HOME»情報処理安全確保支援士掲示板»平成30年秋期 午後Ⅰ 問3 設問5(3)について
投稿する
いいえ。
Eサーバの名前解決結果をCNAMEでクラウドWAFのFQDNに設定します。
今回の問のケースの場合、仮にクラウドWAFのIPアドレスが1つだと仮定します。
しかし、クラウドWAF側の増強作業などで突然IPアドレスが変更される可能性が
あります。そうなった場合、EサーバへクラウドWAF経由で接続できなくなります。
ここでCNAMEでクラウドWAFのFQDNを設定しておけば、クラウドWAFのIPアドレスが
変わったとしても、クラウドWAF業者のDNS側で吸収されることになります。
その結果、Eサーバは問題なくクラウドWAFへの接続を継続することができます。
実際の業務のケースですが、Eサーバの名前解決結果をクラウドWAFのIPアドレスに
することはありえないです。
理由ですが、通常クラウドWAFは複数のIPアドレスをもっています。
それは地理的に近接したクラウドWAFへ誘導して接続するためです。
地理的に近接したクラウドWAFへ誘導するのはクラウドWAF業者のDNSです。
それらのIPアドレスをEサーバのAレコードへ設定してはいけません。
はい。ですがそれほど難しく考える必要はありません。
CNAMEレコード = 別名です。
もっと平たく言えば、Linuxのファイルのシンボリックリンクや
Windowsのファイルのショートカットのようなものです。
A IN CNAME B
ならば、Aが呼ばれたら変わりにBを返すくらいのイメージでOKです。
平成30年秋期 午後Ⅰ 問3 設問5(3)について [1745]
dnさん(No.1)
以下がどのような状況か全くわかりませんので教えていただけないでしょうか。
クラウド型WAFのIPアドレスが変更された場合でも(c:外部DNSサーバ)の設定に影響が出ないように、(d:CNAME)レコードを定義して、そのレコードにEサーバの別名としてクラウド型WAFサービスの事業者が指定するFQDNを記述することが推奨されています。
これはEサーバの名前解決結果をクラウド型WAFのIPアドレスにしている、ということでしょうか。
クラウド型WAFのIPアドレスが変更された場合でも(c:外部DNSサーバ)の設定に影響が出ないように、(d:CNAME)レコードを定義して、そのレコードにEサーバの別名としてクラウド型WAFサービスの事業者が指定するFQDNを記述することが推奨されています。
これはEサーバの名前解決結果をクラウド型WAFのIPアドレスにしている、ということでしょうか。
2024.09.30 17:59
pixさん(No.2)
★SC ダイヤモンドマイスター
>これはEサーバの名前解決結果をクラウド型WAFのIPアドレスにしている、
>ということでしょうか。
いいえ。
Eサーバの名前解決結果をCNAMEでクラウドWAFのFQDNに設定します。
今回の問のケースの場合、仮にクラウドWAFのIPアドレスが1つだと仮定します。
しかし、クラウドWAF側の増強作業などで突然IPアドレスが変更される可能性が
あります。そうなった場合、EサーバへクラウドWAF経由で接続できなくなります。
ここでCNAMEでクラウドWAFのFQDNを設定しておけば、クラウドWAFのIPアドレスが
変わったとしても、クラウドWAF業者のDNS側で吸収されることになります。
その結果、Eサーバは問題なくクラウドWAFへの接続を継続することができます。
実際の業務のケースですが、Eサーバの名前解決結果をクラウドWAFのIPアドレスに
することはありえないです。
理由ですが、通常クラウドWAFは複数のIPアドレスをもっています。
それは地理的に近接したクラウドWAFへ誘導して接続するためです。
地理的に近接したクラウドWAFへ誘導するのはクラウドWAF業者のDNSです。
それらのIPアドレスをEサーバのAレコードへ設定してはいけません。
2024.09.30 18:10
GinSanaさん(No.3)
★SC ブロンズマイスター
もし、WAFのIPアドレスが変わってしまうと、いちいちそのたびに担当者が直す羽目になってしまうので、そうそう変わらないFQDNを設定しておく、というのはある意味常套手段です。FQDNも変わるときは変わりますが・・・。
ネスペだとよくそういう設定方針があります。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000dict-att/2019r01a_nw_pm1_qs.pdf
令和元年PM1問2
のP8とか。
ネスペだとよくそういう設定方針があります。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000dict-att/2019r01a_nw_pm1_qs.pdf
令和元年PM1問2
のP8とか。
2024.09.30 18:10
dnさん(No.4)
pixさま
ご回答ありがとうございます。
ご説明いただいた内容でかなり理解が進みました。
CNAMEレコードには他の権威DNSサーバが扱うFQDNも指定できる、という認識でよろしいでしょうか。
イメージ:
e.server.jp.(Eサーバ) IN CNAME cloud.waf.jp.(クラウド型WAF)
ご回答ありがとうございます。
ご説明いただいた内容でかなり理解が進みました。
CNAMEレコードには他の権威DNSサーバが扱うFQDNも指定できる、という認識でよろしいでしょうか。
イメージ:
e.server.jp.(Eサーバ) IN CNAME cloud.waf.jp.(クラウド型WAF)
2024.09.30 18:20
dnさん(No.5)
GinSanaさま
運用のことなど考えてそのように設定するのですね
ありがとうございます
運用のことなど考えてそのように設定するのですね
ありがとうございます
2024.09.30 18:21
pixさん(No.6)
★SC ダイヤモンドマイスター
>CNAMEレコードには他の権威DNSサーバが扱うFQDNも指定できる、という
>認識でよろしいでしょうか。
はい。ですがそれほど難しく考える必要はありません。
CNAMEレコード = 別名です。
もっと平たく言えば、Linuxのファイルのシンボリックリンクや
Windowsのファイルのショートカットのようなものです。
A IN CNAME B
ならば、Aが呼ばれたら変わりにBを返すくらいのイメージでOKです。
2024.09.30 18:28
dnさん(No.7)
pixさま
とてもよく理解できました。ありがとうございます!
とてもよく理解できました。ありがとうございます!
2024.09.30 19:00