Skillet mellom "interne" og "eksterne" nettverk har alltid vært noe feil.
Klienter er vant til å tenke på brannmurer som barrieren mellom nettverkselementer vi utsetter for internett og back-end-systemer som kun er tilgjengelige for innsidere. Men etter hvert som leveringsmekanismene for applikasjoner, nettsteder og innhold blir mer desentralisert, blir denne barrieren mer gjennomtrengelig.
Det samme gjelder for de som administrerer disse nettverkselementene. Ganske ofte er det samme team (eller samme person!) ansvarlig for å administrere interne nettverksveier og eksterne leveringssystemer.
I denne sammenhengen er det bare naturlig at DNS-, DHCP- og IPAM-systemene (DDI) som pleide å administrere "interne" nettverk også vil blø inn i administrasjonen av ekstern, autoritativ DNS. I små selskaper betyr dette problemet vanligvis at en IT-ansvarlig spinner opp en BIND-server for å håndtere nettverkstrafikk på begge sider av brannmuren. For mellomstore og større bedrifter brukes ofte en kommersielt tilgjengelig DDI-løsning også for autoritativ DNS.
De fleste nettverksadministratorer bruker DDI-løsninger for autoritativ DNS fordi det er ett system mindre å administrere. Du kan administrere begge sider av nettverket fra ett enkelt grensesnitt. Å kombinere intern og ekstern nettverksadministrasjon betyr også at teamet bare trenger å lære å betjene et enkelt system, og dermed eliminere behovet for å spesialisere seg på den ene eller andre siden av nettverket.
Ulempene ved å bruke DDI for autoritativ DNS
Mens enkelhet og brukervennlighet ofte gjør DDI til standardløsningen for autoritativ DNS, er det noen sterke grunner til at de to systemene bør være separate.
Sikkerhet
Når du kjører autoritativ DNS på de samme serverne og systemene som din interne DDI-løsning, er det en risiko for at et DDoS-angrep kan ta ned begge sider av nettverket ditt. Dette er ikke en ubetydelig risiko. Frekvensen og alvorlighetsgraden av DDoS-angrep fortsetter å øke, noe de fleste selskaper kan oppleve på et tidspunkt.
Bruk av samme infrastruktur for interne og eksterne operasjoner øker bare virkningen av en driftsstans og øker gjenopprettingstiden betydelig. Det er ille nok hvis du ikke får kontakt med sluttbrukere. Det er langt verre når du heller ikke får tilgang til interne systemer.
Dessverre kommer de fleste bedrifter ikke til å investere i serverkapasiteten eller defensive mottiltak det vil ta for å absorbere et betydelig DDoS-angrep. Å betale for all den ledige kapasiteten (sammen med menneskene og ressursene som trengs for å vedlikeholde den over tid) blir veldig fort dyrt.
Å skille autoritativ DNS fra interne DDI-systemer skaper et naturlig gap som begrenser eksponering i tilfelle et DDoS-relatert driftsavbrudd. Selv om det betyr at det er to systemer å administrere, betyr det også at disse systemene ikke vil gå ned samtidig.
Skala
Nettverksinfrastruktur er dyrt å kjøpe og vedlikeholde. (Stol på oss, vi vet!) De fleste av de små eller mellomstore bedriftene som bruker DDI-løsninger for autoritativ DNS har ikke ressurser til å sette opp mer enn tre eller fire lokasjoner for å håndtere innkommende trafikk fra hele verden.
Etter hvert som selskaper vokser, blir belastningen på disse serverne raskt uholdbar. Opplevelsen til både kunder og interne brukere begynner å lide i form av økt ventetid og dårlig applikasjonsytelse. Det er enten veldig vanskelig eller umulig å styre trafikk basert på geografi eller andre faktorer – DDI-løsninger er rett og slett ikke bygd for å gjøre det.
I motsetning, administrerte løsninger for autoritativ DNS gir øyeblikkelig verdensomspennende dekning med kapasitet til overs. Sluttbrukere får en konsistent opplevelse, som kan optimaliseres for å ta hensyn til geografi eller mange andre driftsfaktorer. Interne brukere trekker ikke fra de samme ressursene for sitt eget arbeid. De får også en konsistent, forutsigbar brukeropplevelse.
BIND arkitektur begrensninger
DDI-løsninger er designet primært (eller utelukkende) for intern nettverksadministrasjon, ikke med mål om å tilby en Internett-vendt autoritativ DNS-løsning. DDI-leverandører støtter motvillig autoritative DNS-brukstilfeller fordi de erkjenner at en viss prosentandel av kundene deres krever det. Likevel er det ikke noe de er forberedt på å støtte på lang sikt. Dette er grunnen til at de fleste DDI-leverandører tilbyr plug-ins og partnerskap som en måte å outsource autoritativ DNS-funksjonalitet til andre leverandører.
