Die F5 Intelligent DNS Scale-Referenzarchitektur

Das Domain Name System (DNS) wurde 1983 entwickelt, um es Benutzern zu ermöglichen, alle mit dem Internet verbundenen Computer, Dienste und Ressourcen einfach anhand ihres Namens zu identifizieren – und nicht mehr anhand ihrer Internet Protocol (IP)-Adresse, einer unmöglich zu merkenden Zeichenfolge binärer Informationen.

Ein DNS-Server übersetzt die Domänennamen, die Sie in einen Browser eingeben, in eine IP-Adresse, die es Ihrem Gerät ermöglicht, den gesuchten Dienst oder die gesuchte Site im Internet zu finden.

DNS ist vermutlich die wichtigste Technologie, die das Internet ermöglicht, und zugleich eine der wichtigsten Komponenten der Netzwerkinfrastruktur. Neben der Bereitstellung von Inhalten und Anwendungen verwaltet DNS auch eine verteilte und redundante Architektur, um eine hohe Verfügbarkeit und schnelle Benutzerreaktionszeiten sicherzustellen. Daher ist eine verfügbare, intelligente, sichere und skalierbare DNS-Infrastruktur von entscheidender Bedeutung. Wenn DNS ausfällt, funktionieren die meisten Webanwendungen nicht mehr richtig, was sich auf Ihr Unternehmen und Ihre Marke auswirkt.

Mithilfe der durchgängigen intelligenten DNS-Scale-Referenzarchitektur von F5 können Unternehmen eine starke DNS-Grundlage aufbauen, die Ressourcen maximiert und das Servicemanagement verbessert, dabei aber agil genug bleibt, um sowohl bestehende als auch zukünftige Netzwerkarchitekturen, Geräte und Anwendungen zu unterstützen.

Wenn ein Benutzer eine Webseite anfordert, wird diese Anforderung an einen lokalen DNS-Server weitergeleitet, der wiederum mit den wichtigsten DNS-Servern kommuniziert. Alles funktioniert gut, bis es zu einem Anstieg des Datenverkehrs kommt oder ein Angreifer den Server mit DNS-Abfragen überflutet. Wenn Ihr Haupt-DNS-Server überlastet ist, reagiert er nicht mehr, was dazu führen kann, dass Ihre Website nicht mehr verfügbar ist.

DNS-Fehler sind für 41 Prozent der Ausfallzeiten der Web-Infrastruktur verantwortlich. Daher ist es wichtig, dass Ihr DNS verfügbar bleibt. Einer Umfrage der Aberdeen Group zufolge verlieren Unternehmen pro Stunde, in der ihre Rechenzentren ausfallen, durchschnittlich 138.000 US-Dollar. Ausfallzeiten wirken sich negativ auf die Kunden aus, können zu Umsatzeinbußen führen und sogar Mitarbeiter beeinträchtigen, die versuchen, auf Unternehmensressourcen wie E-Mail zuzugreifen.

Aus diesem Grund kann die Bedeutung einer starken DNS-Grundlage nicht genug betont werden. Ohne einen solchen Server können Ihre Kunden möglicherweise nicht wie gewünscht auf Ihre Inhalte und Anwendungen zugreifen – und wenn sie bei Ihnen nicht das bekommen, was sie wollen, gehen sie wahrscheinlich woanders hin.

Es gibt viele Gründe, warum die DNS-Anforderungen so schnell steigen. In den letzten fünf Jahren ist die Zahl der Internetnutzer um 82 Prozent gestiegen; die Zahl der Websites hat von ca. 580 Millionen auf 1,24 Milliarden zugenommen und die Zahl der DNS-Abfragen hat um mehr als 100 Prozent zugenommen.

Darüber hinaus stieg die Zahl der genutzten Mobilfunkverbindungen um 2,2 Milliarden und fast 60 Prozent der Internetnutzer geben an, dass sie erwarten, dass eine Website auf ihrem Mobiltelefon in drei Sekunden oder weniger geladen wird.

