Skillnaden mellan "interna" och "externa" nätverk har alltid varit något falsk.
Kunder är vana vid att tänka på brandväggar som barriären mellan nätverkselement vi exponerar för internet och back-end-system som endast är tillgängliga för insiders. Men när leveransmekanismerna för applikationer, webbplatser och innehåll blir mer decentraliserade, blir den barriären mer genomtränglig.
Detsamma gäller för de personer som hanterar dessa nätverkselement. Ganska ofta är samma team (eller samma person!) ansvarigt för att hantera interna nätverksvägar och externa leveranssystem.
I detta sammanhang är det bara naturligt att DNS-, DHCP- och IPAM-systemen (DDI) som används för att hantera "interna" nätverk också skulle blöda in i hanteringen av extern, auktoritativ DNS. I små företag innebär detta problem vanligtvis att en IT-chef snurrar upp en BIND-server för att hantera nätverkstrafik på båda sidor om brandväggen. För medelstora och större företag används ofta en kommersiellt tillgänglig DDI-lösning även för auktoritativ DNS.
De flesta nätverksadministratörer använder DDI-lösningar för auktoritativ DNS eftersom det är ett system mindre att hantera. Du kan hantera båda sidor av nätverket från ett enda gränssnitt. Att kombinera intern och extern nätverkshantering innebär också att teamet bara behöver lära sig hur man använder ett enda system, vilket eliminerar behovet av att specialisera sig på den ena eller andra sidan av nätverket.
Nackdelarna med att använda DDI för auktoritativ DNS
Även om enkelhet och användarvänlighet ofta gör DDI till standardlösningen för auktoritativ DNS, finns det några starka skäl till varför de två systemen bör vara separata.
Säkerhet
När du kör auktoritativ DNS på samma servrar och system som din interna DDI-lösning finns det en risk att en DDoS-attack kan ta ner båda sidor av ditt nätverk. Detta är inte en obetydlig risk. Frekvensen och svårighetsgraden av DDoS-attacker fortsätter att öka, vilket de flesta företag kan uppleva någon gång.
Att använda samma infrastruktur för interna och externa operationer ökar bara effekten av ett avbrott och ökar återhämtningstiderna avsevärt. Det är illa nog om du inte kan få kontakt med slutanvändare. Det är mycket värre när man inte kan komma åt interna system heller.
Tyvärr kommer de flesta företag inte att investera i serverkapaciteten eller defensiva motåtgärder som det skulle ta för att absorbera en betydande DDoS-attack. Att betala för all den lediga kapaciteten (tillsammans med de människor och resurser som behövs för att underhålla den över tid) blir dyrt väldigt snabbt.
Att separera auktoritativ DNS från interna DDI-system skapar en naturlig lucka som begränsar exponeringen i händelse av ett DDoS-relaterat avbrott. Även om det betyder att det finns två system att hantera, betyder det också att dessa system inte kommer att gå ner samtidigt.
Skala
Nätverksinfrastruktur är dyr att köpa och underhålla. (Lita på oss, vi vet!) De flesta av de små eller medelstora företag som använder DDI-lösningar för auktoritativ DNS har inte resurserna att sätta upp mer än tre eller fyra platser för att hantera inkommande trafik från hela världen.
När företag växer blir belastningen på dessa servrar snabbt ohållbar. Upplevelsen av både kunder och interna användare börjar bli lidande i form av ökad latens och dålig applikationsprestanda. Det är antingen väldigt svårt eller omöjligt att styra trafik baserat på geografi eller andra faktorer – DDI-lösningar är helt enkelt inte byggda för att göra det.
I kontrast, hanterade lösningar för auktoritativ DNS ger omedelbart täckning över hela världen med kapacitet över. Slutanvändare får en konsekvent upplevelse, som kan optimeras för att ta hänsyn till geografi eller många andra operativa faktorer. Interna användare använder inte samma resurser för sitt eget arbete. De får också en konsekvent, förutsägbar användarupplevelse.
BIND arkitektur begränsningar
DDI-lösningar är utformade primärt (eller enbart) för intern nätverkshantering, inte med målet att tillhandahålla en auktoritativ DNS-lösning som vänder sig mot internet. DDI-leverantörer stöder motvilligt auktoritativa DNS-användningsfall eftersom de inser att en viss procent av deras kunder kräver det. Ändå är det inte något som de är beredda att stödja på lång sikt. Det är därför de flesta DDI-leverantörer erbjuder plugin-program och partnerskap som ett sätt att lägga ut auktoritativ DNS-funktionalitet till andra leverantörer.
