Come mitigare i rischi dei DNS autorevoli fai-da-te

Mentre molti amministratori di rete esternalizzano la gestione dell’infrastruttura DNS (authoritative domain name system) a terzi come IBM® NS1 Connect®, esiste una considerevole comunità di operatori di rete che preferiscono scavare e costruire qualcosa da soli.

Queste architetture DNS autorevoli fai-da-te possono essere messe insieme da vari strumenti. BIND viene spesso utilizzato come strumento open source per la gestione del DNS interno, ma alcune persone lo estendono anche al DNS autorevole esterno. Altri si basano sulle infrastrutture DNS di Microsoft con script sviluppati internamente e altri strumenti.

Il controllo è il motivo principale per cui sceglieresti un sistema fai-da-te per DNS autorevoli. O forse hai una configurazione di rete strana e anomala che richiederebbe naturalmente diverse personalizzazioni anche se una terza parte dovesse fornire il tuo DNS autorevole.

Sfide del DNS autorevole fai-da-te

Sebbene ognuno abbia le proprie ragioni per adottare un sistema fai-da-te per DNS autorevoli, ci sono alcuni svantaggi da considerare:

• I sistemi fai-da-te sono fragili: Se la tua infrastruttura DNS autorevole è basata su BIND o Microsoft, probabilmente hai messo insieme una macchina di script Rube Goldberg per farla funzionare. Nel corso del tempo, la complessità di tali script può diventare difficile da mantenere poiché si tiene conto di nuove funzionalità e requisiti operativi. Una mossa falsa, ovvero un singolo errore di codifica, potrebbe facilmente far crollare l’intera infrastruttura DNS autorevole e portare offline i siti rivolti ai clienti.
• C’è molto lavoro da costruire e mantenere: Ci vuole tempo per aggiornarsi sugli strumenti sottostanti come BIND. È necessario creare e distribuire il sistema. Allora lei dovere mantenerlo, il che non è un compito da poco, soprattutto quando hai a che fare con un sistema così cruciale.
• Il problema degli autobus investiti: Le architetture fai da te funzionano solo finché chi le ha realizzate resta in azienda. Se quella persona lascia l’azienda, la sua conoscenza istituzionale su come sono state costruite le architetture fai-da-te se ne va con lei. Alcune aziende arrivano al punto di aver paura di cambiare qualcosa perché potrebbe facilmente provocare un incidente di inattività dal quale è difficile riprendersi.
• Nessun supporto per l’automazione: I sistemi fai-da-te solitamente non funzionano con alcuna forma di automazione. Le architetture fai-da-te di solito non sono progettate per supportare piattaforme di automazione standard come Ansible o Terraform. È quasi impossibile orchestrare architetture fai-da-te con uno strumento di terze parti. Se disponi di un DNS autorevole fai-da-te, probabilmente sei bloccato con le modifiche manuali.

Tutti questi fattori di solito comportano più tempo, energia e risorse dedicate alla gestione dei DNS autorevoli rispetto a quanto la maggior parte dei team di rete è disposta a spendere. I sistemi fai-da-te sono spesso percepiti come “gratuiti”, ma possono finire per costarti parecchio. Se questi problemi di manutenzione e gestione si traducono in un’interruzione, l’impatto sul business è ancora più profondo.

Backup dei sistemi fai-da-te

L’utilizzo di sistemi fai-da-te per DNS autorevoli senza alcun tipo di backup resiliente e ridondante è fonte di problemi. Trovare la fonte di un errore, in particolare quando si ha un labirinto di script sovrapposti e interdipendenti, può essere un incubo. Può durare diversi giorni per individuare la fonte di un problema e riportare il tuo sito online. La maggior parte dei team operativi semplicemente non dispone di questo tipo di margine di manovra, in particolare per i siti di e-commerce e SaaS che hanno un impatto diretto sulla generazione di entrate.

Niente di tutto ciò significa che devi abbandonare completamente i tuoi sistemi fai-da-te. Significa solo che dovresti avere un piano B se (o davvero, quando) le cose vanno male. Idealmente, avresti una soluzione ridondante in grado di colmare il rallentamento senza alcun impatto sulle prestazioni del sito. Cosa dovrebbe contenere quel sistema ridondante? Pensavamo che non l’avresti mai chiesto.