Unternehmen verzeichnen ein rasantes Wachstum sowohl hinsichtlich der Anzahl der Anwendungen als auch hinsichtlich des Datenverkehrs, der auf diese Anwendungen zugreift. Darüber hinaus wachsen die Webanwendungen selbst und werden kontinuierlich komplexer. Für jedes Symbol, jede URL und jeden eingebetteten Inhalt auf einer Webseite ist eine DNS-Suche erforderlich. Das Laden komplexer Sites kann Hunderte von DNS-Abfragen erfordern und selbst für das Laden einfacher Smartphone-Apps können zahlreiche DNS-Abfragen erforderlich sein.

In den letzten fünf Jahren hat sich das Volumen der DNS-Abfragen für .com- und .net-Adressen mehr als verdoppelt und stieg im ersten Quartal 2016 auf eine durchschnittliche tägliche Abfragelast von 124 Milliarden. Im gleichen Zeitraum wurden dem Internet mehr als 10 Millionen Domänennamen hinzugefügt. Da immer mehr Cloud-Implementierungen eingesetzt werden, dürfte das zukünftige Wachstum sogar noch schneller verlaufen.

DNS ist zwar das Rückgrat des Internets, beantwortet alle Anfragen und löst alle Zahlen auf, damit Sie Ihre Lieblingssites finden können, ist aber gleichzeitig auch einer der anfälligsten Punkte in Ihrem Netzwerk. Aufgrund seiner entscheidenden Rolle ist DNS ein wertvolles Ziel für Angreifer. DNS-DDoS-Angriffe können Ihre DNS-Server bis zum Ausfall überlasten oder Anfragen kapern und an einen bösartigen Server umleiten. Um dies zu verhindern, müssen eine verteilte, leistungsstarke und sichere DNS-Architektur und DNS-Offload-Funktionen in das Netzwerk integriert werden.

Im Allgemeinen verfügen Organisationen über eine Reihe von DNS-Servern, von denen jeder bis zu 150.000 DNS-Abfragen pro Sekunde verarbeiten kann. Hochleistungs-DNS-Server können etwa 200.000 Anfragen pro Sekunde verarbeiten. Die Bösewichte können diese Raten leicht überschreiten, wie die DNS-Ausfälle bei Dyn, The New York Times, LinkedIn, Network Solutions und Twitter zeigen.

Um DNS-Anstiege und DNS-DDoS-Angriffe zu bekämpfen, fügen Unternehmen weitere DNS-Server hinzu, die im normalen Geschäftsbetrieb nicht wirklich benötigt werden. Außerdem erfordert diese kostspielige Lösung für Änderungen häufig manuelle Eingriffe. Darüber hinaus erfordern herkömmliche DNS-Server häufige Wartung und Patches, vor allem zum Beheben neuer Schwachstellen.

Bei der Suche nach DNS-Lösungen entscheiden sich viele Organisationen für BIND (Berkeley Internet Naming Daemon), den ursprünglichen DNS-Resolver des Internets. BIND ist auf etwa 80 Prozent der DNS-Server weltweit installiert und ist ein Open-Source-Projekt, das vom Internet Systems Consortium (ISC) verwaltet wird. ISC ist eine gemeinnützige Organisation mit einem gewinnorientierten Beratungszweig namens DNS-CO, der vier verschiedene Abonnement- und Supportservice-Stufen anbietet.

Trotz seiner Beliebtheit erfordert BIND mehrmals im Jahr umfangreiche Wartungsarbeiten, hauptsächlich aufgrund von Sicherheitslücken, Patches und Upgrades. Es kann kostenlos heruntergeladen werden, benötigt jedoch Server (zusätzliche Kosten, einschließlich Supportverträge) und ein Betriebssystem. Darüber hinaus ist BIND normalerweise nur auf 50.000 Antworten pro Sekunde (RPS) skalierbar und damit sowohl für legitime als auch für böswillige DNS-Überlastungen anfällig.

