Arquitetura de referência de escala de DNS inteligente F5

O Sistema de Nomes de Domínio (DNS) foi criado em 1983 para permitir que as pessoas identificassem facilmente todos os computadores, serviços e recursos conectados à Internet pelo nome, em vez do endereço de Protocolo de Internet (IP), uma sequência de informações binárias impossível de memorizar.

Um servidor DNS traduz os nomes de domínio que você digita em um navegador em um endereço IP, o que permite que seu dispositivo encontre o serviço ou site que você está procurando na Internet.

Provavelmente a principal tecnologia que viabiliza a Internet, o DNS também é um dos componentes mais importantes na infraestrutura de rede. Além de fornecer conteúdo e aplicativos, o DNS também gerencia uma arquitetura distribuída e redundante para garantir alta disponibilidade e tempo de resposta rápido ao usuário. Por isso, é fundamental ter uma infraestrutura de DNS disponível, inteligente, segura e escalável. Se o DNS cair, a maioria dos aplicativos da web deixará de funcionar corretamente, afetando seu negócio e sua marca.

A arquitetura de referência de escala de DNS inteligente de ponta a ponta da F5 permite que as organizações criem uma base de DNS sólida que maximiza os recursos e aumenta o gerenciamento de serviços, ao mesmo tempo em que permanece ágil o suficiente para oferecer suporte a arquiteturas de rede, dispositivos e aplicativos existentes e futuros.

Quando um usuário solicita uma página da web, essa solicitação é passada para um servidor DNS local, que por sua vez se comunica com os servidores DNS principais. Tudo funciona bem até que ocorre um aumento no tráfego ou um invasor inunda o servidor com solicitações de consulta DNS. Se o seu servidor DNS principal ficar sobrecarregado, ele deixará de responder, o que pode deixar seu site indisponível.

Falhas de DNS são responsáveis por 41% do tempo de inatividade da infraestrutura da web, por isso é essencial manter seu DNS disponível. De acordo com uma pesquisa do Aberdeen Group, as organizações perdem em média US$ 138.000 para cada hora em que seus data centers ficam inativos. O tempo de inatividade afeta negativamente os clientes, pode levar à perda de receita e pode até mesmo afetar funcionários que tentam acessar recursos corporativos, como e-mail.

É por isso que a importância de uma base DNS forte não pode ser exagerada. Sem um, seus clientes podem não conseguir acessar seu conteúdo e aplicativos quando quiserem — e se não conseguirem obter o que querem de você, provavelmente irão para outro lugar.

Há muitos motivos pelos quais os requisitos de DNS estão crescendo tão rapidamente. Nos últimos cinco anos, o número de usuários da Internet cresceu 82%; o número de sites cresceu de aproximadamente 580 milhões para 1,24 bilhão e o número de consultas de DNS cresceu mais de 100%.

Além disso, o número de conexões móveis em uso cresceu em 2,2 bilhões e quase 60% dos usuários da web dizem que esperam que um site carregue em seus celulares em três segundos ou menos.

As organizações estão experimentando um rápido crescimento em termos de aplicativos, bem como no volume de tráfego que acessa esses aplicativos. Além disso, os próprios aplicativos da web estão crescendo e se tornando cada vez mais complexos. Cada ícone, URL e parte do conteúdo incorporado em uma página da web requer uma consulta de DNS. Carregar sites complexos pode exigir centenas de consultas DNS, e até mesmo aplicativos simples de smartphone podem exigir inúmeras consultas DNS apenas para carregar.

Nos últimos cinco anos, o volume de consultas DNS para endereços .com e .net mais que dobrou, aumentando para uma carga média de consultas diárias de 124 bilhões no primeiro trimestre de 2016. No mesmo período, mais de 10 milhões de nomes de domínio foram adicionados à internet. Espera-se que o crescimento futuro ocorra em um ritmo ainda mais rápido à medida que mais implementações de nuvem forem implementadas.

Se o DNS é a espinha dorsal da Internet — respondendo a todas as consultas e resolvendo todos os números para que você possa encontrar seus sites favoritos — ele também é um dos pontos mais vulneráveis da sua rede. Devido ao papel crucial que desempenha, o DNS é um alvo de alto valor para invasores. Ataques DDoS de DNS podem inundar seus servidores DNS até o ponto de falha ou sequestrar e redirecionar solicitações para um servidor malicioso. Para evitar isso, uma arquitetura DNS distribuída, segura e de alto desempenho, além de recursos de descarregamento de DNS, devem ser integrados à rede.

Geralmente, as organizações têm um conjunto de servidores DNS, cada um capaz de lidar com até 150.000 consultas DNS por segundo. Servidores DNS de alto desempenho podem lidar com cerca de 200.000 consultas por segundo. Os bandidos podem facilmente exceder essas taxas, como exemplificado pelas interrupções de DNS que afetaram Dyn, The New York Times, LinkedIn, Network Solutions e Twitter.

Para lidar com picos de DNS e ataques DDoS de DNS, as empresas adicionam mais servidores DNS, que não são realmente necessários durante as operações comerciais normais. Essa solução cara também costuma exigir intervenção manual para alterações. Além disso, os servidores DNS tradicionais exigem manutenção e patches frequentes, principalmente para novas vulnerabilidades.

