 DS 秘密鍵 KSK (ZSKの) 公開鍵

    (KSKの) 公開鍵 署名 ハッシュ関数 DS 権威DNSサーバ(example.com) 権威DNSサーバ(com) 親のDNSサーバにDSを登録する ことで公開鍵の正当性を保証する レコード 署名 DNSSECの仕組み(公開鍵の検証) この箇所の 正当性を保証 ①KSKの公開鍵は保証される ②KSKの秘密鍵は保証される ③ZSKの公開鍵は保証される

  13. DNSと DNSSECの 基礎 DNSSEC 仕組み Route53 運用 本日のお話の流れ

  14. Route53とは Amazon Route 53 DNSのフルマネージドサービスです。 1.ドメイン名の登録 2.ドメインのリソースへのルーティング 3.リソースの正常性チェック

  15. Route53でのDNSSEC導入 ◆導入時 ① KMSを使用してKSK(キー署名キー)の作成 ② ゾーンのDNSSEC署名有効化 ③ 信頼チェーンを確立(親ゾーンへのDSレコード登録) ※事前にレジストラ側がDNSSECに対応しているかどうか確認する必要があります

  16. 秘密鍵 ZSK DS 秘密鍵 KSK (ZSKの) 公開鍵 (KSKの) 公開鍵 署名

    ハッシュ関数 権威DNSサーバ(example.com) レコード 署名 Route53でのDNSSEC運用 AWS ユーザー ◆運用時 ・ ZSKの鍵管理はAWS側でやってくれる ・ KSKの管理はユーザ側で必要 ※鍵のローテが必要な場合 ◆費用 ・ DNSSECを有効にすることでの費用追加はなし ・ KMSの利用料金が追加

  17. ・ DNSとDNSSECの基礎 ・ DNSSECの仕組み(レコード署名検証・公開鍵検証) ・ 導入はレジストラ側がDNSSECに対応している必要があります ・ Route53を使用すると導入が楽 / 運用が自動

    or 楽です! まとめ

  18. ご清聴頂きありがとうございます