BLOG

Renforcer la résilience et les performances du DNS grâce à une architecture hybride

Miniature de Kok-Yong CHEONG
Kok-Yong CHEONG
Publié le 21 juin 2024

Le système de noms de domaine (DNS) est souvent appelé l'annuaire téléphonique d'Internet, traduisant les noms d'hôtes d'ordinateurs conviviaux en adresses IP. Cette fonction cruciale garantit l’accès aux applications Internet et aux services numériques, constituant ainsi une base essentielle pour la connectivité en ligne.

Les attaques basées sur le DNS ont augmenté ces dernières années, évoluant continuellement pour exploiter la disponibilité, la stabilité et les vulnérabilités des services DNS. Selon le rapport 2023 DDoS Attack Trends Report de F5 Labs, les cyberattaquants adoptent des méthodes de plus en plus sophistiquées, faisant des attaques basées sur le DNS une menace persistante et un type d'attaque privilégié par les cybercriminels. Par exemple , une importante attaque par déni de service distribué (DDoS) en avril 2021 a paralysé plusieurs services cloud Microsoft, notamment Xbox Live, Office, SharePoint Online, Teams et OneDrive, pendant deux heures. Avance rapide jusqu'en avril 2023, une série d'attaques DDoS de domaine DNS inexistant (NXDOMAIN) a ciblé et submergé les sites Web de santé américains . Cette attaque a entraîné une congestion du réseau, rendant les serveurs incapables de répondre aux demandes valides des utilisateurs, soulignant le besoin critique de systèmes DNS robustes et redondants dans un réseau hybride.

Compte tenu de la nature critique du DNS et de l’évolution rapide des technologies cloud, les organisations doivent rechercher les meilleures solutions DNS à haute disponibilité pour gérer la résilience DNS sous tous les angles.

Le cloud est formidable ; l'associer à une solution complémentaire sur site est encore mieux.

Les pannes DNS basées sur le cloud démontrent que des interruptions dans les services cloud, en particulier DNS, se produisent malgré des systèmes redondants. Ces perturbations peuvent provenir de divers facteurs tels que des bugs logiciels, des erreurs de configuration, des erreurs humaines ou des problèmes d’alimentation et d’accessibilité au réseau. Assurer qu’un système reste constamment opérationnel est un défi. 
 
En raison de l’augmentation des pannes DNS, les organisations étudient comment tirer parti de l’agilité des services cloud tout en gardant le contrôle de la disponibilité et de la sécurité, même lorsque les services cloud sont interrompus.

Complément des services DNS, l'équilibrage de charge global du serveur (GSLB), un mécanisme d'équilibrage de charge basé sur le protocole DNS, permet la résilience multi-centres de données et multicloud. Pour ce faire, il exploite les informations sur les ressources de service et le DNS pour orienter intelligemment le trafic sur des emplacements géographiques distribués en fonction des politiques commerciales et réseau. Pour garantir une disponibilité continue de leurs opérations, les organisations explorent activement des conceptions de résilience optimales pour ces services DNS de base et DNS intelligents étroitement couplés.

Amélioration de la résilience et des performances DNS grâce à une architecture hybride basée sur F5

L'adoption d'un service DNS SaaS de F5 Distributed Cloud Services pour fonctionner en tandem avec une solution DNS F5 BIG-IP sur site offre aux organisations une élasticité, une agilité et une atténuation des attaques DDoS améliorées, ainsi qu'une échelle, des performances et une disponibilité mondiales. C’est lorsque ces solutions se combinent (l’une sur site, l’autre dans le cloud) que les avantages commencent réellement à s’accumuler. Avec BIG-IP DNS, les utilisateurs peuvent exploiter les capacités d'automatisation pour garantir une sécurité et une disponibilité complètes, avec des fonctionnalités supplémentaires telles que des enregistrements DNS primaires cachés et l'autorité pour activer les services DNS sur site. 