Ao procurar soluções de DNS, muitas organizações selecionam o BIND (Berkeley Internet Naming Daemon), o resolvedor de DNS original da Internet. Instalado em aproximadamente 80% dos servidores DNS do mundo, o BIND é um projeto de código aberto mantido pelo Internet Systems Consortium (ISC). O ISC é uma organização sem fins lucrativos com um braço de consultoria com fins lucrativos chamado DNS-CO, que oferece quatro níveis diferentes de assinaturas e serviços de suporte.

Apesar de sua popularidade, o BIND exige manutenção significativa várias vezes ao ano, principalmente devido a vulnerabilidades, patches e atualizações. Ele pode ser baixado gratuitamente, mas precisa de servidores (um custo adicional, incluindo contratos de suporte) e um sistema operacional. Além disso, o BIND normalmente é dimensionado para apenas 50.000 respostas por segundo (RPS), o que o torna vulnerável a surtos de DNS legítimos e maliciosos.

A arquitetura de referência do F5 Intelligent DNS Scale fornece uma maneira mais inteligente de responder e dimensionar consultas de DNS e leva em consideração uma variedade de condições e situações de rede para distribuir solicitações de aplicativos de usuários e serviços de aplicativos com base em políticas de negócios, condições do data center, condições de rede e desempenho do aplicativo.

Em vez de se preocupar com interrupções de DNS e comprar infraestrutura de DNS adicional para combater picos, você pode instalar um dispositivo F5 BIG-IP na DMZ da sua rede e deixá-lo lidar com solicitações em nome do seu servidor DNS principal.

O DNS BIG-IP é hiperescalável para 100 milhões de RPS, o que significa que mesmo grandes surtos de solicitações de DNS (incluindo as maliciosas) não interromperão seu conteúdo ou afetarão a disponibilidade de aplicativos críticos. Seus administradores de rede podem ficar tranquilos, sabendo que seu site responderá a todas as consultas de DNS e permanecerá disponível mesmo durante um ataque. Sua marca está protegida e sua empresa pode evitar uma história embaraçosa na primeira página.

A arquitetura de referência do F5 Intelligent DNS Scale ajuda a garantir que seus aplicativos e conteúdo estejam continuamente disponíveis para seus usuários. Uma das partes mais importantes dessa arquitetura é o recurso de resposta de consulta DNS Express projetado especificamente no BIG-IP DNS, que gerencia consultas DNS autoritativas transferindo zonas do servidor DNS primário para sua própria RAM.

O BIG-IP DNS só precisa abrir o pacote de consulta DNS uma vez, desde que a solicitação seja para um endereço que esteja na zona que foi transferida para o DNS Express, simplificando o processo e melhorando significativamente o desempenho e os tempos de resposta da sua arquitetura DNS.

Com o DNS Express, o núcleo individual de cada dispositivo BIG-IP pode responder a aproximadamente 125.000 a 200.000 solicitações por segundo, aumentando para mais de 50 milhões de RPS de consulta, mais de 12 vezes a capacidade de um servidor DNS primário típico.

Cada dispositivo BIG-IP é certificado pelo ICSA Labs como um firewall de rede. Ao avaliar de forma inteligente a reputação dos hosts da Internet, o dispositivo BIG-IP pode impedir que invasores desconectem seu DNS com um ataque DDoS de DNS, roubando dados, comprometendo recursos corporativos ou interrompendo seus negócios de alguma outra forma. 

Além disso, o DNSSEC pode proteger sua infraestrutura de DNS, incluindo implantações em nuvem, contra ataques de envenenamento de cache e sequestros de domínio. Com o suporte DNSSEC, você pode assinar digitalmente e dar suporte à sua consulta DNS com respostas criptografadas, permitindo que o resolvedor determine a autenticidade da resposta e evitando o sequestro de DNS e o envenenamento de cache. O serviço F5 IP Intelligence aprimora sua segurança geral negando acesso a endereços IP conhecidos por estarem infectados com malware, em contato com pontos de distribuição de malware e com má reputação.

A arquitetura de referência do F5 Intelligent DNS Scale também ajuda a manter seu conteúdo e aplicativos disponíveis, respondendo a consultas de DNS da borda da rede, em vez de dentro da sua infraestrutura crítica. Quando você descarrega respostas de DNS para a plataforma BIG-IP, as solicitações não chegam ao back-end da sua rede, o que aumenta muito sua capacidade de dimensionar e responder a picos de DNS, além de proteger sua infraestrutura de DNS.

Ao aumentar a velocidade, disponibilidade, escalabilidade e segurança da sua infraestrutura de DNS, a arquitetura de referência do F5 Intelligent DNS Scale garante que seus clientes e funcionários possam acessar seus serviços essenciais da Web, aplicativos e bancos de dados sempre que precisarem.

