Розрізнення між «внутрішніми» та «зовнішніми» мережами завжди було дещо хибним.
Клієнти звикли думати про брандмауери як про бар’єр між мережевими елементами, які ми відкриваємо для Інтернету, і серверними системами, які доступні лише для інсайдерів. Проте оскільки механізми доставки додатків, веб-сайтів і контенту стають більш децентралізованими, цей бар’єр стає все більш проникливим.
Те саме стосується людей, які керують цими елементами мережі. Досить часто та сама команда (або та сама особа!) відповідає за керування внутрішніми мережевими шляхами та зовнішніми системами доставки.
У цьому контексті цілком природно, що системи DNS, DHCP і IPAM (DDI), які використовувалися для керування «внутрішніми» мережами, також будуть використовуватися для керування зовнішніми авторитетними DNS. У невеликих компаніях ця проблема зазвичай означає, що ІТ-менеджер розкручує сервер BIND для обробки мережевого трафіку з обох сторін брандмауера. Для середніх і великих компаній комерційно доступне рішення DDI також часто використовується для авторитетного DNS.
Більшість мережевих адміністраторів використовують рішення DDI для офіційного DNS, оскільки це одна система менше для керування. Ви можете керувати обома сторонами мережі з одного інтерфейсу. Поєднання внутрішнього та зовнішнього керування мережами також означає, що команді потрібно лише навчитися керувати єдиною системою, таким чином усуваючи необхідність спеціалізуватися на тій чи іншій стороні мережі.
Негативні сторони використання DDI для авторитетного DNS
Хоча простота та легкість використання часто перетворюють DDI на рішення за замовчуванням для авторитетного DNS, є кілька вагомих причин, чому ці дві системи повинні бути розділеними.
Безпека
Якщо ви запускаєте офіційний DNS на тих самих серверах і системах, що й ваше внутрішнє рішення DDI, існує ризик того, що атака DDoS може вивести з ладу обидві сторони вашої мережі. Це не незначний ризик. Частота та серйозність DDoS-атак продовжує зростати, і більшість компаній можуть зіткнутися з ними в якийсь момент.
Використання тієї самої інфраструктури для внутрішніх і зовнішніх операцій лише посилює вплив збоїв і значно збільшує час відновлення. Досить погано, якщо ви не можете зв’язатися з кінцевими користувачами. Набагато гірше, коли ви також не можете отримати доступ до внутрішніх систем.
На жаль, більшість компаній не збираються інвестувати в потужність сервера чи захисні заходи, необхідні для подолання значної DDoS-атаки. Оплата всіх цих невикористаних потужностей (разом з людьми та ресурсами, які потрібні для їх підтримки з часом) дуже швидко стає дорогою.
Відокремлення офіційного DNS від внутрішніх систем DDI створює природний проміжок, який обмежує ризик у разі збою, пов’язаного з DDoS. Хоча це означає, що є дві системи для керування, це також означає, що ці системи не вийде з ладу одночасно.
шкала
Придбати та підтримувати мережеву інфраструктуру дорого. (Повірте нам, ми знаємо!) Більшість малих і середніх компаній, які використовують рішення DDI для авторитетного DNS, не мають ресурсів, щоб створити більше ніж три-чотири місця для обробки вхідного трафіку з усього світу.
У міру зростання компаній навантаження на ці сервери швидко стає непідйомним. Досвід як клієнтів, так і внутрішніх користувачів починає страждати у формі збільшення затримки та низької продуктивності програми. Дуже важко або неможливо керувати трафіком на основі географічних чи інших факторів — рішення DDI просто не створені для цього.
У контрасті, керовані рішення для авторитетного DNS миттєво забезпечте покриття по всьому світу з резервною ємністю. Кінцеві користувачі отримують постійний досвід, який можна оптимізувати з урахуванням географії чи багатьох інших операційних факторів. Внутрішні користувачі не використовують ті самі ресурси для своєї роботи. Вони також отримують послідовний, передбачуваний досвід користувача.
Обмеження архітектури BIND
Рішення DDI призначені в першу чергу (або виключно) для внутрішнього керування мережею, а не з метою надання повноважного рішення DNS для доступу до Інтернету. Постачальники DDI неохоче підтримують офіційні сценарії використання DNS, оскільки вони визнають, що це потрібно певному відсотку їхніх клієнтів. Проте це не те, що вони готові підтримувати в довгостроковій перспективі. Саме тому більшість постачальників DDI пропонують плагіни та партнерські відносини як спосіб передачі офіційних функцій DNS іншим постачальникам.