Cette architecture permet aux organisations d’utiliser les services cloud distribués F5 pour un DNS faisant autorité pendant les opérations normales. Si nécessaire, ils peuvent passer aux services DNS sur site, garantissant ainsi le contrôle de leur infrastructure DNS.

Dans l'architecture DNS hybride F5, le DNS Cloud distribué fonctionne à la fois comme DNS faisant autorité et comme DNS secondaire, en exploitant la capacité et les fonctionnalités basées sur SaaS telles que :   

  • Couches de sécurité : Bénéficiez d'une sécurité dynamique avec basculement automatique qui empêche les attaques DDoS ou la manipulation des réponses de domaine avec une protection intégrée.   
  • Mise à l'échelle automatique de la capacité : Déployez et prenez en charge des applications partout. Cette solution DNS est construite sur un plan de données global qui facilite le déploiement et la gestion, et s'adapte automatiquement pour répondre à une demande à volume élevé.  
  • Maintenir une haute disponibilité : Construit sur un réseau Anycast mondial, il fournit un DNS hautement disponible et réactif via des points de présence sur les marchés mondiaux.  
  • Déploiement et livraison rapides : Configurez et provisionnez en quelques minutes, avec un seul ensemble d'API. 

Dans les situations imprévues où les services DNS basés sur SaaS ne sont pas disponibles, les organisations peuvent activer automatiquement le DNS BIG-IP sur site pour garantir un trafic DNS ininterrompu. BIG-IP DNS offre des fonctionnalités robustes telles que :  

  • Performances à 100 millions de RPS : BIG-IP DNS utilise le service DNS Express et le mode de réponse rapide pour hyperscaler le DNS faisant autorité jusqu'à 100 millions de réponses aux requêtes par seconde (RPS), garantissant ainsi que les utilisateurs se connectent au meilleur site. Le service F5 DNS Express améliore les fonctions DNS standard en déchargeant les réponses DNS et en passant de centaines de milliers à plus de 50 millions de RPS.  
  • Pare-feu DNS/DDoS : Peut être combiné avec BIG-IP Advanced Firewall Manager (AFM) pour fournir une sécurité étendue, y compris la protection DNS contre les attaques DDoS volumétriques telles que les inondations UDP ou les attaques DDoS par amplification.  
  • DNSSEC : Protège les serveurs de noms de domaine locaux contre l'empoisonnement du cache et les attaques de type « man-in-the-middle » grâce aux extensions de sécurité du système de noms de domaine en temps réel (DNSSEC).  
  • Consolidation du cache : Réduit la latence et le temps de réponse jusqu'à 80 %.  
  • Basculement de secours qui assure la disponibilité : Basculez des centres de données entiers ou des applications et serveurs individuels pour garantir aux utilisateurs un accès ininterrompu aux applications dont ils ont besoin.

Cette architecture répond au besoin de services DNS continus pour maintenir les entreprises numériques en ligne tout en tirant parti des avantages du cloud. Il garantit que les organisations gardent le contrôle et évitent d’être bloquées si les services cloud sont hors ligne.

Passez à l’étape suivante de votre parcours DNS

Apprenez-en davantage sur le concept et la conception de l'architecture DNS hybride F5 en explorant un exemple de configuration développé par l'ingénieur en solutions F5 Michelangelo Dorado.

Ce guide étape par étape décrit la configuration de base pour la conception de la résilience DNS dans votre environnement. Le guide de configuration comprend :

  • Configuration du DNS principal caché et du DNS secondaire faisant autorité
  • Configuration DNSSEC
  • Configuration de la résilience DNS avec surveillance active de l'état de santé
  • Facilité de configuration et d'intégration sur DNS Cloud distribué et DNS BIG-IP, avec automatisation API-first

Découvrez comment F5 Distributed Cloud DNS simplifie la distribution DNS sur les applications multicloud et modernes : https://www.f5.com/products/distributed-cloud-services/dns