L'architecture de référence de l'échelle DNS intelligente F5

Le système de noms de domaine (DNS) a été créé en 1983 pour permettre aux utilisateurs d'identifier facilement tous les ordinateurs, services et ressources connectés à Internet par leur nom, plutôt que par leur adresse IP (Internet Protocol), une chaîne d'informations binaires impossible à mémoriser.

Un serveur DNS traduit les noms de domaine que vous saisissez dans un navigateur en une adresse IP, ce qui permet à votre appareil de trouver le service ou le site que vous recherchez sur Internet.

Sans doute la principale technologie permettant l’existence d’Internet, le DNS est également l’un des composants les plus importants de l’infrastructure réseau. En plus de fournir du contenu et des applications, DNS gère également une architecture distribuée et redondante pour garantir une haute disponibilité et un temps de réponse rapide des utilisateurs. Il est donc essentiel de disposer d'une infrastructure DNS disponible, intelligente, sécurisée et évolutive. Si le DNS tombe en panne, la plupart des applications Web cesseront de fonctionner correctement, ce qui affectera votre entreprise et votre marque.

L'architecture de référence évolutive DNS intelligente de bout en bout de F5 permet aux organisations de créer une base DNS solide qui maximise les ressources et augmente la gestion des services, tout en restant suffisamment agile pour prendre en charge les architectures réseau, les appareils et les applications existants et futurs.

Lorsqu'un utilisateur demande une page Web, cette demande est transmise à un serveur DNS local, qui à son tour communique avec les principaux serveurs DNS. Tout fonctionne bien jusqu’à ce qu’une augmentation du trafic se produise ou qu’un attaquant inonde le serveur avec des demandes de requête DNS. Si votre serveur DNS principal est surchargé, il cessera de répondre, ce qui peut rendre votre site Web indisponible.

Les pannes DNS représentent 41 % des temps d'arrêt de l'infrastructure Web. Il est donc essentiel de maintenir votre DNS disponible. Selon une étude menée par l’Aberdeen Group, les entreprises perdent en moyenne 138 000 dollars pour chaque heure de panne de leurs centres de données. Les temps d’arrêt affectent négativement les clients, peuvent entraîner une perte de revenus et peuvent même affecter les employés qui tentent d’accéder aux ressources de l’entreprise, telles que la messagerie électronique.

C’est pourquoi l’importance d’une base DNS solide ne peut être surestimée. Sans cela, vos clients risquent de ne pas pouvoir accéder à votre contenu et à vos applications quand ils le souhaitent, et s'ils ne peuvent pas obtenir ce qu'ils veulent de vous, ils iront probablement ailleurs.

Il existe de nombreuses raisons pour lesquelles les exigences DNS augmentent si rapidement. Au cours des cinq dernières années, le nombre d'utilisateurs d'Internet a augmenté de 82 pour cent ; le nombre de sites Web est passé d'environ 580 millions à 1,24 milliard et le nombre de requêtes DNS a augmenté de plus de 100 pour cent.

En outre, le nombre de connexions mobiles utilisées a augmenté de 2,2 milliards et près de 60 % des utilisateurs du Web déclarent s'attendre à ce qu'un site Web se charge sur leur téléphone mobile en trois secondes ou moins.

Les organisations connaissent une croissance rapide en termes d’applications ainsi que du volume de trafic accédant à ces applications. De plus, les applications Web elles-mêmes se développent et deviennent continuellement plus complexes. Chaque icône, URL et élément de contenu intégré sur une page Web nécessite une recherche DNS. Le chargement de sites complexes peut nécessiter des centaines de requêtes DNS, et même de simples applications pour smartphone peuvent nécessiter de nombreuses requêtes DNS juste pour se charger.

Au cours des cinq dernières années, le volume de requêtes DNS pour les adresses .com et .net a plus que doublé, atteignant une charge de requêtes quotidienne moyenne de 124 milliards au premier trimestre 2016. Au cours de la même période, plus de 10 millions de noms de domaine ont été ajoutés à Internet. La croissance future devrait se produire à un rythme encore plus rapide à mesure que davantage d’implémentations cloud seront déployées.

