[ad_1]
La distinzione tra reti “interne” ed “esterne” è sempre stata in qualche modo falsa.
I clienti sono abituati a pensare ai firewall come alla barriera tra gli elementi di rete che esponiamo a Internet e i sistemi back-end accessibili solo agli addetti ai lavori. Tuttavia, poiché i meccanismi di distribuzione di applicazioni, siti Web e contenuti diventano sempre più decentralizzati, tale barriera sta diventando sempre più permeabile.
Lo stesso vale per le persone che gestiscono questi elementi della rete. Molto spesso, lo stesso team (o la stessa persona!) è responsabile della gestione dei percorsi di rete interni e dei sistemi di distribuzione esterni.
In questo contesto, è naturale che i sistemi DNS, DHCP e IPAM (DDI), utilizzati per gestire le reti “interne”, si trasformino anche nella gestione di DNS autorevoli esterni. Nelle piccole aziende, questo problema di solito significa che un responsabile IT avvia un server BIND per gestire il traffico di rete su entrambi i lati del firewall. Nelle aziende di medie e grandi dimensioni viene spesso utilizzata una soluzione DDI disponibile in commercio anche per il DNS autorevole.
La maggior parte degli amministratori di rete utilizza soluzioni DDI per DNS autorevole perché è un sistema in meno da gestire. Puoi gestire entrambi i lati della rete da un’unica interfaccia. Combinare la gestione della rete interna ed esterna significa anche che il team deve solo imparare come utilizzare un singolo sistema, eliminando così la necessità di specializzarsi in un lato o nell’altro della rete.
Gli svantaggi dell’utilizzo di DDI per DNS autorevoli
Anche se la semplicità e la facilità d’uso spesso rendono DDI la soluzione predefinita per il DNS autorevole, ci sono alcune valide ragioni per cui i due sistemi dovrebbero essere separati.
Sicurezza
Quando esegui DNS autorevole sugli stessi server e sistemi della tua soluzione DDI interna, c’è il rischio che un attacco DDoS possa distruggere entrambi i lati della rete. Questo non è un rischio insignificante. La frequenza e la gravità degli attacchi DDoS continuano ad aumentare e la maggior parte delle aziende potrebbe sperimentarne uno prima o poi.
L’utilizzo della stessa infrastruttura per operazioni interne ed esterne non fa altro che aumentare l’impatto di un’interruzione e aumentare significativamente i tempi di ripristino. È già abbastanza grave se non riesci a connetterti con gli utenti finali. È molto peggio quando non puoi accedere nemmeno ai sistemi interni.
Sfortunatamente, la maggior parte delle aziende non investirà nella capacità del server o nelle contromisure difensive necessarie per assorbire un attacco DDoS significativo. Il pagamento di tutta quella capacità inattiva (insieme alle persone e alle risorse necessarie per mantenerla nel tempo) diventa costoso molto rapidamente.
La separazione del DNS autorevole dai sistemi DDI interni crea un divario naturale che limita l’esposizione in caso di interruzione correlata a DDoS. Sebbene ciò significhi che ci sono due sistemi da gestire, significa anche che tali sistemi non verranno disattivati contemporaneamente.
Scala
L’infrastruttura di rete è costosa da acquistare e mantenere. (Fidati di noi, lo sappiamo!) La maggior parte delle aziende di piccole e medie dimensioni che utilizzano soluzioni DDI per DNS autorevoli non hanno le risorse per creare più di tre o quattro sedi per gestire il traffico in entrata da tutto il mondo.
Man mano che le aziende crescono, il carico su tali server diventa rapidamente insostenibile. L’esperienza sia dei clienti che degli utenti interni inizia a soffrire sotto forma di maggiore latenza e scarse prestazioni delle applicazioni. È molto difficile o impossibile indirizzare il traffico in base alla geografia o ad altri fattori: le soluzioni DDI semplicemente non sono progettate per farlo.
Al contrario, le soluzioni gestite per DNS autorevoli forniscono istantaneamente una copertura mondiale con capacità di riserva. Gli utenti finali ottengono un’esperienza coerente, che può essere ottimizzata per tenere conto della geografia o di molti altri fattori operativi. Gli utenti interni non attingono alle stesse risorse per il proprio lavoro. Ottengono inoltre un’esperienza utente coerente e prevedibile.
