オフィス環境及び機械学習向けKubernetesクラスタでのAkamai SIA(DNS ファイアウォール)活用事例

オフィス環境及び機械学習向けKubernetesクラスタでの Akamai SIA(DNS ファイアウォール) 活用事例 Akamai World Tour 2025
Tokyo (2025/07/17) 株式会社PreferredNetworks Chief Security Officer 汐田徹也

38 ⚫ 「DNS ファイアウォールは、(略) DNSのトラフィックを監視およびフィルタリングすることで、IT 環境とユーザーをさまざまな脅威から保護するように設計されたセキュリティソリューションです。」 ⚫https://www.akamai.com/ja/glossary/what-is-a-dns-firewall
⚫ リスクのある通信をブロックすることができる製品 ⚫フィッシングサイト ⚫C&Cサーバ（マルウェアの通信先）等 ⚫ DNS型SecureWebGatewayと呼ぶことも DNSファイアウォールとは

39 基本的には、オフィスのDNSのUpstreamを変更するだけで、配下のデバイスが保護対象となる ⚫ アプリトラフィックに干渉しないため、可用性が担保され、過検知がなければ、導入の工数はほとんどない ⚫Private IP特定のための仕組みを行うには、工夫が必要オフィスへのDNSファイアウォールの導入は簡単オフィス
DNSクエリ DNSサーバプロバイダなど DNSファイアウォール forward先を変更するだけ

40 IPS・プロキシはどうなのか？ ⚫ +) 通信全体・ペイロードも含めて通信を監視できる ⚫ -) 暗号が解ける高価な機器や端末への設定の導入が必要 ⚫現代の通信は、暗号化通信が主流なため改めて通信監視の強みとは？端末監視との役割分担
⚫ 端末で十分な対策を入れられるケース: ⚫通信以外でも、直接EDRなどを導入可能 ⚫通信より取れる情報が多く、対処までできる ⚫ 端末の設定が難しい機器・対策から漏れている機器: ⚫ここを抜けもれなく監視するには通信監視が重要 ⚫暗号化が解けないので、通信先の監視が主 ⚫DNS-FWで低コストかつ意図する監視が可能なぜ、DNSファイアウォールなのか？

41 ⚫ 深くみるのはEDRで、広く浅くみるのはDNSで行うことで、網羅性と高度な監視を緩急つけて低コストに行う EDRとDNSファイアウォールの役割分担オフィス全体通常の業務PC
PC以外の端末悪性プロセス悪性プロセス EDR による監視 DNS-FW による監視攻撃成立深さ重視網羅性重視

42 ⚫ PFNは大規模なGPUや独自アクセラレータの計算クラスタを運用 ⚫社内向け・社外向け（PFCP）それぞれ運用中 ⚫ 用途により、求められるパフォーマンス・研究開発の自由度から、導入するセキュリティ対策は様々 ⚫ 監視ベースラインとして、DNSファイアウォールを導入
⚫網羅性の高さ ⚫ワークロードのコード・パフォーマンスへの影響がほとんどない ⚫プロキシ等はコードから変更する必要があるオフィスだけでなく、機械学習向けクラスタにも導入

43 課題: ⚫ Kubernetesはクラスタ内の名前解決を担当する「クラスタ DNS」が組み込まれている ⚫ ワークロードからの直接の名前解決先を、クラスタDNSから変更するのは困難 ⚫ クラスタDNSを通じた解決だと、ローカルIP(PodのIP)が
特定できず、脅威検出時のインシデント対応が困難 AkamaiSIAとKubernetes監視との相性が良い監視対象Pod DNSクエリクラスタDNS DNSクエリ AkamaiSIA 全部クラスタDNSからの問い合わせだな・・・

44 解決: EDNS Client SubnetでローカルIPを伝搬させることができる ⚫ ローカルIPをDNSクエリ内に含めて名前解決させ、 AkamaiSIAまでローカルIP伝えることが可能 ⚫ SIAではダッシュボードやアラート内でローカルIPを確認
できる AkamaiSIAとKubernetes監視との相性が良い監視対象Pod DNSクエリクラスタDNS DNSクエリ AkamaiSIA 監視対象Pod からです監視対象Podからのクエリなんだね！

45 ⚫ 本来は、CDN事業者などが名前解決元に近い地域のIPを返すための仕組み ⚫ その仕組みをPrivateNetworkで応用し、クライアントの情報を伝搬し、アラートからローカルIPを確認することができ、迅速なアラート対応を実現できている ⚫ この仕組みはAkamaiSIAの特徴で、k8sとの相性が良い
EDNS Client Subnetによるアラート対応の迅速化 DNSクエリ DNSサーバ DNSクエリアジアからの問い合わせですじゃあアジアのIP 返すね！

46 ⚫ DNSファイアウォールは、EDRとの棲み分けを意識した場合、コンパクトな通信監視として有効 ⚫通信監視にしかできない網羅性が魅力 ⚫深い監視は端末の監視に任せる ⚫ PFNではオフィスだけでなく、機械学習クラスタでも利用 ⚫Kubernetesでは組み込みのDNSサーバを利用したいが、その場合もローカルIPを特定する機能が、AkamaiSIAには
そろっている ⚫ どの環境もローカルIPを特定する手段があるAkamaiSIAは、インシデント対応の工数を下げることができているまとめ

オフィス環境及び機械学習向けKubernetesクラスタでのAkamai SIA(DNS ファ...

オフィス環境及び機械学習向けKubernetesクラスタでのAkamai SIA(DNS ファイアウォール)活用事例

Preferred Networks PRO

More Decks by Preferred Networks

Featured

Transcript

オフィス環境及び機械学習向けKubernetesクラスタでの Akamai SIA(DNS ファイアウォール) 活用事例 Akamai World Tour 2025

41 ⚫ 深くみるのはEDRで、広く浅くみるのはDNSで行うことで、網羅性と高度な監視を緩急つけて低コストに行う EDRとDNSファイアウォールの役割分担オフィス全体通常の業務PC

44 解決: EDNS Client SubnetでローカルIPを伝搬させることができる ⚫ ローカルIPをDNSクエリ内に含めて名前解決させ、 AkamaiSIAまでローカルIP伝えることが可能 ⚫ SIAではダッシュボードやアラート内でローカルIPを確認