Sondringen mellem "interne" og "eksterne" netværk har altid været noget falsk.
Kunder er vant til at tænke på firewalls som barrieren mellem netværkselementer, vi udsætter for internettet, og back-end-systemer, der kun er tilgængelige for insidere. Men efterhånden som leveringsmekanismerne for applikationer, websteder og indhold bliver mere decentraliserede, bliver denne barriere mere gennemtrængelig.
Det samme gælder for de personer, der administrerer disse netværkselementer. Ganske ofte er det samme team (eller den samme person!) ansvarlig for at administrere interne netværksveje og eksterne leveringssystemer.
I denne sammenhæng er det kun naturligt, at de DNS-, DHCP- og IPAM-systemer (DDI), der plejede at styre "interne" netværk, også ville bløde ind i administrationen af ekstern, autoritativ DNS. I små virksomheder betyder dette problem sædvanligvis, at en it-chef opretter en BIND-server for at håndtere netværkstrafik på begge sider af firewallen. For mellemstore og større virksomheder bruges en kommercielt tilgængelig DDI-løsning ofte også til autoritativ DNS.
De fleste netværksadministratorer bruger DDI-løsninger til autoritativ DNS, fordi det er et system mindre at administrere. Du kan administrere begge sider af netværket fra en enkelt grænseflade. Kombinationen af intern og ekstern netværksstyring betyder også, at teamet kun behøver at lære at betjene et enkelt system, hvilket eliminerer behovet for at specialisere sig i den ene eller anden side af netværket.
Ulemperne ved at bruge DDI til autoritativ DNS
Mens enkelhed og brugervenlighed ofte gør DDI til standardløsningen for autoritativ DNS, er der nogle stærke grunde til, at de to systemer bør være adskilte.
Sikkerhed
Når du kører autoritativ DNS på de samme servere og systemer som din interne DDI-løsning, er der risiko for, at et DDoS-angreb kan ødelægge begge sider af dit netværk. Dette er ikke en ubetydelig risiko. Hyppigheden og sværhedsgraden af DDoS-angreb fortsætter med at stige, hvilket de fleste virksomheder kan opleve et på et tidspunkt.
Brug af den samme infrastruktur til interne og eksterne operationer øger kun virkningen af et afbrydelse og øger retableringstider markant. Det er slemt nok, hvis du ikke kan komme i kontakt med slutbrugere. Det er langt værre, når man heller ikke kan få adgang til interne systemer.
Desværre vil de fleste virksomheder ikke investere i den serverkapacitet eller de defensive modforanstaltninger, det ville tage for at absorbere et betydeligt DDoS-angreb. At betale for al den ledige kapacitet (sammen med de mennesker og ressourcer, der skal til for at vedligeholde den over tid) bliver virkelig hurtigt dyrt.
Adskillelse af autoritativ DNS fra interne DDI-systemer skaber et naturligt hul, der begrænser eksponeringen i tilfælde af et DDoS-relateret udfald. Selvom det betyder, at der er to systemer at administrere, betyder det også, at disse systemer ikke går ned på samme tid.
Scale
Netværksinfrastruktur er dyr at anskaffe og vedligeholde. (Stol på os, vi ved det!) De fleste af de små eller mellemstore virksomheder, der bruger DDI-løsninger til autoritativ DNS, har ikke ressourcerne til at oprette mere end tre eller fire lokationer til at håndtere indgående trafik fra hele verden.
Efterhånden som virksomheder vokser, bliver belastningen på disse servere hurtigt uholdbar. Oplevelsen af både kunder og interne brugere begynder at lide i form af øget latenstid og dårlig applikationsydelse. Det er enten meget svært eller umuligt at styre trafik baseret på geografi eller andre faktorer – DDI-løsninger er simpelthen ikke bygget til at gøre det.
I modsætning, administrerede løsninger til autoritativ DNS giver øjeblikkeligt verdensomspændende dækning med kapacitet til overs. Slutbrugere får en ensartet oplevelse, som kan optimeres til at tage højde for geografi eller mange andre operationelle faktorer. Interne brugere trækker ikke fra de samme ressourcer til deres eget arbejde. De får også en ensartet, forudsigelig brugeroplevelse.
BIND arkitektur begrænsninger
DDI-løsninger er designet primært (eller udelukkende) til intern netværksstyring, ikke med det formål at levere en internet-vendt autoritativ DNS-løsning. DDI-leverandører støtter modvilligt autoritative DNS-brugssager, fordi de erkender, at en vis procentdel af deres kunder kræver det. Alligevel er det ikke noget, de er parate til at støtte på lang sigt. Dette er grunden til, at de fleste DDI-leverandører tilbyder plug-ins og partnerskaber som en måde at outsource autoritativ DNS-funktionalitet til andre udbydere.