• Infrastruttura separata: qualsiasi sistema DNS autorevole ridondante dovrebbe essere completamente separato dalla tua infrastruttura esistente in modo da poterti permettere di ridurre le cose sul sistema principale mentre cerchi la fonte degli errori tecnici.
• Dati sulle prestazioni in tempo reale: Le metriche sarebbero importanti anche per un backup fai-da-te, per garantire che tutto venga eseguito correttamente e che il traffico non venga interrotto. Ciò sarebbe particolarmente utile nel caso di un attacco DDoS, per identificare l’origine del problema ed escludere qualsiasi causa architetturale.
• Controlli sanitari: Come fai a sapere se un sito funziona come desideri? È necessario eseguire il failover del sito su un’architettura ridondante perché le prestazioni sono in qualche modo deprecate? Sono necessari controlli e avvisi sullo stato di salute per garantire che le interruzioni del servizio possano essere individuate e gestite rapidamente.

IBM NS1 Connect come backup fai-da-te

Nessuno dovrebbe gestire il proprio DNS autorevole senza una rete di sicurezza. È semplicemente troppo importante, soprattutto se il tuo sito web è il principale generatore di entrate. Ecco perché NS1 Connect offre un sistema fisicamente e logicamente separato per DNS autorevoli ridondanti. Abbiamo iniziato a offrire DNS dedicato come componente aggiuntivo del nostro servizio DNS gestito e ora lo offriamo ai clienti che desiderano semplicemente aggiungere un livello separato e ridondante alla loro architettura esistente.

• Infrastruttura separata: Il DNS dedicato di NS1 utilizza la stessa solida architettura del nostro servizio DNS gestito di punta, ma è configurato su un’infrastruttura separata, unica per una singola azienda. È il massimo in termini di protezione dai tempi di inattività.
• Compatibile con qualsiasi primaria: Il nostro servizio DNS dedicato è disponibile come sistema di backup o secondario per qualsiasi tipo di architettura primaria. Ciò lo rende perfetto per name server autorevoli compatibili con BIND e architetture fai-da-te. Puoi facilmente inserire un servizio DNS dedicato come secondario rispetto a una configurazione fai-da-te. Sarà avviato e pronto a partire in un attimo nel caso in cui si verifichi un disastro.
• Dati sulle prestazioni in tempo reale: La nostra innovativa funzionalità DNS Insights può raccogliere dati critici da qualsiasi configurazione DNS dedicata. Quando si verifica un’interruzione del sistema principale, questi dati possono aiutare a individuare rapidamente l’origine di problemi esterni (come attacchi DDoS) che potrebbero aver bloccato il sistema. Può aiutarti a tornare al sistema primario il prima possibile.
• Controlli sanitari: Il DNS può dirti molto sulle prestazioni delle tue applicazioni, servizi e siti web. NS1 Connect invia automaticamente avvisi per informarti quando le prestazioni del sito sono obsolete o non restituiscono affatto risultati. NS1 utilizza inoltre i dati del controllo dello stato per attivare e instradare la logica di failover in modo da evitare tempi di inattività. Questo tipo di automazione semplicemente non è disponibile nei sistemi fai-da-te.
• Migrazioni facili: NS1 Connect semplifica l’utilizzo del DNS dedicato come secondario per qualsiasi sistema. L’importazione di zone e record nel sistema secondario con file da BIND e altre architetture è facile da eseguire nell’interfaccia utente di NS1 Connect.

L’infrastruttura critica necessita di un livello ridondante

Il DNS autorevole esterno è uno degli elementi più critici dell’infrastruttura della tua rete. È così importante che merita il massimo livello di protezione e garanzia. Il DNS autorevole fai-da-te offre agli amministratori molto controllo, fino a quando la complessità di questi script e strumenti sovrapposti non diventa troppo da supportare.

Anche i sistemi DNS autorevoli più sofisticati e affidabili hanno qualche inconveniente di tanto in tanto. Il DNS dedicato NS1 offre la tranquillità di cui hai bisogno per tenere le luci accese anche quando tutti i dashboard lampeggiano in rosso.

Ulteriori informazioni sul DNS dedicato NS1