Die Referenzarchitektur F5 Intelligent DNS Scale bietet eine intelligentere Möglichkeit, auf DNS-Abfragen zu reagieren und diese zu skalieren. Sie berücksichtigt eine Vielzahl von Netzwerkbedingungen und -situationen, um Benutzeranwendungsanforderungen und Anwendungsdienste basierend auf Geschäftsrichtlinien, Rechenzentrumsbedingungen, Netzwerkbedingungen und Anwendungsleistung zu verteilen.

Anstatt sich über DNS-Ausfälle Sorgen zu machen und zusätzliche DNS-Infrastruktur zum Schutz vor Spitzenlasten zu erwerben, können Sie ein F5 BIG-IP-Gerät in der DMZ Ihres Netzwerks installieren und es die Anfragen im Namen Ihres Haupt-DNS-Servers verarbeiten lassen.

BIG-IP DNS lässt sich auf 100 Millionen RPS hyperskalieren. Dies bedeutet, dass selbst große Mengen an DNS-Anfragen (einschließlich böswilliger Anfragen) Ihre Inhalte nicht stören oder die Verfügbarkeit kritischer Anwendungen beeinträchtigen. Ihre Netzwerkadministratoren können beruhigt sein, da sie wissen, dass Ihre Site auf alle DNS-Abfragen antwortet und selbst während eines Angriffs verfügbar bleibt. Ihre Marke ist geschützt und Ihr Unternehmen kann eine peinliche Story auf der Titelseite vermeiden.

Die F5 Intelligent DNS Scale-Referenzarchitektur trägt dazu bei, dass Ihre Anwendungen und Inhalte Ihren Benutzern kontinuierlich zur Verfügung stehen. Einer der wichtigsten Bestandteile dieser Architektur ist die speziell entwickelte DNS-Express-Abfrageantwortfunktion in BIG-IP DNS, die autoritative DNS-Abfragen verwaltet, indem sie Zonen vom primären DNS-Server in ihren eigenen RAM überträgt.

BIG-IP DNS muss das DNS-Abfragepaket nur einmal öffnen, solange sich die Anforderung auf eine Adresse bezieht, die sich in der Zone befindet, die an DNS Express übertragen wurde. Dies vereinfacht den Prozess und verbessert die Leistung und Reaktionszeiten Ihrer DNS-Architektur erheblich.

Mit DNS Express kann der einzelne Kern jedes BIG-IP-Geräts etwa 125.000 bis 200.000 Anfragen pro Sekunde beantworten und so auf über 50 Millionen Abfrage-RPS skalieren, also mehr als das Zwölffache der Kapazität eines typischen primären DNS-Servers.

Jedes BIG-IP-Gerät ist von ICSA Labs als Netzwerk-Firewall zertifiziert. Durch die intelligente Auswertung der Reputation von Internet-Hosts kann das BIG-IP-Gerät verhindern, dass Angreifer Ihr DNS durch einen DNS-DDoS-Angriff offline schalten, Daten stehlen, Unternehmensressourcen gefährden oder Ihren Geschäftsbetrieb auf andere Weise stören. 

Darüber hinaus kann DNSSEC Ihre DNS-Infrastruktur, einschließlich Cloud-Bereitstellungen, vor Cache-Poisoning-Angriffen und Domain-Hijacking schützen. Mit DNSSEC-Unterstützung können Sie Ihre DNS-Abfrage digital signieren und mit verschlüsselten Antworten unterstützen. Dadurch kann der Resolver die Authentizität der Antwort feststellen und DNS-Hijacking und Cache-Poisoning verhindern. Der F5 IP Intelligence-Dienst verbessert Ihre allgemeine Sicherheit, indem er den Zugriff auf IP-Adressen verweigert, die bekanntermaßen mit Malware infiziert sind, mit Malware-Verteilungspunkten in Kontakt stehen oder einen schlechten Ruf haben.