Arkitektonisk betyder dette normalt, at DDI-udbyderen fungerer som en skjult primær, mens den autoritative DNS-partner annonceres som et "offentligt sekundært" system: en akavet løsning, der kan begrænse funktionaliteten af dit netværk. De BIND-arkitekturer, som de fleste DDI-leverandører bruger, begrænser deres evne til at understøtte almindelige autoritative DNS-brugssager, især når en partner er involveret.
Støtte til ALIAS-registreringer på toppen er et godt eksempel. Denne løsning er almindelig på websteder med komplekse backend-konfigurationer, men det er desværre umuligt at implementere med BIND-afhængig DDI, hvilket gør navneomdirigering ved zonespidsen vanskelig at håndtere.
DDI-leverandører understøtter normalt ikke trafikstyring enten, men det er en bordindsatsfunktion til autoritative DNS-løsninger. Det er en vigtig overvejelse, at selv grundlæggende trafikstyring baseret på geografisk placering kan forbedre svartider og brugeroplevelse markant.
Koste
Fra et infrastrukturperspektiv svarer implementering af en DDI-løsning til autoritativ DNS til at bygge din egen autoritative løsning. Du skal købe alle serverne, installere dem rundt om i verden og vedligeholde dem over tid. Den eneste forskel er, hvem du køber disse servere fra, i dette tilfælde en DDI-leverandør.
Som nævnt ovenfor vil de betydelige omkostninger forbundet med at anskaffe og implementere en løsning på denne måde normalt få virksomheder til at minimere antallet af servere, de køber. Det fører igen til begrænset global dækning og nedsat ydeevne sammenlignet med en administreret DNS-tjeneste som NS1. Ikke alene betaler du mere, du får også et mindre fodaftryk, der fører til en dårlig brugeroplevelse.
Omkostningsberegningen slutter heller ikke ved den første implementering. Drift og vedligeholdelse af DDI-infrastruktur er også et tungt løft, der kræver en betydelig tilførsel af dedikerede (og specialiserede) ressourcer over tid. Hvis du outsourcer den vedligeholdelse til en DDI-leverandør, skal du være parat til at betale endnu mere for en professionel servicekontrakt. DDI-virksomheder har ofte notorisk korte opdateringscyklusser på deres udstyr, så "vedligeholdelse" vil ofte svare til "udskiftning" på en 3-5 års tidsramme.
Fra et omkostningsperspektiv er fordelen ved en administreret DNS-tjeneste som NS1 i forhold til en DDI-leverandør krystalklar. Administrerede DNS-tjenester give udvidet global dækning, indbygget modstandskraft og et stort udvalg af funktionalitet til en brøkdel af, hvad en DDI-leverandør ville opkræve. Læg dertil manglen på vedligeholdelse og opdateringsomkostninger, og det er virkelig en no-brainer.
Det er rigtigt, at administrerede DNS-udbydere vil opkræve brugsomkostninger, hvor DDI-apparater kan håndtere et stort antal forespørgsler. Men selv med den forespørgselsvolumen indregnet, er prissætningen af en administreret løsning ekstremt attraktiv.
En glidevej fra DDI til administreret autoritativ DNS
Hvis du allerede bruger en DDI-løsning til autoritativ DNS, kan skiftet til en administreret udbyder virke lidt skræmmende i starten. Der er en masse operationelle overvejelser at tænke på som en del af en cutover, og der er en iboende risiko ved definitivt at vende kontakten.
Derfor anbefaler vi at starte med NS1 som en sekundær mulighed for autoritativ DNS. Dette giver netværksteams mulighed for at teste systemet med en lille smule produktionstrafik og vænne sig til, hvordan det fungerer. Over tid kan du gradvist migrere din trafik over, udfase DDI-systemets arbejdsbyrde efter arbejdsbelastning og opskalere din administrerede DNS-løsning.
Klar til at se fordelene ved NS1'er Administreret DNS løsning over DDI? Kontakt os i dag og få et proof of concept i gang.
Se fordelene ved NS1's Managed DNS-løsning
Var denne artikel til hjælp?
JaIngen
Mere fra Sikkerhed
IBM nyhedsbreve
Få vores nyhedsbreve og emneopdateringer, der leverer den seneste tankelederskab og indsigt i nye trends.