Arkitektoniskt innebär detta vanligtvis att DDI-leverantören fungerar som en dold primär, medan den auktoritativa DNS-partnern annonseras som ett "offentligt sekundärt" system: en besvärlig lösning som kan begränsa funktionaliteten i ditt nätverk. BIND-arkitekturerna som de flesta DDI-leverantörer använder begränsar deras förmåga att stödja vanliga auktoritativa DNS-användningsfall, särskilt när en partner är inblandad.
Stöd för ALIAS-poster i spetsen är ett bra exempel. Den här lösningen är vanlig på webbplatser med komplexa back-end-konfigurationer, men tyvärr är det omöjligt att implementera med BIND-beroende DDI, vilket gör namnomdirigering vid zonens apex svår att hantera.
DDI-leverantörer stöder vanligtvis inte trafikstyrning antingen, men det är en funktion för bordsinsatser för auktoritativa DNS-lösningar. Det är viktigt att tänka på att även grundläggande trafikstyrning baserad på geografisk plats kan förbättra svarstider och användarupplevelse avsevärt.
Pris
Ur ett infrastrukturperspektiv liknar implementeringen av en DDI-lösning för auktoritativ DNS som att bygga en egen auktoritativ lösning. Du måste köpa alla servrar, distribuera dem runt om i världen och underhålla dem över tid. Den enda skillnaden är vem du köper dessa servrar från, i det här fallet, en DDI-leverantör.
Som nämnts ovan leder de betydande kostnaderna för att anskaffa och distribuera en lösning på detta sätt vanligtvis företag att minimera antalet servrar de köper. Det leder i sin tur till begränsad global täckning och minskad prestanda jämfört med en hanterad DNS-tjänst som NS1. Du betalar inte bara mer, du får också ett mindre fotavtryck som leder till en dålig användarupplevelse.
Kostnadsberäkningen slutar inte heller vid den första implementeringen. Att driva och underhålla DDI-infrastruktur är också ett tungt lyft, som kräver en betydande tillförsel av dedikerade (och specialiserade) resurser över tiden. Om du lägger ut underhållet på entreprenad till en DDI-leverantör, var beredd att betala ännu mer för ett professionellt serviceavtal. DDI-företag har ofta notoriskt korta uppdateringscykler på sin utrustning, så "underhåll" kommer ofta att likställas med "ersättning" på en tidsram på 3-5 år.
Ur ett kostnadsperspektiv är fördelen med en hanterad DNS-tjänst som NS1 jämfört med en DDI-leverantör kristallklar. Hanterade DNS-tjänster ger utökad global täckning, inbyggd motståndskraft och ett stort utbud av funktionalitet till en bråkdel av vad en DDI-leverantör skulle ta betalt. Lägg till det bristen på underhåll och uppdateringskostnader, så är det verkligen en no-brainer.
Det är sant att hanterade DNS-leverantörer kommer att ta ut användningskostnader, där DDI-apparater kan hantera ett stort antal frågor. Men även med den frågevolymen inkluderad är prissättningen för en hanterad lösning extremt attraktiv.
En glidbana från DDI till hanterad auktoritativ DNS
Om du redan använder en DDI-lösning för auktoritativ DNS kan bytet till en hanterad leverantör verka lite skrämmande till en början. Det finns många operativa överväganden att tänka på som en del av en cutover, och det finns en inneboende risk i att definitivt vända omkopplaren.
Det är därför vi rekommenderar att börja med NS1 som ett sekundärt alternativ för auktoritativ DNS. Detta gör att nätverksteam kan testa systemet med lite produktionstrafik och vänja sig vid hur det fungerar. Med tiden kan du gradvis migrera din trafik över, fasa ut DDI-systemets arbetsbelastning efter arbetsbelastning och skala upp din hanterade DNS-lösning.
Redo att se fördelarna med NS1:s Administrerad DNS lösning över DDI? Kontakta oss idag och få ett proof of concept igång.
Se fördelarna med NS1:s Managed DNS-lösning
var den här artikeln hjälpsam?
JaNej
Mer från Säkerhet
IBMs nyhetsbrev
Få våra nyhetsbrev och ämnesuppdateringar som ger det senaste tankeledarskapet och insikter om nya trender.