Die Referenzarchitektur F5 Intelligent DNS Scale trägt außerdem dazu bei, dass Ihre Inhalte und Anwendungen verfügbar bleiben, indem sie auf DNS-Abfragen vom Rand des Netzwerks aus antwortet und nicht aus den Tiefen Ihrer kritischen Infrastruktur. Wenn Sie DNS-Antworten auf die BIG-IP-Plattform auslagern, erreichen die Anfragen nicht das Back-End Ihres Netzwerks. Dadurch verbessern Sie Ihre Skalierbarkeit und können besser auf DNS-Spitzen reagieren. Gleichzeitig wird Ihre DNS-Infrastruktur geschützt.

Indem die F5 Intelligent DNS Scale-Referenzarchitektur die Geschwindigkeit, Verfügbarkeit, Skalierbarkeit und Sicherheit Ihrer DNS-Infrastruktur erhöht, stellt sie sicher, dass Ihre Kunden und Mitarbeiter jederzeit auf Ihre wichtigen Web-, Anwendungs- und Datenbankdienste zugreifen können, wenn sie diese benötigen.

Dies gilt auch für Cloud-Bereitstellungen oder Infrastrukturen, in denen DNS verteilt ist. Organisationen können ihre leistungsstarke DNS-Infrastruktur in nahezu jeder Umgebung replizieren. Sie verfügen möglicherweise über Cloud-DNS für die Notfallwiederherstellung/Geschäftskontinuität oder sogar einen Cloud-DNS-Dienst mit signierten DNSSEC-Zonen. Die erweiterte AXFR-Unterstützung von F5 DNS Services bietet Zonenübertragungen von einem BIG-IP-Gerät zu jedem DNS-Dienst und ermöglicht Unternehmen so die Replikation von DNS in physischen, virtuellen und Cloud-Umgebungen. Der DNS-Replikationsdienst kann an andere BIG-IP-Geräte oder andere allgemeine DNS-Server in Rechenzentren oder Clouds gesendet werden, die den Benutzern am nächsten sind.

Darüber hinaus können Organisationen Benutzer auf eine Site weiterleiten, die ihnen das beste Erlebnis bietet. BIG-IP DNS-Dienste verwenden eine Reihe von Lastausgleichsmethoden und intelligentes Monitoring für jede einzelne App und jeden einzelnen Benutzer. Der Datenverkehr wird entsprechend Ihren Geschäftsrichtlinien sowie den aktuellen Netzwerk- und Benutzerbedingungen weitergeleitet. Zu den BIG-IP DNS-Diensten gehört eine präzise und detaillierte Geolokalisierungsdatenbank, die Ihnen Kontrolle über die Verkehrsverteilung basierend auf dem Benutzerstandort gibt.

BIG-IP DNS ist eine globale DNS-Lösung, die Namensdienste am äußersten Rand Ihrer Dienstbereitstellungs- und Zugriffsnetzwerke bereitstellt. Durch den Einsatz geografischer Standortdienste kann es Benutzer basierend auf ihrem physischen Standort zum Rechenzentrum mit der besten Dienstbereitstellung leiten.

BIG-IP DNS bietet die folgenden Namensdienste:

• DNS-Dienste am Rand des Netzwerks für alle internen und externen Dienste.
• Geolokalisierungsdienste für eine punktgenaue Anwendung oder Bereitstellung von Diensten basierend auf dem Standort des mobilen Benutzers.
• Der IP Intelligence-Dienst schützt Infrastrukturen, indem er den Zugriff von IP-Adressen erkennt und stoppt, die mit böswilligen Aktivitäten in Verbindung stehen.
• Eine einzige Kontrollstelle für die Verwaltung aller globalen und lokalen Namensdienste.
• Zusätzliche intelligente BIG-IP-Servicelösungen wie globale Anwendungsbereitstellung, Richtliniendurchsetzung, NAT64- und DNS64-Übersetzung, Integritätsmonitore und die F5-Skriptsprache iRules.
• Unterstützung für globale DNS-Dienste
• Integration mit DNS iRules für granulare DNS-Entscheidungen und Bereitstellung von Namensdiensten.
• Unterstützung für dienstanbieterspezifische Protokolle wie ENUM-Anfragen für SIP-Transaktionen.