Tilmeld nu
Flere nyhedsbreve
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.ibm.com/blog/why-ddi-solutions-arent-always-ideal-for-authoritative-dns/
- :har
- :er
- :ikke
- :hvor
- $OP
- 1
- 17
- 2024
- 22
- 28
- 29
- 30
- 300
- 31
- 350
- 36
- 400
- 50
- 7
- 9
- a
- evne
- Om
- over
- adgang
- tilgængelig
- Konto
- handlinger
- tilføje
- klæbe
- Reklame
- Alle
- tillader
- alene
- sammen
- allerede
- også
- altid
- amp
- an
- analytics
- ,
- annoncerer
- En anden
- enhver
- overalt
- Apex
- app
- vises
- apparater
- Anvendelse
- applikationer
- apps
- arkitektur
- arkitekturer
- ER
- omkring
- artikel
- AS
- udseende
- forbundet
- At
- angribe
- Angreb
- attraktivt
- forfatter
- til rådighed
- tilbage
- Back-end
- Bad
- bold
- barriere
- baseret
- grundlæggende
- BE
- fordi
- bliver
- bliver
- blive
- været
- ben
- gavner det dig
- fordele
- BEDSTE
- mellem
- binde
- Bit
- Blog
- Blå
- både
- Begge sider
- Bygning
- bygget
- indbygget
- virksomhed
- business kontinuitet
- virksomheder
- men
- .
- købe
- Købe
- by
- beregning
- CAN
- Kapacitet
- kulstof
- kort
- Kort
- tilfælde
- tilfælde
- KAT
- Boligtype
- vis
- afgift
- kontrollere
- vælge
- kredse
- klasse
- klar
- nøje
- indsamler
- farve
- kombinerer
- kommercielt
- Fælles
- Virksomheder
- selskab
- sammenligning
- komplekse
- Compliance
- omfattende
- computer
- Konceptet
- udførelse
- Tilslut
- overvejelse
- overvejelser
- Overvejer
- konsekvent
- kontakt
- Container
- indhold
- sammenhæng
- fortsæt
- fortsætter
- kontinuitet
- kontrakt
- kontrast
- Koste
- Omkostninger
- kunne
- dækning
- skabe
- skaber
- Krystal
- CSS
- skik
- Kunder
- cyberangreb
- cykler
- dagligt
- data
- databeskyttelse
- databeskyttelse
- Dato
- DDoS
- DDoS-angreb
- deal
- decentral
- dedikeret
- Standard
- Forsvar
- defensiv
- definitioner
- levere
- levering
- indsætte
- implementering
- implementering
- beskrivelse
- konstrueret
- detaljeret
- enhed
- forskel
- forskelle
- svært
- digital
- Direktør
- katastrofe
- skelnen
- dns
- do
- gør
- Er ikke
- færdig
- Dont
- ned
- ulemper
- tegning
- lette
- brugervenlighed
- økosystem
- udgaver
- enten
- elementer
- eliminere
- smergel
- medarbejdere
- ende
- Endpoint
- nok
- Indtast
- indtastning
- udstyr
- Ether (ETH)
- EU
- europæisk
- europæiske Union
- Den Europæiske Union (EU)
- Endog
- begivenhed
- eksempel
- Udgang
- udvidet
- dyrt
- erfaring
- Eksponering
- ekstern
- ekstremt
- indregnet
- faktorer
- falsk
- langt
- Feature
- firewall
- firewalls
- Fornavn
- Fokus
- følger
- skrifttyper
- Fodspor
- Til
- Forces
- formular
- fire
- fraktion
- Frekvens
- fra
- funktionalitet
- funktioner
- kløft
- GDPR
- GDPR overholdelse
- Generelt
- generelle data
- Generel databeskyttelsesforordning
- generator
- geografiske
- geografi
- få
- får
- få
- Global
- Go
- mål
- gå
- godt
- regulerer
- gradvist
- tildeling
- grafisk
- Grid
- Grow
- hacker
- håndtere
- Håndtering
- Have
- Overskrift
- sundhedspleje
- tunge
- højde
- hjælpsom
- Skjult
- Hvordan
- How To
- Men
- HTTPS
- kæmpe
- IBM
- ICO
- ICON
- idé
- ideal
- tomgang
- if
- billede
- KIMOs Succeshistorier
- gennemføre
- vigtigt
- umuligt
- Forbedre
- in
- hændelser
- øget
- Stigninger
- stigende
- indeks
- Infrastruktur
- iboende
- initial
- indsigt
- øjeblikkeligt
- grænseflade
- interne
- Internet
- ind
- Invest
- involvere
- involverede
- spørgsmål
- IT
- ITS
- januar
- Sammenføjninger
- jpg
- Holde
- Nøgle
- Mangel
- laptop
- stor
- større
- Latency
- seneste
- Lov
- føre
- leder
- Leadership" (virkelig menneskelig ledelse)
- Leads
- LÆR
- mindre
- ligesom
- GRÆNSE
- Limited
- grænser
- LINK
- lidt
- belastning
- lokale
- Local
- placering
- placeringer
- låst
- Lang
- leder
- Lot
- vedligeholde
- opretholdelse
- vedligeholdelse
- Making
- malware
- administrere
- lykkedes
- ledelse
- leder
- styring
- mange
- Matter
- max-bredde
- Kan..