Arkitektonisk betyr dette vanligvis at DDI-leverandøren fungerer som en skjult primær, mens den autoritative DNS-partneren annonseres som et "offentlig sekundært" system: en vanskelig løsning som kan begrense funksjonaliteten til nettverket ditt. BIND-arkitekturene som de fleste DDI-leverandører bruker, begrenser deres evne til å støtte vanlige autoritative DNS-brukssaker, spesielt når en partner er involvert.
Støtte for ALIAS-poster på toppen er et godt eksempel. Denne løsningen er vanlig på nettsteder med komplekse backend-konfigurasjoner, men dessverre er det umulig å implementere med BIND-avhengig DDI, noe som gjør navneomdirigering ved sonespissen vanskelig å håndtere.
DDI-leverandører støtter vanligvis ikke trafikkstyring enten, men det er en funksjon for tabellinnsats for autoritative DNS-løsninger. Det er en viktig faktor at selv grunnleggende trafikkstyring basert på geografisk plassering kan forbedre responstidene og brukeropplevelsen betydelig.
Kostnad
Fra et infrastrukturperspektiv ligner det å distribuere en DDI-løsning for autoritativ DNS som å bygge din egen autoritative løsning. Du må kjøpe alle serverne, distribuere dem over hele verden og vedlikeholde dem over tid. Den eneste forskjellen er hvem du kjøper disse serverne fra, i dette tilfellet, en DDI-leverandør.
Som nevnt ovenfor vil de betydelige kostnadene forbundet med å anskaffe og distribuere en løsning på denne måten vanligvis føre til at bedrifter minimerer antallet servere de kjøper. Det fører igjen til begrenset global dekning og redusert ytelse sammenlignet med en administrert DNS-tjeneste som NS1. Ikke bare betaler du mer, du får også et mindre fotavtrykk som fører til en dårlig brukeropplevelse.
Kostnadsberegningen slutter heller ikke ved den første distribusjonen. Drift og vedlikehold av DDI-infrastruktur er også et tungt løft, som krever en betydelig tilførsel av dedikerte (og spesialiserte) ressurser over tid. Hvis du outsourcer det vedlikeholdet til en DDI-leverandør, vær forberedt på å betale enda mer for en profesjonell tjenestekontrakt. DDI-selskaper har ofte notorisk korte oppdateringssykluser på utstyret sitt, så "vedlikehold" vil ofte tilsvare "erstatning" på en 3-5 års tidsramme.
Fra et kostnadsperspektiv er fordelen med en administrert DNS-tjeneste som NS1 fremfor en DDI-leverandør krystallklar. Administrerte DNS-tjenester gi utvidet global dekning, innebygd motstandskraft og et stort spekter av funksjonalitet til en brøkdel av hva en DDI-leverandør vil kreve. Legg til det mangelen på vedlikehold og oppdateringskostnader, og det er virkelig en no-brainer.
Det er sant at administrerte DNS-leverandører vil belaste brukskostnader, der DDI-apparater kan håndtere et stort antall forespørsler. Men selv med det søkevolumet tatt med, er prisen på en administrert løsning ekstremt attraktiv.
En glidebane fra DDI til administrert autoritativ DNS
Hvis du allerede bruker en DDI-løsning for autoritativ DNS, kan overgangen til en administrert leverandør virke litt skremmende i begynnelsen. Det er mange operasjonelle hensyn å tenke på som en del av en cutover, og det er en iboende risiko ved definitivt å snu bryteren.
Derfor anbefaler vi å starte med NS1 som et sekundært alternativ for autoritativ DNS. Dette lar nettverksteam teste systemet med litt produksjonstrafikk og bli vant til hvordan det fungerer. Over tid kan du gradvis migrere trafikken over, fase ut DDI-systemets arbeidsbelastning etter arbeidsbelastning og skalere opp den administrerte DNS-løsningen din.
Klar til å se fordelene med NS1-er Administrert DNS løsning fremfor DDI? Kontakt oss i dag og få et proof of concept i gang.
Se fordelene med NS1s Managed DNS-løsning
Var denne artikkelen til hjelp?
JaNei
Mer fra Security
IBMs nyhetsbrev
Få våre nyhetsbrev og emneoppdateringer som gir den siste tankeledelsen og innsikt om nye trender.