Архітектурно це зазвичай означає, що постачальник DDI діє як прихований основний, тоді як авторитетний партнер DNS рекламується як «публічна вторинна» система: незручне обхідне рішення, яке може обмежити функціональність вашої мережі. Архітектури BIND, які використовують більшість постачальників DDI, обмежують їх здатність підтримувати стандартні сценарії використання DNS, особливо коли залучений партнер.
Підтримка Записи ALIAS на вершині є хорошим прикладом. Цей обхідний шлях є поширеним на сайтах зі складною конфігурацією серверної частини, але, на жаль, його неможливо застосувати з DDI, залежним від BIND, що ускладнює перенаправлення імен у вершині зони.
Постачальники DDI зазвичай не підтримують керування рухом будь-який, але це функція таблиці ставок для авторитетних рішень DNS. Важливо зауважити, що навіть базове керування трафіком на основі географічного розташування може значно покращити час відгуку та покращити взаємодію з користувачем.
Коштувати
З точки зору інфраструктури, розгортання рішення DDI для авторитетного DNS схоже на створення власного авторитетного рішення. Вам потрібно купити всі сервери, розгорнути їх по всьому світу та підтримувати їх протягом певного часу. Єдина різниця полягає в тому, у кого ви купуєте ці сервери, у цьому випадку у постачальника DDI.
Як зазначалося вище, значні витрати, пов’язані із закупівлею та розгортанням рішення таким чином, зазвичай змушують компанії мінімізувати кількість серверів, які вони купують. Це, у свою чергу, призводить до обмеженого глобального покриття та зниження продуктивності в порівнянні з керованою службою DNS, як-от NS1. Ви не тільки платите більше, але й отримуєте менше місця, що призводить до поганої взаємодії з користувачем.
Розрахунок вартості також не закінчується на початковому розгортанні. Експлуатація та підтримка інфраструктури DDI також є важким завданням, що вимагає значного вливання виділених (і спеціалізованих) ресурсів з часом. Якщо ви передаєте це технічне обслуговування постачальнику DDI, будьте готові заплатити ще більше за контракт на професійні послуги. Компанії DDI часто мають сумнозвісно короткі цикли оновлення свого обладнання, тому «обслуговування» часто прирівнюється до «заміни» протягом 3–5 років.
З точки зору вартості, перевага керованої служби DNS, як-от NS1, над постачальником DDI очевидна. Керовані служби DNS забезпечують розширене глобальне покриття, вбудовану відмовостійкість і величезний діапазон функціональних можливостей за невелику частку від того, що стягує постачальник DDI. Додайте до цього відсутність витрат на технічне обслуговування та оновлення, і це справді безпроблемно.
Це правда, що постачальники керованих DNS стягуватимуть витрати на використання, оскільки пристрої DDI можуть обробляти величезну кількість запитів. Проте навіть з урахуванням цього обсягу запитів ціна керованого рішення є надзвичайно привабливою.
Шлях від DDI до керованого авторитетного DNS
Якщо ви вже використовуєте рішення DDI для авторитетного DNS, перехід до керованого постачальника спочатку може здатися трохи складним. Є багато операційних міркувань, про які слід подумати як про частину перемикання, і існує невід’ємний ризик остаточного перемикання перемикача.
Ось чому ми рекомендуємо починати з NS1 як додаткового варіанту для авторитетного DNS. Це дозволяє мережевим командам протестувати систему з невеликою частиною робочого трафіку та звикнути до того, як вона функціонує. З часом ви зможете поступово перенести свій трафік, поступово припиняючи навантаження на систему DDI за навантаженням і збільшуючи масштаб свого керованого рішення DNS.
Готові побачити переваги NS1 Керований DNS рішення через DDI? Зв’яжіться з нами сьогодні та отримайте підтвердження концепції.
Перегляньте переваги рішення керованого DNS від NS1
Чи була ця стаття корисною?
ТакНемає
Більше від Security
Інформаційні бюлетені IBM
Отримуйте наші інформаційні бюлетені та оновлення тем, які містять найновіші думки про лідерство та ідеї щодо нових тенденцій.
