「BlueCat」:DDI(DNS, DHCP, IPアドレス管理)
目次
「BlueCat」とは
「BlueCat」は、DDI(DNS, DHCP, IPアドレス管理)ソリューションを提供し、クラウド時代の複雑なネットワーク運用に対して、シンプルな一元化と自動化を実現すると共に万全なDNSセキュリティ対策を可能にします。「BlueCat」は、DDI市場グローバルシェア2位のメーカーで、最大手グローバル企業を中心に国内外で多くの実績があります(IDC調査)。「BlueCat」は、下記2つのソリューションで構成されています。
「BlueCat」は「BlueCat integrity」と「BlueCat DNS Edge」で構成
「BlueCat Integrity」が必要な理由
現在、「Windows」や「ISC Bind」等のオープンソース系ツールでDNS・DHCPの管理・運用をされている企業・組織が「BlueCat」に置き換えることで、組織のネットワーク統合やクラウドサービス導入時に検討しなければならない課題をシンプルに解決し、パフォーマンスの向上を図ることができます。
「Windows」や「ISC Bind」等のオープンソース系のDNS・DHCPに対する運⽤課題
マーケットの実に80%が「Windows」や「ISC Bind」などのオープンソース系DNS・DHCPを利用しています。
- 権限設定が適切でないために、⼈的エラーを引き起こしやすい
- 操作ログが追跡できないために、障害時の原因究明に時間がかかる
- ロールバック機能がないために、復旧に時間がかかる
- 脆弱性対応に⼿間がかかる
モバイルデバイスやIoT端末の増加、仮想マシンデプロイの自動化、DevOpsなどにより増え続けるIPアドレスの管理が難しくなってきています。ExcelによるIPアドレス管理(IPAM)は下記のような運用課題があります。
IPアドレス・DNS・DHCPの運用課題
「Excel」による管理はデータ不整合発生の原因になります。
- 「Excel上のデータ」と「実際のIPアドレス」の事実上の二重管理によるデータ不整合
- 使われていないIPアドレスの整理が難しいためIPアドレスの枯渇(特にIPv4)発生
- IPアドレスやMACアドレスの設定変更作業ログが残らないため、設定ミスによるトラブル発生時の原因究明・復旧が困難
- システム担当者が居ないサテライトオフィス・地方/海外拠点における定型管理業務の煩雑さ
「BlueCat Integrity」の機能による課題解決
「管理データ」と「利用実態」の整合性の向上
総合データベース上でIPアドレスやドメイン名などを一元管理できます。
- IPアドレス/MACアドレス/ホストネーム/ドメインなどの情報を関連付けして管理することで、IPを削除(解放)した場合にそれを参照している情報も同時に削除することができるため、ゴミデータを残さない運用を実現。
- 「BlueCat Address Manager」が定期的にルーター/スイッチから定期的にIPアドレスを取得・データベース上で管理(IP検知機能)。
- データベースの登録データと照合して一定期間使用されていない不要と思われるIPアドレスの洗い出しと、それに結び付くソースレコードの棚卸(IP照合機能)。
- 「BlueCat Address Manager」上でのIPアドレスやMACアドレスの他、接続しているスイッチと接続ポートの情報等と合わせて、ネットワーク上のIPアドレスの使用率を可視化。
全操作ログを保有することによる迅速な復旧
「BlueCat Address Manager」上の全操作ログを保持しGUI上で可視化します。これにより、設定ミスによるトラブル発生時にログを遡っての復旧やオペレーションミスの抑制が可能です(ロールバック機能)。
複数拠点(セグメント)の統合データベース(統合管理コンソール)
マルチ言語対応により地方・海外拠点の運用もスムーズ
管理者ごとに編集/閲覧権限を柔軟に設定できます。これにより、各拠点に管理権限を分散委任しての運用が可能になり、システム担当者が居ないサテライトオフィスや地方/海外拠点の運用もスムーズに実施できます。※英語・日本語・中国語のマルチ言語に対応。
APIによる管理業務の簡素化・自動化
デバイス登録・IPアドレス利用申請・DNSレコード登録・レポーティングなどの管理定型業務をPythonベースのWebユーティリティツールである「BlueCat Gateway」を利用して、簡素化・自動化(ワークフロー化)も可能です。
お客様課題
- デバイス登録、IPアドレス利用申請、DNSレコード登録、などの業務負荷が管理者に集中
- 定期的なレポート作業に対して、管理情報の棚卸しなど膨大な時間がかかる
- ServiceNowやAnsibleを導入しているが、データ参照はツールが分かれており手動で確認が必要
BlueCat解決方法
- 統合データベースを基に、API、BlueCat Gatewayにより、自動化の促進
- 定型業務の簡易画面による自動化
- 各種他システムとの連携による自動化