Si le DNS est l’épine dorsale d’Internet (répondant à toutes les requêtes et résolvant tous les numéros pour que vous puissiez trouver vos sites préférés), c’est aussi l’un des points les plus vulnérables de votre réseau. En raison du rôle crucial qu’il joue, le DNS est une cible de grande valeur pour les attaquants. Les attaques DDoS DNS peuvent inonder vos serveurs DNS jusqu'au point de défaillance ou détourner et rediriger les requêtes vers un serveur malveillant. Pour éviter cela, une architecture DNS distribuée, performante et sécurisée ainsi que des capacités de déchargement DNS doivent être intégrées au réseau.

En général, les organisations disposent d’un ensemble de serveurs DNS, chacun capable de gérer jusqu’à 150 000 requêtes DNS par seconde. Les serveurs DNS hautes performances peuvent gérer environ 200 000 requêtes par seconde. Les méchants peuvent facilement dépasser ces taux, comme l’illustrent les pannes DNS affectant Dyn, The New York Times, LinkedIn, Network Solutions et Twitter.

Pour faire face aux pics DNS et aux attaques DDoS DNS, les entreprises ajoutent davantage de serveurs DNS, qui ne sont pas vraiment nécessaires dans le cadre des opérations commerciales normales. Cette solution coûteuse nécessite également souvent une intervention manuelle pour les modifications. De plus, les serveurs DNS traditionnels nécessitent une maintenance et des correctifs fréquents, principalement pour les nouvelles vulnérabilités.

Lors de la recherche de solutions DNS, de nombreuses organisations choisissent BIND (Berkeley Internet Naming Daemon), le résolveur DNS d'origine d'Internet. Installé sur environ 80 % des serveurs DNS du monde, BIND est un projet open source maintenu par Internet Systems Consortium (ISC). ISC est une organisation à but non lucratif dotée d'une branche de conseil à but lucratif appelée DNS-CO, qui propose 4 niveaux différents d'abonnements et de services d'assistance.

Malgré sa popularité, BIND nécessite une maintenance importante plusieurs fois par an, principalement en raison de vulnérabilités, de correctifs et de mises à niveau. Il peut être téléchargé gratuitement, mais nécessite des serveurs (un coût supplémentaire, y compris des contrats de support) et un système d'exploitation. De plus, BIND évolue généralement jusqu'à seulement 50 000 réponses par seconde (RPS), ce qui le rend vulnérable aux pics DNS légitimes et malveillants.

L'architecture de référence F5 Intelligent DNS Scale offre un moyen plus intelligent de répondre et d'évoluer en fonction des requêtes DNS et prend en compte une variété de conditions et de situations réseau pour distribuer les demandes d'application utilisateur et les services d'application en fonction des politiques commerciales, des conditions du centre de données, des conditions du réseau et des performances des applications.

Au lieu de vous soucier des pannes DNS et d'acheter une infrastructure DNS supplémentaire pour lutter contre les surtensions, vous pouvez installer un périphérique F5 BIG-IP dans la DMZ de votre réseau et le laisser gérer les demandes au nom de votre serveur DNS principal.

BIG-IP DNS s'adapte à 100 millions de RPS, ce qui signifie que même de fortes augmentations de requêtes DNS (y compris celles malveillantes) ne perturberont pas votre contenu ni n'affecteront la disponibilité des applications critiques. Vos administrateurs réseau peuvent être rassurés, sachant que votre site répondra à toutes les requêtes DNS et restera disponible même en cas d’attaque. Votre marque est protégée et votre entreprise peut éviter un article embarrassant en première page.

L'architecture de référence F5 Intelligent DNS Scale permet de garantir que vos applications et votre contenu sont continuellement disponibles pour vos utilisateurs. L’un des éléments les plus importants de cette architecture est la fonction de réponse aux requêtes DNS Express spécialement conçue dans BIG-IP DNS, qui gère les requêtes DNS faisant autorité en transférant les zones du serveur DNS principal vers sa propre RAM.

