BLOG

Fortaleciendo la resiliencia y el rendimiento del DNS con una arquitectura híbrida

Miniatura de Kok-Yong CHEONG
Kok-Yong CHEONG
Publicado el 21 de junio de 2024

El sistema de nombres de dominio (DNS) se conoce a menudo como la guía telefónica de Internet, ya que traduce nombres de host de computadoras fáciles de entender en direcciones IP. Esta función crucial garantiza el acceso a las aplicações de Internet y a los servicios digitales, formando una base esencial para la conectividad en línea.

Los ataques basados en DNS han aumentado en los últimos años y evolucionan continuamente para explotar la disponibilidad, la estabilidad y las vulnerabilidades de los servicios DNS. Según el Informe de tendencias de ataques DDoS 2023 de F5 Labs, los ciberatacantes están adoptando métodos cada vez más sofisticados, lo que convierte a los ataques basados en DNS en una amenaza persistente y un tipo de ataque favorecido por los ciberdelincuentes. Por ejemplo , un importante ataque de denegación de servicio distribuido (DDoS) en abril de 2021 paralizó varios servicios en la nube de Microsoft, incluidos Xbox Live, Office, SharePoint Online, Teams y OneDrive, durante dos horas. Avanzando rápidamente hasta abril de 2023, una serie de ataques DDoS a dominios DNS inexistentes (NXDOMAIN) tuvieron como objetivo y abrumaron a sitios web de atención médica de EE. UU . Este ataque provocó una congestión de la red, lo que hizo que los servidores no pudieran satisfacer solicitudes válidas de los usuarios y puso de relieve la necesidad crítica de contar con sistemas DNS robustos y redundantes en una red híbrida.

Dada la naturaleza crítica del DNS y la rápida evolución de las tecnologías en la nube, las organizaciones necesitan buscar las mejores soluciones de DNS de alta disponibilidad para abordar la resiliencia del DNS desde todos los ángulos.

La nube es fantástica; combinarla con una solución local complementaria es aún mejor.

Las interrupciones del DNS en la nube demuestran que las interrupciones en los servicios en la nube, particularmente el DNS, ocurren a pesar de los sistemas redundantes. Estas interrupciones pueden surgir de diversos factores, como errores de software, configuraciones incorrectas, errores humanos o problemas de energía y accesibilidad de la red. Garantizar que un sistema permanezca constantemente operativo es un desafío. 
 
Debido al aumento de las interrupciones de DNS, las organizaciones están explorando cómo aprovechar la agilidad de los servicios en la nube y, al mismo tiempo, mantener el control sobre la disponibilidad y la seguridad, incluso cuando se interrumpen los servicios en la nube.

Como complemento de los servicios DNS, el equilibrio de carga del servidor global (GSLB), un mecanismo de equilibrio de carga creado sobre el protocolo DNS, permite la resiliencia de múltiples centros de datos y múltiples nubes. Lo hace aprovechando información sobre los recursos de servicio y el DNS para dirigir de forma inteligente el tráfico a través de ubicaciones geográficas distribuidas en función de las políticas comerciales y de red. Para garantizar un tiempo de funcionamiento continuo de sus operaciones, las organizaciones están explorando activamente diseños de resiliencia óptimos para estos servicios de DNS central y DNS inteligente estrechamente acoplados.

Mejorando la resiliencia y el rendimiento del DNS con una arquitectura híbrida basada en F5

La adopción de un servicio DNS basado en SaaS de F5 Distributed Cloud Services para trabajar en conjunto con una solución DNS F5 BIG-IP local proporciona a las organizaciones mayor elasticidad, agilidad y mitigación de DDoS, junto con escala global, rendimiento y disponibilidad. Es cuando estas soluciones se combinan (una local y otra en la nube) que las ventajas realmente empiezan a sumarse. Con BIG-IP DNS, los usuarios pueden aprovechar las capacidades de automatización para garantizar seguridad y disponibilidad completas, con características adicionales como registros DNS primarios ocultos y autoridad para activar servicios DNS locales. 