Підпишись зараз
Більше бюлетенів
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.ibm.com/blog/why-ddi-solutions-arent-always-ideal-for-authoritative-dns/
- : має
- :є
- : ні
- :де
- $UP
- 1
- 17
- 2024
- 22
- 28
- 29
- 30
- 300
- 31
- 350
- 36
- 400
- 50
- 7
- 9
- a
- здатність
- МЕНЮ
- вище
- доступ
- доступною
- рахунки
- акти
- додавати
- дотримуватися
- реклама
- ВСІ
- дозволяє
- тільки
- по
- вже
- Також
- завжди
- amp
- an
- аналітика
- та
- оголошує
- Інший
- будь-який
- де-небудь
- Вершина
- додаток
- з'являтися
- техніка
- додаток
- застосування
- додатка
- архітектура
- архітектури
- ЕСТЬ
- навколо
- стаття
- AS
- зовнішній вигляд
- асоційований
- At
- атака
- нападки
- привабливий
- автор
- доступний
- назад
- Back-end
- поганий
- м'яч
- бар'єр
- заснований
- основний
- BE
- оскільки
- ставати
- стає
- становлення
- було
- Бен
- користь
- Переваги
- КРАЩЕ
- між
- пов'язувати
- Біт
- Блог
- синій
- обидва
- Обидві сторони
- Створюємо
- побудований
- вбудований
- бізнес
- забезпечення безперервності бізнесу
- підприємства
- але
- button
- купити
- Купівля
- by
- розрахунок
- CAN
- потужність
- вуглець
- карта
- Cards
- випадок
- випадків
- КПП
- Категорія
- певний
- заряд
- перевірка
- Вибираючи
- кола
- клас
- ясно
- тісно
- збирати
- color
- об'єднання
- комерційно
- загальний
- Компанії
- компанія
- порівняння
- комплекс
- дотримання
- всеосяжний
- комп'ютер
- концепція
- Проведення
- З'єднуватися
- розгляду
- міркування
- беручи до уваги
- послідовний
- контакт
- Контейнер
- зміст
- контекст
- продовжувати
- триває
- безперервність
- контракт
- контрастність
- Коштувати
- витрати
- може
- охоплення
- створювати
- створює
- кристал
- CSS
- виготовлений на замовлення
- Клієнти
- кібератаки
- циклів
- щодня
- дані
- конфіденційність даних
- захист даних
- Дата
- DDoS
- DDoS-атака
- угода
- Децентралізований
- присвячених
- дефолт
- оборони
- оборонний
- Визначення
- доставляти
- доставка
- розгортання
- розгортання
- розгортання
- description
- призначений
- докладно
- пристрій
- різниця
- Відмінності
- важкий
- цифровий
- Директор
- катастрофа
- відмінність
- DNS
- do
- робить
- Ні
- зроблений
- Не знаю
- вниз
- недоліки
- малювання
- простота
- простота використання
- екосистема
- Видання
- або
- елементи
- усуваючи
- з'являються
- співробітників
- кінець
- Кінцева точка
- досить
- Що натомість? Створіть віртуальну версію себе у
- вхід
- обладнання
- Ефір (ETH)
- EU
- Європейська
- european union
- Європейський союз (ЄС)
- Навіть
- Event
- приклад
- вихід
- розширений
- дорогий
- досвід
- експонування
- зовнішній
- надзвичайно
- факторів
- фактори
- false
- далеко
- особливість
- брандмауер
- міжмережеві екрани
- Перший
- Сфокусувати
- стежити
- Шрифти
- Слід
- для
- Війська
- форма
- чотири
- фракція
- частота
- від
- функціональність
- Функції
- розрив
- GDPR
- Відповідність GDPR
- Загальне
- загальні дані
- Положення про захист персональних даних Загальні
- generator
- географічний
- географія
- отримати
- отримує
- отримання
- Глобальний
- Go
- мета
- буде
- добре
- керує
- поступово
- Надання
- графічний
- сітка
- Рости
- хакер
- обробляти
- Обробка
- Мати
- Тема
- охорона здоров'я
- важкий
- висота
- корисний
- прихований
- Як
- How To
- Однак
- HTTPS
- величезний
- IBM
- ICO
- ICON
- ідея
- ідеальний
- Idle
- if
- зображення
- Impact
- здійснювати
- важливо
- неможливе
- удосконалювати
- in
- інцидентів
- збільшений
- Збільшує
- все більше і більше
- індекс
- Інфраструктура
- притаманне
- початковий
- розуміння
- негайно
- інтерфейс
- внутрішній
- інтернет
- в
- Invest
- залучати
- залучений
- питання
- IT
- ЙОГО
- січня
- з'єднання
- JPG
- тримати
- ключ
- відсутність
- портативний комп'ютер
- великий
- більше
- Затримка
- останній
- закон
- вести
- лідер
- Керівництво
- Веде за собою
- УЧИТЬСЯ
- менше
- як
- МЕЖА
- обмеженою
- рамки
- LINK
- трохи
- загрузка
- місцевий
- місце дії
- розташування
- місць
- замкнений
- Довго
- шукати
- серія
- підтримувати
- збереження
- обслуговування
- Робить
- шкідливих програм
- управляти
- вдалося
- управління
- менеджер
- управління
- багато
- Матерія
- макс-ширина
- Може..