Prenumerera nu
Fler nyhetsbrev
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.ibm.com/blog/why-ddi-solutions-arent-always-ideal-for-authoritative-dns/
- : har
- :är
- :inte
- :var
- $UPP
- 1
- 17
- 2024
- 22
- 28
- 29
- 30
- 300
- 31
- 350
- 36
- 400
- 50
- 7
- 9
- a
- förmåga
- Om oss
- ovan
- tillgång
- tillgänglig
- Konto
- handlingar
- lägga till
- anslutit sig
- reklam
- Alla
- tillåter
- ensam
- längs
- redan
- också
- alltid
- amp
- an
- analytics
- och
- tillkännager
- Annan
- vilken som helst
- var som helst
- Apex
- app
- visas
- apparater
- Ansökan
- tillämpningar
- appar
- arkitektur
- arkitekturer
- ÄR
- runt
- Artikeln
- AS
- aspekt
- associerad
- At
- attackera
- Attacker
- attraktiv
- Författaren
- tillgänglig
- tillbaka
- Back-end
- Badrum
- boll
- barriär
- baserat
- grundläggande
- BE
- därför att
- blir
- blir
- passande
- varit
- ben
- fördel
- Fördelarna
- BÄST
- mellan
- binda
- Bit
- Blogg
- Blå
- båda
- Båda sidor
- Byggnad
- byggt
- inbyggd
- företag
- kontinuitet i verksamheten
- företag
- men
- Knappen
- Köp
- Uppköp
- by
- beräkning
- KAN
- Kapacitet
- kol
- kortet
- Kort
- Vid
- fall
- KATT
- Kategori
- vissa
- laddning
- ta
- välja
- cirklar
- klass
- klar
- nära
- samla
- färg
- kombinera
- kommersiellt
- Gemensam
- Företag
- företag
- jämförelse
- komplex
- Efterlevnad
- omfattande
- dator
- begrepp
- ledande
- Kontakta
- övervägande
- överväganden
- med tanke på
- konsekvent
- kontakta
- Behållare
- innehåll
- sammanhang
- fortsätta
- fortsätter
- kontinuitet
- kontrakt
- Däremot
- Pris
- Kostar
- kunde
- täckning
- skapa
- skapar
- Kristall
- CSS
- beställnings
- Kunder
- cyberattack
- cykler
- dagligen
- datum
- dataintegritet
- dataskydd
- Datum
- DDoS
- DDoS-attack
- behandla
- decentraliserad
- dedicerad
- Standard
- Försvar
- defensiv
- definitioner
- leverera
- leverans
- distribuera
- utplacera
- utplacering
- beskrivning
- utformade
- detaljerad
- anordning
- Skillnaden
- skillnader
- svårt
- digital
- Direktör
- katastrof
- skillnad
- dns
- do
- gör
- inte
- gjort
- inte
- ner
- nackdelar
- ritning
- lätta
- enkel användning
- ekosystemet
- upplagor
- antingen
- element
- eliminera
- smärgel
- anställda
- änden
- Slutpunkt
- tillräckligt
- ange
- in
- Utrustning
- Eter (ETH)
- EU
- Giltigt körkort
- europeisk union
- Europeiska unionen (EU)
- Även
- händelse
- exempel
- Utgång
- expanderade
- dyra
- erfarenhet
- Exponering
- extern
- extremt
- faktureras
- faktorer
- falsk
- långt
- Leverans
- brandvägg
- brandväggar
- Förnamn
- Fokus
- följer
- typsnitt
- Fotavtryck
- För
- Krafter
- formen
- fyra
- fraktion
- Frekvens
- från
- funktionalitet
- funktioner
- spalt
- GDPR
- GDPR-överensstämmelse
- Allmänt
- generell information
- Allmän uppgiftsskyddsförordning
- Generatorn
- geografisk
- geografi
- skaffa sig
- blir
- få
- Välgörenhet
- Go
- Målet
- kommer
- god
- reglerar
- gradvis
- beviljande
- grafisk
- Rutnät
- Väx
- Hackaren
- hantera
- Arbetsmiljö
- Har
- Rubrik
- hälso-och sjukvård
- tung
- höjd
- hjälp
- dold
- Hur ser din drömresa ut
- How To
- Men
- HTTPS
- stor
- IBM
- ICO
- IKON
- Tanken
- idealisk
- Idle
- if
- bild
- Inverkan
- genomföra
- med Esport
- omöjligt
- förbättra
- in
- incidenter
- ökat
- Ökar
- alltmer
- index
- Infrastruktur
- inneboende
- inledande
- insikter
- Omedelbart
- Gränssnitt
- inre
- Internet
- in
- Invest
- engagera
- involverade
- fråga
- IT
- DESS
- Januari
- Fogar
- jpg
- Ha kvar
- Nyckel
- Brist
- laptop
- Large
- större
- Latens
- senaste
- Lag
- leda
- ledare
- Ledarskap
- Leads
- LÄRA SIG
- mindre
- tycka om
- BEGRÄNSA
- Begränsad
- gränser
- LINK
- liten
- läsa in
- lokal
- locale
- läge
- platser
- låst
- Lång
- du letar
- Lot
- bibehålla
- upprätthålla
- underhåll
- Framställning
- malware
- hantera
- förvaltade
- ledning
- chef
- hantera
- många
- Materia
- max-bredd
- Maj..