Abonner nå
Flere nyhetsbrev
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.ibm.com/blog/why-ddi-solutions-arent-always-ideal-for-authoritative-dns/
- : har
- :er
- :ikke
- :hvor
- $OPP
- 1
- 17
- 2024
- 22
- 28
- 29
- 30
- 300
- 31
- 350
- 36
- 400
- 50
- 7
- 9
- a
- evne
- Om oss
- ovenfor
- adgang
- tilgjengelig
- Logg inn
- handlinger
- legge til
- overholde
- Annonsering
- Alle
- tillater
- alene
- langs
- allerede
- også
- alltid
- amp
- an
- analytics
- og
- kunngjør
- En annen
- noen
- hvor som helst
- Apex
- app
- vises
- hvitevarer
- Søknad
- søknader
- apps
- arkitektur
- arkitekturer
- ER
- rundt
- Artikkel
- AS
- aspektet
- assosiert
- At
- angripe
- Angrep
- attraktiv
- forfatter
- tilgjengelig
- tilbake
- Back-end
- dårlig
- ball
- barriere
- basert
- grunnleggende
- BE
- fordi
- bli
- blir
- bli
- vært
- ben
- nytte
- Fordeler
- BEST
- mellom
- binde
- Bit
- Blogg
- Blå
- både
- Begge sider
- Bygning
- bygget
- innebygd
- virksomhet
- Forretnings kontinuitet
- bedrifter
- men
- knapp
- kjøpe
- Kjøpe
- by
- beregningen
- CAN
- Kapasitet
- karbon
- kort
- Kort
- saken
- saker
- CAT
- Kategori
- viss
- kostnad
- sjekk
- velge
- sirkler
- klasse
- fjerne
- tett
- samle
- farge
- kombinere
- kommersielt
- Felles
- Selskaper
- Selskapet
- sammenligning
- komplekse
- samsvar
- omfattende
- datamaskin
- konsept
- gjennomføre
- Koble
- hensyn
- betraktninger
- vurderer
- konsistent
- kontakt
- Container
- innhold
- kontekst
- fortsette
- fortsetter
- kontinuitet
- kontrakt
- kontrast
- Kostnad
- Kostnader
- kunne
- dekning
- skape
- skaper
- Krystall
- CSS
- skikk
- Kunder
- cyberattacks
- sykluser
- daglig
- dato
- personvern
- databeskyttelse
- Dato
- DDoS
- DDoS angrep
- avtale
- desentralisert
- dedikert
- Misligholde
- Forsvar
- defensiv
- definisjoner
- leverer
- levering
- utplassere
- utplasserings
- distribusjon
- beskrivelse
- designet
- detaljert
- enhet
- forskjell
- forskjeller
- vanskelig
- digitalt
- Regissør
- katastrofe
- skillet
- dns
- do
- gjør
- ikke
- gjort
- ikke
- ned
- ulempene
- tegning
- lette
- brukervennlighet
- økosystem
- utgaver
- enten
- elementer
- eliminere
- Emery
- ansatte
- slutt
- Endpoint
- nok
- Enter
- går inn
- utstyr
- Eter (ETH)
- EU
- europeisk
- Den Europeiske Union
- EU (EU)
- Selv
- Event
- eksempel
- Utgang
- utvidet
- dyrt
- erfaring
- Eksponering
- utvendig
- ekstremt
- fakturert
- faktorer
- falsk
- langt
- Trekk
- brannmur
- brannmurer
- Først
- Fokus
- følge
- fonter
- Fotspor
- Til
- Krefter
- skjema
- fire
- brøkdel
- Frekvens
- fra
- funksjonalitet
- funksjoner
- mellomrom
- GDPR
- GDPR-samsvar
- general
- generell data
- Generell databeskyttelsesforskrift
- generator
- geografisk
- geografi
- få
- blir
- få
- Global
- Go
- mål
- skal
- god
- reglene
- gradvis
- innvilgelse
- grafisk
- Grid
- Grow
- hacker
- håndtere
- Håndtering
- Ha
- Overskrift
- helsetjenester
- tung
- høyde
- nyttig
- skjult
- Hvordan
- Hvordan
- Men
- HTTPS
- stort
- IBM
- ICO
- ICON
- Tanken
- ideell
- Idle
- if
- bilde
- Påvirkning
- iverksette
- viktig
- umulig
- forbedre
- in
- hendelser
- økt
- øker
- stadig
- indeks
- Infrastruktur
- iboende
- innledende
- innsikt
- øyeblikkelig
- Interface
- intern
- Internet
- inn
- Investere
- involvere
- involvert
- utstedelse
- IT
- DET ER
- Januar
- tiltrer
- jpg
- Hold
- nøkkel
- maling
- laptop
- stor
- større
- Ventetid
- siste
- Law
- føre
- leder
- Ledelse
- Fører
- LÆRE
- mindre
- i likhet med
- BEGRENSE
- Begrenset
- grenser
- LINK
- lite
- laste
- lokal
- lokale
- plassering
- steder
- låst
- Lang
- ser
- Lot
- vedlikeholde
- opprettholde
- vedlikehold
- Making
- malware
- administrer
- fikk til
- ledelse
- leder
- administrerende
- mange
- Saken
- max bredde
- Kan..