Innerhalb des Rechenzentrums kann der BIG-IP Local Traffic Manager (LTM) durch die Erstellung einer fehlertoleranten Architektur vom mobilen Rand bis zum Dienst sicherstellen, dass Ihre Anwendungen und Inhalte hochverfügbar bleiben. Neben der Bereitstellung hoher Verfügbarkeit unterstützt BIG-IP LTM auch dienstanbieterspezifische Anwendungen wie den Lastenausgleich von ENUM-Anfragen für SIP-Transaktionen.

Zu den BIG-IP LTM-Lösungen für Namensdienste zählen:

• Integration mit BIG-IP DNS, um umfangreiche Namensgebungsdienste auf das lokale Rechenzentrum und Servicenetzwerk auszuweiten.
• Lastausgleichsunterstützung für lokales DNS und rekursives DNS.
• Unterstützung für dienstanbieterspezifische Protokolle wie ENUM-Anfragen für SIP-Transaktionen.
• Transparente Integritätsmonitore zur Bewertung der Dienstintegrität, bevor Benutzer an den Dienst gesendet werden. BIG-IP LTM kann Integritätsinformationen zurück an BIG-IP DNS weiterleiten, um Anwendungsbewusstsein an den Rand des SDN zu bringen.
• Integration mit iRules für granulare DNS-Entscheidungen und Bereitstellung von Namensdiensten.

Die Referenzarchitektur F5 Intelligent DNS Scale passt sich an Anwendungen mit hoher Verfügbarkeit und hohem Volumen an und unterstützt gleichzeitig Millionen von Benutzeranforderungen pro Sekunde. Sie arbeiten mit anderen BIG-IP-Dienstbereitstellungsfunktionen wie der Skriptsprache iRules, der transparenten Anwendungsüberwachung und anderen IP-bezogenen Diensten zusammen, um eine vollständige Dienstbereitstellungsinfrastruktur zu erstellen: das F5 Service Delivery Network. Nahtlose Skalierbarkeit und Flexibilität werden durch die Nutzung der intelligenten Servicebereitstellungsplattform erreicht, die allen BIG-IP-Geräten gemeinsam ist.

Durch die Verwendung der F5 Intelligent DNS Scale-Referenzarchitektur können Unternehmen:

• Erhöhen Sie die Geschwindigkeit, Verfügbarkeit, Skalierbarkeit und Sicherheit Ihrer DNS-Infrastruktur.
• Reduzieren Sie Komplexität und Kosten, indem Sie unnötige zusätzliche DNS-Server eliminieren.
• Genießen Sie die Gewissheit, dass Ihre Site auf alle DNS-Anfragen antwortet.

Die Referenzarchitektur F5 Intelligent DNS Scale ist eine End-to-End-DNS-Bereitstellungslösung, die die Web-Leistung durch Reduzierung der DNS-Latenz verbessert, Ihre Web-Eigenschaften und den Ruf Ihrer Marke durch die Eindämmung von DNS-DDoS-Angriffen schützt und die Rechenzentrumskosten durch Konsolidierung der DNS-Infrastruktur senkt. Und das Wichtigste: Ihre Kunden werden zu den leistungsstärksten Komponenten geleitet, um eine optimale Anwendung und Servicebereitstellung zu gewährleisten.

Darüber hinaus bietet die Referenzarchitektur F5 Intelligent DNS Scale die Gewissheit, dass Ihre Webanwendungen auf alle DNS-Abfragen antworten. So stehen Ihren Benutzern Ihre Inhalte und Anwendungen jederzeit und überall zur Verfügung.