- betyda
- betyder
- mekanismer
- medicinsk
- kanske
- migrera
- min
- emot
- minimera
- minuter
- Mobil
- mobilenhet
- mobil-appar
- mer
- mest
- MTD
- måste
- namn
- Natural
- Navigering
- nödvändigtvis
- Behöver
- behövs
- behov
- nät
- nätverkstrafik
- nätverk
- nyheter
- nyhetsbrev
- Nästa
- Nej
- noterade
- inget
- nu
- antal
- of
- sänkt
- erbjudanden
- Ofta
- on
- ONE
- endast
- öppet
- driva
- drift
- operativa
- Verksamhet
- motsatt
- optimerad
- Alternativet
- or
- organisation
- organisationer
- Övriga
- vår
- ut
- strömavbrott
- konturer
- lägga ut
- Outsourcing
- över
- egen
- sida
- del
- särskilt
- partnern
- Partnerskap
- partnerskap
- bana
- vägar
- Betala
- betalar
- land
- Personer
- procent
- procentuell
- prestanda
- personlig
- personlig information
- perspektiv
- bild
- PHP
- Planen
- planering
- planer
- plato
- Platon Data Intelligence
- PlatonData
- Massor
- plugin
- Punkt
- policy
- dålig
- placera
- Inlägg
- Förutsägbar
- Förbered
- beredd
- prissättning
- primärt
- primär
- Principerna
- privatpolicy
- bearbetning
- Produkt
- Produktion
- professionell
- bevis
- bevis på koncept
- skydda
- skydd
- ge
- leverantör
- leverantörer
- tillhandahålla
- inköp
- sökfrågor
- fråga
- Snabbt
- snabbt
- ganska
- område
- Ransom
- Ransomware
- Ransomware Attack
- Läsning
- verkligen
- Anledningen
- skäl
- senaste
- känner igen
- rekommenderar
- post
- register
- återvinning
- reglering
- relaterad
- förlita
- förlita
- kräver
- Krav
- invånare
- bor
- motståndskraft
- Resurser
- respons
- ansvarig
- mottaglig
- avkastning
- höger
- rättigheter
- Rise
- Risk
- riskhanterings
- robotar
- Körning
- Samma
- skalning
- screen
- skript
- sekundär
- säkerhet
- se
- sälja
- SEO
- separat
- Serier
- server
- servrar
- service
- Tjänster
- in
- stränghet
- Kort
- skall
- sida
- Sidor
- signifikant
- signifikant
- liknande
- enkelhet
- helt enkelt
- enda
- webbplats
- Områden
- Sittande
- Small
- mindre
- So
- enbart
- lösning
- Lösningar
- några
- något
- något
- specialisera
- specialiserad
- specifik
- Sponsrade
- kvadrater
- stakes
- starta
- Starta
- startar
- styra
- styrning
- Steg
- okomplicerad
- strategier
- stark
- Läsa på
- prenumerera
- framgångsrik
- stödja
- tillfrågade
- SVG
- Växla
- system
- System
- bord
- Ta
- tala
- grupp
- lag
- termin
- villkor
- tertiär
- testa
- än
- tack
- den där
- Smakämnen
- lagen
- världen
- deras
- Dem
- tema
- Där.
- vari
- Dessa
- de
- sak
- tror
- Tänkande
- detta
- de
- trodde
- tanke ledarskap
- hot
- tre
- tid
- tidsram
- gånger
- Titel
- till
- i dag
- tillsammans
- topp
- ämne
- trafik
- Trender
- sann
- verkligen
- Litar
- SVÄNG
- två
- Typ
- typer
- Oväntat
- tyvärr
- enhetlig
- fackliga
- såvida inte
- ohållbar
- Uppdateringar
- upprätthålla
- URL
- us
- Användning
- användning
- Begagnade
- Användare
- Användarupplevelse
- användare
- med hjälp av
- vanligen
- leverantör
- försäljare
- mycket
- Victim
- volym
- vs
- W
- vill
- Sätt..
- we
- webbsidor
- VÄL
- Vad
- när
- som
- medan
- VEM
- varför
- kommer
- med
- undrar
- Wordpress
- Arbete
- världen
- inom hela sverige
- Världsomspännande täckning
- sämre
- värt
- skulle
- skriven
- år
- ännu
- dig
- Din
- zephyrnet
- zon