- bety
- midler
- mekanismer
- medisinsk
- kunne
- migrere
- minutter
- tankene
- minimere
- minutter
- Mobil
- mobilenhet
- mobil-apps
- mer
- mest
- MTD
- må
- navn
- Naturlig
- Navigasjon
- nødvendigvis
- Trenger
- nødvendig
- behov
- nettverk
- nettverkstrafikk
- nettverk
- nyheter
- nyhetsbrev
- neste
- Nei.
- bemerket
- ingenting
- nå
- Antall
- of
- off
- tilby
- ofte
- on
- ONE
- bare
- åpen
- betjene
- drift
- operasjonell
- Drift
- motsatt
- optimalisert
- Alternativ
- or
- organisasjon
- organisasjoner
- Annen
- vår
- ut
- brudd
- skisserer
- outsource
- Outsourcing
- enn
- egen
- side
- del
- spesielt
- partner
- Partnerskap
- partnerskap
- banen
- pathways
- Betale
- betalende
- land
- Ansatte
- prosent
- prosent
- ytelse
- personlig
- personlig informasjon
- perspektiv
- bilde
- PHP
- fly
- planlegging
- planer
- plato
- Platon Data Intelligence
- PlatonData
- Plenty
- plugg inn
- Point
- politikk
- dårlig
- posisjon
- Post
- Forutsigbar
- Forbered
- forberedt
- prising
- primært
- primære
- prinsipper
- privatliv
- prosessering
- Produkt
- Produksjon
- profesjonell
- bevis
- proof of concept
- beskytte
- beskyttelse
- gi
- leverandør
- tilbydere
- gi
- Kjøp
- spørsmål
- spørring
- Rask
- raskt
- ganske
- område
- Ransom
- ransomware
- Ransomware -angrep
- Lesning
- virkelig
- grunnen til
- grunner
- nylig
- gjenkjenne
- anbefaler
- rekord
- poster
- utvinning
- Regulering
- i slekt
- avhengige
- avhengig
- krever
- Krav
- innbyggere
- bor
- resiliens
- Ressurser
- svar
- ansvarlig
- responsive
- retur
- ikke sant
- rettigheter
- Rise
- Risiko
- risikostyring
- roboter
- Kjør
- samme
- skalering
- Skjerm
- skript
- sekundær
- sikkerhet
- se
- selger
- SEO
- separat
- Serien
- server
- servere
- tjeneste
- Tjenester
- sett
- alvorlighetsgrad
- Kort
- bør
- side
- Tilbehør
- signifikant
- betydelig
- lignende
- enkelhet
- ganske enkelt
- enkelt
- nettstedet
- Nettsteder
- Sittende
- liten
- mindre
- So
- utelukkende
- løsning
- Solutions
- noen
- noe
- noe
- spesialister
- spesialisert
- spesifikk
- Sponset
- firkanter
- innsatser
- Begynn
- Start
- starter
- styre
- styring
- Steps
- rett fram
- strategier
- sterk
- Studer
- abonnere
- vellykket
- støtte
- kartlagt
- SVG
- Bytte om
- system
- Systemer
- bord
- Ta
- snakker
- lag
- lag
- begrep
- vilkår
- tertiære
- test
- enn
- Takk
- Det
- De
- loven
- verden
- deres
- Dem
- tema
- Der.
- derved
- Disse
- de
- ting
- tror
- tenker
- denne
- De
- trodde
- tenkte ledelse
- trussel
- tre
- tid
- tidsramme
- ganger
- Tittel
- til
- i dag
- sammen
- topp
- Tema
- trafikk
- Trender
- sant
- virkelig
- Stol
- SVING
- to
- typen
- typer
- Uventet
- dessverre
- enhetlig
- union
- med mindre
- uholdbar
- oppdateringer
- opprett~~POS=TRUNC
- URL
- us
- bruk
- bruke
- brukt
- Bruker
- Brukererfaring
- Brukere
- ved hjelp av
- vanligvis
- leverandør
- leverandører
- veldig
- Offer
- volum
- vs
- W
- ønsker
- Vei..
- we
- nettsteder
- VI VIL
- Hva
- når
- hvilken
- mens
- HVEM
- hvorfor
- vil
- med
- lurer
- WordPress
- Arbeid
- verden
- verdensomspennende
- Verdensomspennende dekning
- verre
- verdt
- ville
- skrevet
- år
- ennå
- du
- Din
- zephyrnet
- sonen