BIG-IP DNS n’a besoin d’ouvrir le paquet de requête DNS qu’une seule fois, à condition que la demande concerne une adresse qui se trouve dans la zone qui a été transférée vers DNS Express, simplifiant ainsi le processus et améliorant considérablement les performances et les temps de réponse de votre architecture DNS.

Avec DNS Express, le cœur individuel de chaque périphérique BIG-IP peut répondre à environ 125 000 à 200 000 requêtes par seconde, évoluant jusqu'à plus de 50 millions de requêtes RPS, soit plus de 12 fois la capacité d'un serveur DNS principal classique.

Chaque appareil BIG-IP est certifié ICSA Labs en tant que pare-feu réseau. En évaluant intelligemment la réputation des hôtes Internet, le dispositif BIG-IP peut empêcher les attaquants de mettre votre DNS hors ligne avec une attaque DNS DDoS, de voler des données, de compromettre les ressources de l'entreprise ou de perturber votre activité de toute autre manière. 

De plus, DNSSEC peut protéger votre infrastructure DNS, y compris les déploiements cloud, contre les attaques d'empoisonnement du cache et les détournements de domaine. Avec la prise en charge DNSSEC, vous pouvez signer numériquement et prendre en charge votre requête DNS avec des réponses cryptées, permettant au résolveur de déterminer l'authenticité de la réponse et d'empêcher le piratage DNS et l'empoisonnement du cache. Le service F5 IP Intelligence améliore votre sécurité globale en refusant l'accès aux adresses IP connues pour être infectées par des logiciels malveillants, en contact avec des points de distribution de logiciels malveillants et ayant une mauvaise réputation.

L'architecture de référence F5 Intelligent DNS Scale permet également de maintenir la disponibilité de votre contenu et de vos applications en répondant aux requêtes DNS depuis la périphérie du réseau, plutôt que depuis les profondeurs de votre infrastructure critique. Lorsque vous déchargez les réponses DNS sur la plateforme BIG-IP, les requêtes n'atteignent pas le back-end de votre réseau, ce qui augmente considérablement votre capacité à évoluer et à répondre aux pics DNS tout en protégeant votre infrastructure DNS.

En augmentant la vitesse, la disponibilité, l'évolutivité et la sécurité de votre infrastructure DNS, l'architecture de référence F5 Intelligent DNS Scale garantit que vos clients et vos employés peuvent accéder à vos services Web, d'application et de base de données critiques chaque fois qu'ils en ont besoin.

Ceci s’applique également aux déploiements cloud ou aux infrastructures où le DNS est distribué. Les organisations peuvent répliquer leur infrastructure DNS hautes performances dans presque tous les environnements. Ils peuvent disposer d'un DNS cloud pour la reprise après sinistre/la continuité des activités, ou même d'un service DNS cloud avec des zones DNSSEC signées. La prise en charge AXFR améliorée des services DNS F5 offre des transferts de zone d'un périphérique BIG-IP vers n'importe quel service DNS, permettant aux organisations de répliquer le DNS dans des environnements physiques, virtuels et cloud. Le service de réplication DNS peut être envoyé à d'autres appareils BIG-IP ou à d'autres serveurs DNS généraux dans des centres de données ou des clouds les plus proches des utilisateurs.

De plus, les organisations peuvent envoyer les utilisateurs vers un site qui leur offrira la meilleure expérience. Les services DNS BIG-IP utilisent une gamme de méthodes d'équilibrage de charge et une surveillance intelligente pour chaque application et utilisateur spécifique. Le trafic est acheminé en fonction des politiques de votre entreprise, ainsi que des conditions actuelles du réseau et des utilisateurs. Les services DNS BIG-IP incluent une base de données de géolocalisation précise et granulaire, vous donnant le contrôle de la distribution du trafic en fonction de l'emplacement de l'utilisateur.

BIG-IP DNS est une solution DNS globale, fournissant des services de noms à la périphérie de vos réseaux de distribution de services et d'accès. En utilisant des services de localisation géographique, il peut diriger les utilisateurs vers le meilleur centre de données de prestation de services en fonction de leur emplacement physique.

