BLOG

Fortalecendo a resiliência e o desempenho do DNS com arquitetura híbrida

Miniatura de Kok-Yong CHEONG
Kok-Yong CHEONG
Publicado em 21 de junho de 2024

O sistema de nomes de domínio (DNS) é frequentemente chamado de lista telefônica da internet, traduzindo nomes de host de computadores amigáveis para humanos em endereços IP. Essa função crucial garante acesso a aplicativos de internet e serviços digitais, formando uma base essencial para a conectividade online.

Os ataques baseados em DNS aumentaram nos últimos anos, evoluindo continuamente para explorar a disponibilidade, estabilidade e vulnerabilidades dos serviços de DNS. De acordo com o Relatório de Tendências de Ataques DDoS de 2023 do F5 Labs, os invasores cibernéticos estão adotando métodos cada vez mais sofisticados, tornando os ataques baseados em DNS uma ameaça persistente e um tipo de ataque preferido pelos criminosos cibernéticos. Por exemplo , um ataque significativo de negação de serviço distribuído (DDoS) em abril de 2021 derrubou vários serviços de nuvem da Microsoft, incluindo Xbox Live, Office, SharePoint Online, Teams e OneDrive, por duas horas. Avançando para abril de 2023, uma série de ataques DDoS de domínio DNS inexistente (NXDOMAIN) teve como alvo e sobrecarregou sites de saúde dos EUA . Esse ataque levou ao congestionamento da rede, tornando os servidores incapazes de atender a solicitações válidas dos usuários, destacando a necessidade crítica de sistemas DNS robustos e redundantes em uma rede híbrida.

Dada a natureza crítica do DNS e a rápida evolução das tecnologias de nuvem, as organizações precisam buscar as melhores soluções de DNS de alta disponibilidade para lidar com a resiliência do DNS de todos os ângulos.

A nuvem é ótima; combiná-la com uma solução complementar local é ainda melhor

Interrupções de DNS baseadas em nuvem demonstram que interrupções em serviços de nuvem, particularmente DNS, ocorrem apesar de sistemas redundantes. Essas interrupções podem surgir de vários fatores, como bugs de software, configurações incorretas, erros humanos ou problemas de energia e acessibilidade de rede. Garantir que um sistema permaneça consistentemente operacional é um desafio. 
 
Devido ao aumento nas interrupções de DNS, as organizações estão explorando como aproveitar a agilidade dos serviços de nuvem e, ao mesmo tempo, manter o controle sobre a disponibilidade e a segurança, mesmo quando os serviços de nuvem são interrompidos.

Um complemento aos serviços DNS, o balanceamento global de carga do servidor (GSLB), um mecanismo de balanceamento de carga criado no protocolo DNS, permite resiliência em vários data centers e várias nuvens. Ele faz isso aproveitando insights de recursos de serviço e DNS para direcionar o tráfego de forma inteligente em localizações geográficas distribuídas com base em políticas de negócios e rede. Para garantir o tempo de atividade contínuo de suas operações, as organizações estão explorando ativamente designs de resiliência ideais para esses serviços DNS principais e DNS inteligentes fortemente acoplados.

Aprimorando a resiliência e o desempenho do DNS com uma arquitetura híbrida baseada em F5

Adotar um serviço DNS baseado em SaaS da F5 Distributed Cloud Services para trabalhar em conjunto com uma solução DNS F5 BIG-IP local fornece às organizações maior elasticidade, agilidade e mitigação de DDoS, juntamente com escala global, desempenho e disponibilidade. É quando essas soluções se combinam — uma no local, outra baseada na nuvem — que as vantagens realmente começam a aumentar. Com o BIG-IP DNS, os usuários podem aproveitar os recursos de automação para garantir segurança e disponibilidade completas, com recursos adicionais como registros DNS primários ocultos e autoridade para ativar serviços DNS locais. 

Essa arquitetura permite que as organizações usem o F5 Distributed Cloud Services para DNS autoritativo durante operações normais. Se necessário, eles podem mudar para serviços de DNS locais, garantindo que mantenham o controle sobre sua infraestrutura de DNS.

Na arquitetura de DNS híbrido F5, o DNS de nuvem distribuída funciona como DNS autoritativo e secundário, aproveitando a capacidade e os recursos baseados em SaaS, como:   

  • Camadas de segurança: Obtenha segurança dinâmica com failover automático que previne ataques DDoS ou manipulação de respostas de domínio com proteção integrada.   
  • Dimensionamento automático de capacidade: Implante e ofereça suporte a aplicativos em qualquer lugar. Esta solução DNS é construída em um plano de dados global que facilita a implantação e o gerenciamento, além de ser dimensionada automaticamente para atender à demanda de alto volume.  
  • Manter alta disponibilidade: Construído em uma rede anycast global, ele fornece DNS altamente disponível e responsivo por meio de pontos de presença em mercados globais.  
  • Implantação e entrega rápidas: Configure e provisione em minutos, com um conjunto de APIs. 

Em situações imprevistas em que os serviços DNS baseados em SaaS não estão disponíveis, as organizações podem ativar automaticamente o BIG-IP DNS local para garantir tráfego DNS ininterrupto. O BIG-IP DNS fornece recursos robustos como:  

  • Desempenho de 100 milhões de RPS: O BIG-IP DNS usa o serviço DNS Express e o Modo de Resposta Rápida para hiperdimensionar o DNS autoritativo em até 100 milhões de respostas de consulta por segundo (RPS), garantindo que os usuários se conectem ao melhor site. O serviço F5 DNS Express melhora as funções DNS padrão ao descarregar respostas DNS e escalar de centenas de milhares para mais de 50 milhões de RPS.  
  • Firewall DNS/DDoS: Pode ser combinado com o BIG-IP Advanced Firewall Manager (AFM) para fornecer segurança abrangente, incluindo proteção de DNS contra ataques DDoS volumétricos, como inundações de UDP ou ataques DDoS de amplificação.  
  • DNSSEC: Protege servidores de nomes de domínio locais contra envenenamento de cache e ataques do tipo man-in-the-middle com extensões de segurança do sistema de nomes de domínio em tempo real (DNSSEC).  
  • Consolidação de cache: Reduz a latência e o tempo de resposta em até 80%.  
  • Failover que garante disponibilidade: Faça failover de data centers inteiros ou de aplicativos e servidores individuais para garantir que os usuários tenham acesso ininterrupto aos aplicativos de que precisam.

Essa arquitetura aborda a necessidade de serviços DNS contínuos para manter os negócios digitais on-line e, ao mesmo tempo, aproveitar os benefícios da nuvem. Ele garante que as organizações mantenham o controle e evitem ficar presas caso os serviços de nuvem fiquem offline.

Dê o próximo passo em sua jornada DNS

Saiba mais sobre o conceito e o design da arquitetura DNS híbrida do F5 explorando uma configuração de exemplo desenvolvida pelo engenheiro de soluções do F5, Michelangelo Dorado.

Este guia passo a passo descreve a configuração básica para projetar a resiliência do DNS em seu ambiente. O guia de configuração inclui:

  • Configuração de DNS primário oculto e DNS secundário autoritativo
  • Configuração DNSSEC
  • Configuração de resiliência de DNS com monitoramento de integridade ativo
  • Facilidade de configuração e integração em DNS de nuvem distribuída e DNS BIG-IP, com automação API-first

Descubra como o F5 Distributed Cloud DNS simplifica a entrega de DNS em aplicativos modernos e multicloud: https://www.f5.com/products/distributed-cloud-services/dns