BLOG

Stärkung der DNS-Ausfallsicherheit und -Leistung durch Hybridarchitektur

Kok-Yong CHEONG Miniaturbild
Kok-Yong CHEONG
Veröffentlicht am 21. Juni 2024

Das Domain Name System (DNS) wird oft als das Telefonbuch des Internets bezeichnet und übersetzt benutzerfreundliche Computer-Hostnamen in IP-Adressen. Diese wichtige Funktion gewährleistet den Zugriff auf Internetanwendungen und digitale Dienste und bildet eine wesentliche Grundlage für die Online-Konnektivität.

DNS-basierte Angriffe haben in den letzten Jahren stark zugenommen und werden kontinuierlich weiterentwickelt, um die Verfügbarkeit, Stabilität und Schwachstellen von DNS-Diensten auszunutzen. Laut dem DDoS Attack Trends Report 2023 von F5 Labs wenden Cyberangreifer immer ausgefeiltere Methoden an, was DNS-basierte Angriffe zu einer ständigen Bedrohung und einer bei Cyberkriminellen bevorzugten Angriffsart macht. So legte beispielsweise ein schwerwiegender Distributed-Denial-of-Service-Angriff (DDoS) im April 2021 mehrere Microsoft-Cloud-Dienste für zwei Stunden lahm, darunter Xbox Live, Office, SharePoint Online, Teams und OneDrive. Schneller Vorlauf bis April 2023: Eine Reihe von DDoS-Angriffen auf DNS Non-Existing Domains (NXDOMAIN) zielten auf US-amerikanische Gesundheitswebsites ab und überlasteten diese. Dieser Angriff führte zu einer Überlastung des Netzwerks und die Server waren nicht mehr in der Lage, gültige Benutzeranforderungen zu erfüllen. Dies unterstreicht die dringende Notwendigkeit robuster, redundanter DNS-Systeme in einem Hybridnetzwerk.

Angesichts der kritischen Natur von DNS und der schnellen Entwicklung von Cloud-Technologien müssen Unternehmen nach den besten hochverfügbaren DNS-Lösungen suchen, um die DNS-Ausfallsicherheit aus jedem Blickwinkel zu gewährleisten.

Die Cloud ist großartig; sie mit einer On-Premise-Begleitlösung zu kombinieren ist sogar noch besser

Ausfälle des Cloud-basierten DNS zeigen, dass es trotz redundanter Systeme zu Störungen bei Cloud-Diensten, insbesondere DNS, kommen kann. Diese Störungen können durch verschiedene Faktoren verursacht werden, beispielsweise durch Softwarefehler, Fehlkonfigurationen, menschliches Versagen oder Probleme mit der Stromversorgung und der Netzwerkerreichbarkeit. Es ist eine Herausforderung, sicherzustellen, dass ein System dauerhaft betriebsbereit bleibt. 
 
Aufgrund der zunehmenden Zahl von DNS-Ausfällen untersuchen Unternehmen, wie sie die Agilität von Cloud-Diensten nutzen und gleichzeitig die Kontrolle über Verfügbarkeit und Sicherheit behalten können, selbst wenn die Cloud-Dienste unterbrochen sind.

Als Ergänzung zu DNS-Diensten ermöglicht Global Server Load Balancing (GSLB) – ein auf dem DNS-Protokoll basierender Lastausgleichsmechanismus – die Ausfallsicherheit mehrerer Rechenzentren und mehrerer Clouds. Dies geschieht durch die Nutzung von Erkenntnissen über Serviceressourcen und DNS, um den Datenverkehr basierend auf Geschäfts- und Netzwerkrichtlinien intelligent über verteilte geografische Standorte zu steuern. Um eine kontinuierliche Verfügbarkeit ihrer Betriebsabläufe zu gewährleisten, suchen Unternehmen aktiv nach optimalen Ausfallsicherheitskonzepten für diese eng gekoppelten DNS-Kern- und intelligenten DNS-Dienste.

Verbesserung der DNS-Ausfallsicherheit und -Leistung mit einer F5-basierten Hybridarchitektur

Die Einführung eines SaaS-basierten DNS-Dienstes von F5 Distributed Cloud Services im Zusammenspiel mit einer lokalen F5 BIG-IP DNS-Lösung bietet Unternehmen verbesserte Elastizität, Agilität und DDoS-Minderung sowie globale Skalierbarkeit, Leistung und Verfügbarkeit. Erst wenn diese Lösungen kombiniert werden – eine vor Ort, eine in der Cloud –, kommen die Vorteile voll zur Geltung. Mit BIG-IP DNS können Benutzer Automatisierungsfunktionen nutzen, um vollständige Sicherheit und Verfügbarkeit zu gewährleisten, mit zusätzlichen Features wie versteckten primären DNS-Einträgen und der Berechtigung zum Aktivieren lokaler DNS-Dienste. 