- 情報の一括生成・変更
PythonベースのWebユーティリティツールである「BlueCat Gateway」が下記の機能を提供します。
- サーバとネットワーク機器へのIPプロビショニングの自動化
- セルフサービスポータルでの入力情報の有効性と完全性を確保
- 素早い導入を実現するセルフサービス処理のテンプレート
- ワークフローと役割分担機能
「GitHub BlueCat Labs」にてサンプルスクリプトを公開しています。
「BlueCat DNS Edge」が必要な理由
リモートワーク&ハイブリッドクラウド時代のネットワークとセキュリティの課題
「働き方改革」や「感染症対策」の一環として、いつでもどこでも働ける環境整備のために社内ネットワーク(イントラなど)やパブリッククラウド、SaaSサービスに自由にアクセスして仕事を進める「ハイブリッドクラウド時代」を迎えています。しかしその一方で、
- ユーザーがアクセスしたいアプリケーションが社内環境にあるのか、Proxyなどを経由して社外にアクセスするのか、Proxyを経由せず直接アクセスするのかを確認するプロセスが必要になるため、DNS(名前解決)サーバやプロキシサーバに高い負荷と複雑な運用が必要。
- ユーザーの振る舞いに対して、どのユーザーがどの端末で何をしようとしているのか、ゼロトラストを実現するためのログ収集が不十分。
- アプリケーションのクラウド上展開が加速すると同時に権威DNS(同じゾーン)が複数に散らばり、どこからアクセス来ても名前解決できるように管理が必要になるため、DNSの多重管理が必要。
といった課題がこれまでのDNS製品にありました。
日々の運用でDNSサーバ・プロキシサーバに負荷がかかり、データの収集も大変
「BlueCat DNS Edge」の機能による課題解決
「BlueCat DNS Edge」は、下記の機能によりネットワークとセキュリティの課題を解決します。
- 単一のクラウドコントローラー提供
個社ごとに提供されるクラウド上の一つのインターフェイスで運用が可能(ログ保持/分析、Threat Protection、Policy設定)なため、DNS初心者でも運用を可能にします。 - Namespace機能
BlueCat DNS Edgeが全DNSクエリ情報のログを保持し、キャッシュDNSサーバー(リゾルバ)としてフォワード先(予め複数登録可能)に振り分けを行います。これにより、ネットワーク経路を最適化しコスト削減とアプリケーションのパフォーマンス向上を可能にします。 - ドメインリスト機能とポリシー設定
「Microsoft 365」などの安全なクラウドへのアクセスに対して、そのドメインリストを許可リストとして登録することで、Proxyを経由せず拠点などから直接アクセスさせるDNSベースでのインターネットブレークアウトを実現します。これにより、複雑なPACファイル運用から開放されコスト削減に繋がります。 また、IoTデバイスなどに対して、接続できる先を特定の接続先だけに絞る(許可リストを限定する)ことでセキュリティリスクを低減できます。エージェントレスなため、エージェントを入れられない端末に対しても容易にセキュリティ対策が可能です。
仮想アプライアンス「DNS Edge Service Point」がDNSサーバやプロキシサーバの代わりに名前解決(リゾルバ)やフォワード先(複数登録可能)を決定し、ユーザーからのアクセスを適切に処理します。
「Cisco Umbrella」x「BlueCat DNS Edge」連携
「Cisco Umbrella」x「BlueCat DNS Edge」が統合することにより、拠点やリモートワークユーザーによる外部のネットワークトラフィックに加え、内部の脅威状況をも可視化することが可能となります。セキュリティ担当者に対して、エンドポイントで使用されているIPアドレスと脅威インテリジェンスを照合し、悪意のある活動が広がる前に、迅速かつ効果的に「North-South(社内外)」と「East-West(社内間)」のネットワーク全体に包括的な脅威対策と可視化を実現します。
- 「Cisco Umbrella」上でDNS Edgeから振り分けられたQuery上に記載されたソースIPアドレスを使用して可視化。
- 「DNS Edge」からDNSクエリに対する「Cisco Umbrella」でのInspectionを実行可能。その後、該当端末がどの社内アプリケーションへ接続していたかのアクティビティを調査。
「BlueCat Integrity」の提供形態
「BlueCat Integrity」はお客様の環境に合わせて物理アプライアンス・仮想アプライアンス・パブリッククラウド上に展開できます。
物理アプライアンス
- ハードウェア+BlueCatライセンス
- ハードウェアサポート+BlueCatサポート
仮想アプライアンス(ソフトウェア)
- パーペチュアルライセンス+BlueCatサポート または 年間サブスクリプションライセンス
※Integrity 9.3のサポートハイパーバイザー(2021年5月時点) - VMware vSphere:ESXi 7.0, 6.7