Esta arquitectura permite a las organizaciones utilizar F5 Distributed Cloud Services para DNS autorizado durante operaciones normales. Si es necesario, pueden cambiar a servicios de DNS locales, lo que garantiza que mantendrán el control sobre su infraestructura de DNS.

En la arquitectura de DNS híbrida de F5, el DNS en la nube distribuida funciona como DNS autorizado y secundario, aprovechando la capacidad y las capacidades basadas en SaaS, tales como:   

  • Capas de seguridad: Obtenga seguridad dinámica con conmutación por error automática que evita ataques DDoS o manipulación de respuestas de dominio con protección incorporada.   
  • Escalado automático de capacidad: Implemente y brinde soporte a aplicações en cualquier lugar. Esta solución DNS está construida sobre un plano de datos global que facilita la implementación y la administración, además de escalarse automáticamente para satisfacer una demanda de gran volumen.  
  • Mantener una alta disponibilidad: Construido sobre una red anycast global, proporciona DNS altamente disponible y receptivo a través de puntos de presencia en mercados globales.  
  • Implementación y entrega rápidas: Configure y aprovisione en minutos, con un solo conjunto de API. 

En situaciones imprevistas donde los servicios de DNS basados en SaaS no están disponibles, las organizaciones pueden activar automáticamente el DNS BIG-IP local para garantizar un tráfico de DNS ininterrumpido. BIG-IP DNS ofrece funciones robustas como:  

  • Rendimiento de 100 millones de RPS: BIG-IP DNS utiliza el servicio DNS Express y el modo de respuesta rápida para hiperescalar el DNS autorizado hasta 100 millones de respuestas de consultas por segundo (RPS), lo que garantiza que los usuarios se conecten al mejor sitio. El servicio F5 DNS Express mejora las funciones estándar de DNS al descargar las respuestas de DNS y escalar de cientos de miles a más de 50 millones de RPS.  
  • Cortafuegos DNS/DDoS: Se puede combinar con BIG-IP Advanced Firewall Manager (AFM) para proporcionar una amplia seguridad, incluida la protección del DNS contra ataques DDoS volumétricos, como inundaciones de UDP o ataques DDoS de amplificación.  
  • DNSSEC: Protege los servidores de nombres de dominio locales del envenenamiento de caché y ataques de intermediario con extensiones de seguridad del sistema de nombres de dominio en tiempo real (DNSSEC).  
  • Consolidación de caché: Reduce la latencia y el tiempo de respuesta hasta en un 80%.  
  • Conmutación por error que garantiza la disponibilidad: Conmute por error centros de datos completos o aplicações y servidores individuales para garantizar que los usuarios tengan acceso ininterrumpido a las aplicaciones que necesitan.

Esta arquitectura aborda la necesidad de servicios DNS continuos para mantener las empresas digitales en línea y aprovechar los beneficios de la nube. Garantiza que las organizaciones mantengan el control y eviten quedarse varadas si los servicios en la nube se desconectan.

Da el siguiente paso en tu transición al DNS.

Obtenga más información sobre el concepto y el diseño de la arquitectura DNS híbrida de F5 explorando una configuración de muestra desarrollada por el ingeniero de soluciones de F5, Michelangelo Dorado.

Esta guía paso a paso describe la configuración básica para diseñar la resiliencia de DNS en su entorno. La guía de configuración incluye:

  • Configuración de DNS primario oculto y DNS secundario autorizado
  • Configuración de DNSSEC
  • Configuración de resiliencia de DNS con monitoreo activo del estado
  • Facilidad de configuración e integración en DNS distribuido en la nube y DNS BIG-IP, con automatización basada en API

Descubra cómo F5 Distributed Cloud DNS simplifica la entrega de DNS en aplicações modernas y multicloud: https://www.f5.com/products/distributed-cloud-services/dns