Diese Architektur ermöglicht es Organisationen, F5 Distributed Cloud Services für autoritatives DNS im Normalbetrieb zu verwenden. Bei Bedarf können sie auf lokale DNS-Dienste umsteigen und so sicherstellen, dass sie die Kontrolle über ihre DNS-Infrastruktur behalten.

In der hybriden DNS-Architektur von F5 fungiert Distributed Cloud DNS sowohl als autoritativer als auch als sekundärer DNS und nutzt SaaS-basierte Kapazitäten und Funktionen wie:   

  • Sicherheitsebenen: Holen Sie sich dynamische Sicherheit mit automatischem Failover, das DDoS-Angriffe oder Manipulationen von Domänenantworten mit integriertem Schutz verhindert.   
  • Automatische Kapazitätsskalierung: Stellen Sie Anwendungen überall bereit und unterstützen Sie sie. Diese DNS-Lösung basiert auf einer globalen Datenebene, die die Bereitstellung und Verwaltung vereinfacht und sich außerdem automatisch skalieren lässt, um eine hohe Nachfrage zu erfüllen.  
  • Sorgen Sie für eine hohe Verfügbarkeit: Es basiert auf einem globalen Anycast-Netzwerk und bietet über Points of Presence auf den globalen Märkten hochverfügbares und reaktionsschnelles DNS.  
  • Schnelle Bereitstellung und Lieferung: Mit einem Satz APIs ist die Konfiguration und Bereitstellung in wenigen Minuten erledigt. 

In unvorhergesehenen Situationen, in denen SaaS-basierte DNS-Dienste nicht verfügbar sind, können Organisationen automatisch BIG-IP DNS vor Ort aktivieren, um einen unterbrechungsfreien DNS-Verkehr sicherzustellen. BIG-IP DNS bietet robuste Funktionen wie:  

  • 100 Millionen RPS Leistung: BIG-IP DNS verwendet den DNS Express-Dienst und den Rapid Response Mode, um autoritatives DNS auf bis zu 100 Millionen Abfrageantworten pro Sekunde (RPS) zu skalieren und so sicherzustellen, dass Benutzer eine Verbindung zur besten Site herstellen. Der F5 DNS Express-Dienst verbessert Standard-DNS-Funktionen durch Auslagern von DNS-Antworten und Skalieren von Hunderttausenden auf über 50 Millionen RPS.  
  • DNS-Firewall/DDoS: Kann mit BIG-IP Advanced Firewall Manager (AFM) kombiniert werden, um umfassende Sicherheit zu bieten, einschließlich der Abschirmung von DNS vor volumetrischen DDoS-Angriffen wie UDP-Floods oder Amplification-DDoS-Angriffen.  
  • DNSSEC: Schützt lokale Domänennameserver mit Echtzeit-Domänennamesystem-Sicherheitserweiterungen (DNSSEC) vor Cache-Poisoning und Man-in-the-Middle-Angriffen.  
  • Cache-Konsolidierung: Reduziert Latenz und Reaktionszeit um bis zu 80 %.  
  • Failover, das die Verfügbarkeit sicherstellt: Führen Sie ein Failover ganzer Rechenzentren oder einzelner Anwendungen und Server durch, um sicherzustellen, dass Benutzer unterbrechungsfreien Zugriff auf die benötigten Apps haben.

Diese Architektur geht auf den Bedarf an kontinuierlichen DNS-Diensten ein, um digitale Unternehmen online zu halten und gleichzeitig die Vorteile der Cloud zu nutzen. Dadurch wird sichergestellt, dass Unternehmen die Kontrolle behalten und nicht allein dastehen, wenn Cloud-Dienste offline gehen.

Machen Sie den nächsten Schritt auf Ihrer DNS-Reise

Erfahren Sie mehr über das Konzept und Design der hybriden DNS-Architektur von F5, indem Sie eine Beispielkonfiguration erkunden, die vom F5-Lösungsingenieur Michelangelo Dorado entwickelt wurde.

In dieser Schritt-für-Schritt-Anleitung wird die Basiskonfiguration für die Integration der DNS-Ausfallsicherheit in Ihre Umgebung beschrieben. Der Konfigurationsleitfaden umfasst:

  • Einrichtung des primären versteckten DNS und des autoritativen sekundären DNS
  • DNSSEC-Konfiguration
  • DNS-Ausfallsicherheits-Setup mit aktiver Integritätsüberwachung
  • Einfache Konfiguration und Integration in Distributed Cloud DNS und BIG-IP DNS mit API-First-Automatisierung

Entdecken Sie, wie F5 Distributed Cloud DNS die DNS-Bereitstellung über Multicloud und moderne Anwendungen vereinfacht: https://www.f5.com/products/distributed-cloud-services/dns