- Microsoft Hyper-V:Windows Server 2019, 2016
- RedHat KVM:Enterprise Linux 8
- Nutanix AHV:AOS 5.16
パブリッククラウドバーチャルアプライアンス(ソフトウェア)
- AWS, Azure, GCP上への展開が可能
- パーペチュアルライセンス+BlueCatサポート または 年間サブスクリプションライセンス
※Google Cloud Platform(GCP)ではDNSのみサポート。BlueCat Address Manager, DHCPは現状未サポート。
BlueCat Address Manager(BAM) 機能要件
| BlueCat Address Manager | BAM-1000 | BAM-5000 | BAM-7000 |
|---|---|---|---|
| BAM上のAPI機能利用 | × | ○ | ○ |
| BAMへ接続可能な BDDS台数 | 4 | 30 | ∞ |
| BAM配下のBDDSでの Threat Protection使用 | × | ○ | ○ |
| BlueCat Gateway利用権 | × | ○ | ○ |
| 物理/仮想 | × | ○ | ○ |
| パブリッククラウド上の利用 | 仮想のみ | 物理 or 仮想 | 物理 or 仮想 |
| 登録可能オブジェクト数 | 10,000未満 | 4,000,000未満 | ∞ |
| 想定規模 | 中堅企業 | 大企業(国内) | 大企業(グローバル) |
BlueCat DNS/DHCP Server(BDDS)機能要件
| BlueCat DNS/DHCP Server(BDDS) | BDDS25 | BDDS50 | BDDS75 |
|---|---|---|---|
| DNSパフォーマンス(QPS) | 60,000 | 150,000 | 230,000 |
| DHCPパフォーマンス(LPS) | 1,000 | 1,500 | 2,000 |
| Threat Protection (DNS)使用 | × | ○ | ○ |
| 物理/仮想 | 物理 or 仮想 | 物理 or 仮想 | 物理 or 仮想 |
| パブリッククラウド上の利用 | ○ | ○ | ○ |
| アサイン可能メモリ一覧 | 8GB | 16GB | 32GB |
| アプライアンス時のRAID対応 | × | × | × |
「BlueCat Integrity」の構成例
①国内事例:構成例(物理アプライアンス東西でXHA構成)
- BAM5000 x2台, BDDS25 x4台により物理アプライアンスで構成
- BAMは、両サイトでDB Replicationにより冗長化構成を組む想定
- BDDSは、両サイトでxHA(クロスハイアベイラビリティ)により冗長化構成を組む想定
②国内事例:構成例(仮想アプライアンス構成)
- BAM5000V x2台,BDDS50V x2台により仮想アプライアンスで構成
- 各サイト内はハイパーバイザーのHA機能で冗長構成のため、xHA構成の必要はなし
- Production側でBAMのバックアップを取得し、Production側の有事の際は手動でDR側にリストア
- BAMが停止してもBDDSのサービスは継続可能
③国内事例:構成例(Public Cloud アプライアンス構成)
- BAM5000V x1台,BDDS50V x2台により構成
- 各リージョン内のHW障害は、クラウドのインスタンス復旧機能により冗⻑化を想定
- BAMは「DB Replication機能」により、BDDSは[DHCP Failover機能]により冗⻑化
- Tokyo側でBAMのバックアップを取得、BAMが停⽌してもBDDSのサービスは継続可能
「BlueCat DNS Edge」の提供形態
「BlueCat DNS Edge」は、会社ごとに「Customer Instance(DNS Edge Cloud)」を提供し、「Service Point」は仮想アプライアンス(VMware vSphere)、もしくはパブリッククラウド(AWS, Azure)上、さらに、BDDS上に同居させる形で展開できます(要サイジング)。
仮想アプライアンス(ソフトウェア)もしくはパブリッククラウド
- IP数課金:最低3,000IP〜
- 年間サブスクリプションのみ
- 「DNS Edge Service Point」のサポートハイパーバイザー(2021年5月時点)
- VMware vSphere:ESXi 7.0, 6.7
or
AWS / Azure Virtual Appliance
「BlueCat Integrity」および「BlueCat DNS Edge」の製品デモ(管理画面やログ取得内容等を実際の画面で説明)や「検証ライセンス」のご提供が可能です。ディーアイエスサービス&ソリューションまでお気軽にご相談ください。