- betyde
- midler
- mekanismer
- medicinsk
- måske
- migrere
- minut
- tankerne
- minimere
- minutter
- Mobil
- mobil enhed
- mobil-apps
- mere
- mest
- MTD
- skal
- navn
- Natural
- Navigation
- nødvendigvis
- Behov
- behov
- behov
- netværk
- netværkstrafik
- net
- nyheder
- Nyhedsbreve
- næste
- ingen
- bemærkede
- intet
- nu
- nummer
- of
- off
- tilbyde
- tit
- on
- ONE
- kun
- åbent
- betjene
- drift
- operationelle
- Produktion
- modsat
- optimeret
- Option
- or
- organisation
- organisationer
- Andet
- vores
- ud
- nedbrud
- konturer
- outsource
- outsourcing
- i løbet af
- egen
- side
- del
- især
- partner
- Partnerskab
- partnerskaber
- sti
- pathways
- Betal
- betale
- land
- Mennesker
- procent
- procentdel
- ydeevne
- personale
- Personlig data
- perspektiv
- foto
- PHP
- fly
- planlægning
- planer
- plato
- Platon Data Intelligence
- PlatoData
- Masser
- plugin
- Punkt
- politik
- fattige
- position
- Indlæg
- Forudsigelig
- Forbered
- forberedt
- prissætning
- primært
- primære
- principper
- Beskyttelse af personlige oplysninger
- forarbejdning
- Produkt
- produktion
- professionel
- bevis
- Bevis for koncept
- beskytte
- beskyttelse
- give
- udbyder
- udbydere
- leverer
- køb
- forespørgsler
- query
- Hurtig
- hurtigt
- helt
- rækkevidde
- Ransom
- ransomware
- Ransomware angreb
- Læsning
- virkelig
- grund
- årsager
- nylige
- genkende
- anbefaler
- optage
- optegnelser
- opsving
- Regulering
- relaterede
- stole
- stole
- kræver
- Krav
- beboere
- bor
- modstandskraft
- Ressourcer
- svar
- ansvarlige
- lydhør
- afkast
- højre
- rettigheder
- Rise
- Risiko
- risikostyring
- robotter
- Kør
- samme
- skalering
- Skærm
- scripts
- sekundær
- sikkerhed
- se
- sælger
- SEO
- adskille
- Series
- server
- servere
- tjeneste
- Tjenester
- sæt
- sværhedsgrad
- Kort
- bør
- side
- sider
- signifikant
- betydeligt
- lignende
- enkelhed
- ganske enkelt
- enkelt
- websted
- Websteder
- Siddende
- lille
- mindre
- So
- Alene
- løsninger
- Løsninger
- nogle
- noget
- noget
- specialisere
- specialiserede
- specifikke
- Sponsoreret
- firkanter
- stakes
- starte
- Starter
- starter
- styre
- styretøj
- Steps
- ligetil
- strategier
- stærk
- Studere
- Hold mig opdateret
- vellykket
- support
- adspurgte
- SVG
- Kontakt
- systemet
- Systemer
- bord
- Tag
- taler
- hold
- hold
- semester
- vilkår
- tertiære
- prøve
- end
- tak
- at
- loven
- verdenen
- deres
- Them
- tema
- Der.
- derved
- Disse
- de
- ting
- tror
- Tænker
- denne
- dem
- tænkte
- tænkt lederskab
- trussel
- tre
- tid
- tidsramme
- gange
- Titel
- til
- i dag
- sammen
- top
- emne
- Trafik
- Tendenser
- sand
- virkelig
- Stol
- TUR
- to
- typen
- typer
- Uventet
- desværre
- forenet
- union
- medmindre
- uholdbar
- opdateringer
- Opretholde
- URL
- us
- Brug
- brug
- anvendte
- Bruger
- Brugererfaring
- brugere
- ved brug af
- sædvanligvis
- sælger
- leverandører
- meget
- Victim
- bind
- vs
- W
- ønsker
- Vej..
- we
- websites
- GODT
- Hvad
- hvornår
- som
- mens
- WHO
- hvorfor
- vilje
- med
- undrende
- WordPress
- Arbejde
- world
- verdensplan
- Verdensomspændende dækning
- værre
- værd
- ville
- skriftlig
- år
- endnu
- dig
- Din
- zephyrnet
- zone