Limitazioni dell’architettura BIND
Le soluzioni DDI sono progettate principalmente (o esclusivamente) per la gestione della rete interna, non con l’obiettivo di fornire una soluzione DNS autorevole collegata a Internet. I fornitori di DDI supportano a malincuore casi d’uso DNS autorevoli perché riconoscono che una certa percentuale dei loro clienti lo richiede. Eppure non è qualcosa che sono disposti a sostenere a lungo termine. Questo è il motivo per cui la maggior parte dei fornitori DDI offre plug-in e partnership come un modo per esternalizzare la funzionalità DNS autorevole ad altri fornitori.
Dal punto di vista architettonico, questo di solito significa che il provider DDI agisce come primario nascosto, mentre il partner DNS autorevole è pubblicizzato come un sistema “pubblico secondario”: una soluzione scomoda che può limitare la funzionalità della rete. Le architetture BIND utilizzate dalla maggior parte dei fornitori DDI limitano la loro capacità di supportare casi d’uso comuni di DNS autorevoli, in particolare quando è coinvolto un partner.
Il supporto per i record ALIAS all’apice è un buon esempio. Questa soluzione alternativa è comune nei siti con configurazioni back-end complesse, ma sfortunatamente è impossibile da implementare con DDI dipendente da BIND, rendendo difficile da gestire il reindirizzamento dei nomi all’apice della zona.
I fornitori DDI di solito non supportano nemmeno la gestione del traffico, ma è una funzionalità di tabella per le soluzioni DNS autorevoli. È importante considerare che anche la gestione del traffico di base basata sulla posizione geografica può migliorare significativamente i tempi di risposta e l’esperienza dell’utente.
Costo
Dal punto di vista dell’infrastruttura, la distribuzione di una soluzione DDI per DNS autorevole è simile alla creazione della propria soluzione autorevole. È necessario acquistare tutti i server, distribuirli in tutto il mondo e mantenerli nel tempo. L’unica differenza è da chi stai acquistando quei server, in questo caso, un fornitore DDI.
Come notato in precedenza, i costi significativi associati all’acquisizione e all’implementazione di una soluzione in questo modo indurranno solitamente le aziende a ridurre al minimo il numero di server acquistati. Ciò a sua volta porta a una copertura globale limitata e a prestazioni ridotte rispetto a un servizio DNS gestito come NS1. Non solo paghi di più, ma ottieni anche un ingombro ridotto che porta a un’esperienza utente scadente.
Il calcolo dei costi non termina nemmeno con la distribuzione iniziale. Anche il funzionamento e la manutenzione dell’infrastruttura DDI rappresentano un compito impegnativo, che richiede una significativa iniezione di risorse dedicate (e specializzate) nel tempo. Se affidi la manutenzione a un fornitore DDI, preparati a pagare ancora di più per un contratto di servizi professionali. Le aziende DDI hanno spesso cicli di aggiornamento notoriamente brevi delle loro apparecchiature, quindi la “manutenzione” spesso equivale alla “sostituzione” in un periodo di 3-5 anni.
Dal punto di vista dei costi, il vantaggio di un servizio DNS gestito come NS1 rispetto a un fornitore DDI è evidente. I servizi DNS gestiti forniscono una copertura globale estesa, resilienza integrata e un’ampia gamma di funzionalità a una frazione di quanto addebiterebbe un fornitore DDI. Aggiungete a ciò la mancanza di costi di manutenzione e aggiornamento, ed è davvero un gioco da ragazzi.
È vero che i provider DNS gestiti addebiteranno costi di utilizzo laddove gli apparecchi DDI possono gestire un numero enorme di query. Tuttavia, anche tenendo conto di questo volume di query, il prezzo di una soluzione gestita è estremamente interessante.
Un percorso di scorrimento dal DDI al DNS autorevole gestito
Se stai già utilizzando una soluzione DDI per DNS autorevole, il passaggio a un provider gestito può sembrare inizialmente un po’ scoraggiante. Ci sono molte considerazioni operative a cui pensare come parte di un cutover, e c’è un rischio intrinseco nel capovolgere definitivamente l’interruttore.
Ecco perché consigliamo di iniziare con NS1 come opzione secondaria per il DNS autorevole. Ciò consente ai team di rete di testare il sistema con un po’ di traffico di produzione e di abituarsi al suo funzionamento. Nel corso del tempo, potrai migrare gradualmente il tuo traffico, eliminando gradualmente il carico di lavoro del sistema DDI per carico di lavoro e ampliando la tua soluzione DNS gestita.
Pronto a scoprire i vantaggi della soluzione DNS gestito di NS1 rispetto a DDI? Contattaci oggi e ottieni una prova di concetto.
Scopri i vantaggi della soluzione DNS gestito di NS1
questo articolo è stato utile?
SÌNO
[ad_2]
Source link