- значити
- засоби
- механізми
- медичний
- може бути
- мігрувати
- хвилин
- mind
- мінімізувати
- протокол
- Mobile
- мобільний пристрій
- мобільні Програми-
- більше
- найбільш
- MTD
- повинен
- ім'я
- Природний
- навігація
- обов'язково
- Необхідність
- необхідний
- потреби
- мережу
- мережевий трафік
- мереж
- новини
- Інформаційні бюлетені
- наступний
- немає
- зазначив,
- нічого
- зараз
- номер
- of
- від
- пропонувати
- часто
- on
- ONE
- тільки
- відкрити
- працювати
- операційний
- оперативний
- операції
- протилежний
- оптимізований
- варіант
- or
- організація
- організації
- Інше
- наші
- з
- відключення
- контури
- аутсорсинг
- Аутсорсинг
- над
- власний
- сторінка
- частина
- особливо
- партнер
- Партнерство
- партнерства
- шлях
- шляхів
- Платити
- платіж
- країна
- Люди
- відсотків
- відсоток
- продуктивність
- персонал
- особисті дані
- перспектива
- фото
- PHP
- план
- планування
- плани
- plato
- Інформація про дані Платона
- PlatoData
- Plenty
- підключати
- точка
- політика
- бідні
- положення
- пошта
- Передбачуваний
- Готувати
- підготовлений
- ціни без прихованих комісій
- в першу чергу
- первинний
- Принципи
- недоторканність приватного життя
- обробка
- Product
- Production
- професійний
- доказ
- доказ концепції
- захист
- захист
- забезпечувати
- Постачальник
- провайдери
- забезпечення
- покупка
- запити
- запит
- Швидко
- швидко
- досить
- діапазон
- Викуп
- вимагачів
- Вимагальна програма
- читання
- насправді
- причина
- Причини
- останній
- визнавати
- рекомендувати
- запис
- облік
- відновлення
- Регулювання
- пов'язаний
- покладатися
- покладаючись
- вимагати
- Вимога
- жителі
- проживає
- пружність
- ресурси
- відповідь
- відповідальний
- реагувати
- повертати
- право
- праві
- Зростання
- Risk
- управління ризиками
- роботи
- прогін
- то ж
- Масштабування
- Екран
- scripts
- вторинний
- безпеку
- побачити
- продавати
- пошукова оптимізація
- окремий
- Серія
- сервер
- сервери
- обслуговування
- Послуги
- комплект
- строгість
- Короткий
- Повинен
- сторона
- Сторони
- значний
- істотно
- аналогічний
- простота
- просто
- один
- сайт
- сайти
- Сидячий
- невеликий
- менше
- So
- виключно
- рішення
- Рішення
- деякі
- що в сім'ї щось
- кілька
- спеціалізуватися
- спеціалізований
- конкретний
- Рекламні
- квадрати
- ставки
- старт
- Починаючи
- починається
- управляти
- рульове управління
- заходи
- просто
- стратегії
- сильний
- Вивчення
- підписуватися
- успішний
- підтримка
- опитаних
- SVG
- перемикач
- система
- Systems
- таблиця
- Приймати
- говорити
- команда
- команди
- термін
- terms
- третинний
- тест
- ніж
- Дякую
- Що
- Команда
- закон
- світ
- їх
- Їх
- тема
- Там.
- тим самим
- Ці
- вони
- річ
- думати
- Мислення
- це
- ті
- думка
- думка лідерства
- загроза
- три
- час
- терміни
- times
- назва
- до
- сьогодні
- разом
- топ
- тема
- трафік
- Тенденції
- правда
- по-справжньому
- Довіряйте
- ПЕРЕГЛЯД
- два
- тип
- Типи
- Unexpected
- на жаль
- єдиний
- союз
- якщо не
- нестійкий
- Updates
- Uphold
- URL
- us
- Використання
- використання
- використовуваний
- користувач
- User Experience
- користувачі
- використання
- зазвичай
- продавець
- постачальники
- дуже
- Жертва
- обсяг
- vs
- W
- хоче
- шлях..
- we
- веб-сайти
- ДОБРЕ
- Що
- коли
- який
- в той час як
- ВООЗ
- чому
- волі
- з
- цікаво
- WordPress
- Work
- світ
- світовий
- Всесвітнє покриття
- гірше
- вартість
- б
- письмовий
- рік
- ще
- ви
- вашу
- зефірнет
- зона