BIG-IP DNS fournit les services de noms suivants :

• Services DNS en périphérie du réseau pour tous les services internes et externes.
• Services de géolocalisation permettant de déterminer avec précision la fourniture d'applications ou de services en fonction de la localisation de l'utilisateur mobile.
• Le service IP Intelligence protège les infrastructures en détectant et en bloquant l'accès à partir d'adresses IP associées à des activités malveillantes.
• Un point de contrôle unique pour la gestion de tous les services de noms mondiaux et locaux.
• Solutions de services intelligents BIG-IP supplémentaires telles que la distribution d'applications mondiales, l'application des politiques, la traduction NAT64 et DNS64, les moniteurs de santé et le langage de script F5, iRules.
• Prise en charge des services DNS mondiaux
• Intégration avec DNS iRules pour des décisions DNS granulaires et la fourniture de services de noms.
• Prise en charge des protocoles spécifiques aux fournisseurs de services tels que les requêtes ENUM pour les transactions SIP.

Au sein du centre de données, BIG-IP Local Traffic Manager (LTM) peut garantir que vos applications et votre contenu restent hautement disponibles en créant une architecture tolérante aux pannes depuis la périphérie mobile jusqu'au service. En plus d'offrir une haute disponibilité, BIG-IP LTM prend également en charge les applications spécifiques aux fournisseurs de services telles que l'équilibrage de charge des requêtes ENUM pour les transactions SIP.

Les solutions BIG-IP LTM pour les services de dénomination incluent :

• Intégration avec BIG-IP DNS pour étendre les services de dénomination riches au centre de données local et au réseau de services.
• Prise en charge de l'équilibrage de charge pour les DNS locaux et les DNS récursifs.
• Prise en charge des protocoles spécifiques aux fournisseurs de services tels que les requêtes ENUM pour les transactions SIP.
• Moniteurs de santé transparents pour évaluer l’état du service avant d’envoyer les utilisateurs au service. BIG-IP LTM peut relayer les informations de santé au BIG-IP DNS pour apporter la connaissance des applications à la périphérie du SDN.
• Intégration avec iRules pour des décisions DNS granulaires et la fourniture de services de noms.

L'architecture de référence F5 Intelligent DNS Scale s'adapte aux applications à haute disponibilité et à volume élevé tout en prenant en charge simultanément des millions de requêtes utilisateur par seconde. Ils fonctionnent avec d'autres fonctionnalités de fourniture de services BIG-IP, telles que le langage de script iRules, la surveillance transparente des applications et d'autres services liés à IP pour créer une infrastructure de fourniture de services complète : le réseau de fourniture de services F5. Une évolutivité et une flexibilité transparentes sont obtenues en exploitant la plate-forme de fourniture de services intelligente commune à tous les appareils BIG-IP.

En utilisant l'architecture de référence F5 Intelligent DNS Scale, les organisations peuvent :

• Augmentez la vitesse, la disponibilité, l’évolutivité et la sécurité de votre infrastructure DNS.
• Réduisez la complexité et les coûts en éliminant les serveurs DNS supplémentaires inutiles.
• Bénéficiez de la tranquillité d'esprit que procure le fait de savoir que leur site répondra à toutes les requêtes DNS.

L'architecture de référence F5 Intelligent DNS Scale est une solution de distribution DNS de bout en bout qui améliore les performances Web en réduisant la latence DNS, protège vos propriétés Web et la réputation de votre marque en atténuant les attaques DNS DDoS et réduit les coûts du centre de données en consolidant l'infrastructure DNS. Plus important encore, il oriente vos clients vers les composants les plus performants pour une application et une prestation de services optimales.

L'architecture de référence F5 Intelligent DNS Scale offre également la tranquillité d'esprit de savoir que vos applications Web répondront à toutes les requêtes DNS, gardant votre contenu et vos applications disponibles pour vos utilisateurs où et quand ils veulent y accéder.