Isso também se aplica a implantações ou infraestruturas de nuvem onde o DNS é distribuído. As organizações podem replicar sua infraestrutura de DNS de alto desempenho em quase qualquer ambiente. Eles podem ter DNS em nuvem para recuperação de desastres/continuidade de negócios, ou até mesmo um serviço de DNS em nuvem com zonas DNSSEC assinadas. O suporte aprimorado AXFR dos serviços DNS da F5 oferece transferências de zona de um dispositivo BIG-IP para qualquer serviço DNS, permitindo que as organizações repliquem o DNS em ambientes físicos, virtuais e de nuvem. O serviço de replicação de DNS pode ser enviado para outros dispositivos BIG-IP ou outros servidores DNS gerais em data centers ou nuvens mais próximos dos usuários.

Além disso, as organizações podem direcionar os usuários para um site que lhes proporcionará a melhor experiência. Os serviços DNS do BIG-IP usam uma variedade de métodos de balanceamento de carga e monitoramento inteligente para cada aplicativo e usuário específico. O tráfego é roteado de acordo com suas políticas comerciais, bem como com as condições atuais da rede e do usuário. Os serviços de DNS do BIG-IP incluem um banco de dados de geolocalização preciso e granular, dando a você controle da distribuição de tráfego com base na localização do usuário.

O BIG-IP DNS é uma solução global de DNS que fornece serviços de nomes na extremidade de suas redes de acesso e entrega de serviços. Ao empregar serviços de localização geográfica, ele pode direcionar os usuários ao melhor data center de prestação de serviços com base em sua localização física.

O BIG-IP DNS fornece os seguintes serviços de nomes:

• Serviços DNS na borda da rede para todos os serviços internos e externos.
• Serviços de geolocalização para precisão de entrega de aplicativos ou serviços com base na localização do usuário móvel.
• O serviço de inteligência de IP protege infraestruturas detectando e impedindo o acesso de endereços IP associados a atividades maliciosas.
• Um único ponto de controle para gerenciamento de todos os serviços de nomes globais e locais.
• Soluções adicionais de serviços inteligentes BIG-IP, como entrega global de aplicativos, aplicação de políticas, tradução de NAT64 e DNS64, monitores de integridade e a linguagem de script F5, iRules.
• Suporte para serviços DNS globais
• Integração com DNS iRules para decisões granulares de DNS e entrega de serviços de nomes.
• Suporte para protocolos específicos do provedor de serviços, como solicitações ENUM para transações SIP.

Dentro do data center, o BIG-IP Local Traffic Manager (LTM) pode garantir que seus aplicativos e conteúdo permaneçam altamente disponíveis, criando uma arquitetura tolerante a falhas desde a borda móvel até o serviço. Além de fornecer alta disponibilidade, o BIG-IP LTM também oferece suporte a aplicativos específicos do provedor de serviços, como solicitações ENUM de balanceamento de carga para transações SIP.

As soluções BIG-IP LTM para serviços de nomenclatura incluem:

• Integração com BIG-IP DNS para estender serviços de nomenclatura avançados ao data center local e à rede de serviços.
• Suporte de balanceamento de carga para DNS local e DNS recursivo.
• Suporte para protocolos específicos do provedor de serviços, como solicitações ENUM para transações SIP.
• Monitores de saúde transparentes para avaliar a integridade do serviço antes de enviar usuários ao serviço. O BIG-IP LTM pode retransmitir informações de saúde de volta ao BIG-IP DNS para levar a conscientização do aplicativo até a borda do SDN.
• Integração com iRules para decisões granulares de DNS e entrega de serviços de nomes.

A arquitetura de referência do F5 Intelligent DNS Scale se ajusta para aplicativos de alta disponibilidade e alto volume, ao mesmo tempo em que oferece suporte a milhões de solicitações de usuários por segundo. Eles trabalham em conjunto com outros recursos de entrega de serviços BIG-IP, como a linguagem de script iRules, monitoramento transparente de aplicativos e outros serviços relacionados a IP para criar uma infraestrutura completa de entrega de serviços: a Rede de Entrega de Serviços F5. Escala e flexibilidade perfeitas são alcançadas aproveitando a plataforma de entrega de serviços inteligente comum a todos os dispositivos BIG-IP.

Ao usar a arquitetura de referência F5 Intelligent DNS Scale, as organizações podem:

• Aumente a velocidade, disponibilidade, escalabilidade e segurança da sua infraestrutura de DNS.
• Reduza a complexidade e o custo eliminando servidores DNS adicionais desnecessários.
• Aproveite a tranquilidade de saber que o site responderá a todas as solicitações de DNS.

A arquitetura de referência F5 Intelligent DNS Scale é uma solução de entrega de DNS de ponta a ponta que melhora o desempenho da web reduzindo a latência do DNS, protege suas propriedades da web e a reputação da marca mitigando ataques DDoS de DNS e reduz os custos do data center consolidando a infraestrutura de DNS. Mais importante ainda, ele direciona seus clientes aos componentes de melhor desempenho para aplicação e prestação de serviços ideais.

A arquitetura de referência do F5 Intelligent DNS Scale também oferece a tranquilidade de saber que seus aplicativos da web responderão a todas as consultas de DNS, mantendo seu conteúdo e aplicativos disponíveis para seus usuários onde e quando eles quiserem acessá-los.