Serveur d'impression

DNS rapide: mappage d'apex de zone et DNSSEC – Bien choisir son serveur d impression

Le 1 octobre 2019 - 7 minutes de lecture

introduction

Avec sa résilience DDoS et son empreinte mondiale impressionnante, Fast DNS offre aux administrateurs de zone une flexibilité technique supplémentaire et des options de mise en œuvre. Le mappage des zones et des apex (ZAM) en est un exemple. Il permet de mapper directement les domaines apex sur une adresse IP de périphérie Akamai. La popularité et l’attrait de ZAM suscitent toutefois un certain nombre de questions sur les spécificités techniques, telles que: ZAM est-il interopérable avec des extensions DNS banales, telles que DNSSEC? La réponse courte est oui: en dehors de quelques réserves que nous verrons plus loin dans cet article, Zones DNS rapides pouvez être authentifié avec DNSSEC et conserver les avantages de performance de ZAM. Nous allons explorer les détails de chaque fonctionnalité et les limitations d’interopérabilité dans les sections ci-dessous.

Cartographie d'apex de zone

La spécification IETF exige que l’apex de la zone d’un nom de domaine (par exemple, akamai.com) soit mappé sur un enregistrement A ou AAAA dans un DNS public. Cette stipulation peut s'avérer fastidieuse, car les CDN et autres services exigent souvent qu'un nom d'hôte soit CNAMEd sous un alias appartenant à la tierce partie; dans le cas d’Akamai, cet alias s’appelle un nom d’hôte de périphérie. Par conséquent, les recherches DNS des noms d’hôtes apex sont généralement résolues en un point de terminaison chargé de la redirection de la demande vers un serveur. sous-domaine. Cette redirection est nécessaire car seuls les sous-domaines peuvent être associés à CNAMEd à un nom d’hôte de périphérie Akamai conformément aux instructions DNS susmentionnées. Bien qu’il s’agisse d’une configuration courante, cette redirection de couche 7 et la recherche CNAME ultérieure peuvent ajouter du temps de latence à l’expérience Web de l’utilisateur.

Toutefois, si une zone est hébergée par la plate-forme Fast DNS d’Akamai et que le mappage d’apex de zones est activé, les serveurs de noms Akamai peuvent directement renvoie un enregistrement A (ou AAAA) pour une adresse IP de périphérie Akamai lorsqu'un domaine apex est interrogé par un résolveur. Par conséquent, les domaines Apex peuvent être desservis via Akamai sans enfreindre les normes DNS.

Même si la redirection vers le sous-domaine est toujours préférée pour des raisons de référencement (ou autre), la cartographie d'apex de zone peut faciliter une architecture plus performante en permettant la possibilité d'émettre les redirections de couche 7 sur notre réseau de périphérie, qui est généralement plus proche de l'utilisateur final que le noeud final d'origine.

Optimisation CNAME

ZAM peut également être utilisé pour les sous-domaines, en éliminant toute latence associée à la «chaîne CNAME». Sans ZAM, les recherches de sous-domaines peuvent traverser plusieurs CNAME pour récupérer un enregistrement A associé à une adresse IP de serveur Edge Akamai. Avec le mappage des zones Apex en place, les serveurs de noms DNS rapides peuvent renvoyer cette adresse IP Akamai. directement sans requêtes d'arrière-plan ni recherches supplémentaires, éliminant ainsi la chaîne CNAME. Cette optimisation est possible car les serveurs de noms Fast DNS possèdent toutes les informations de mappage nécessaires dans une table consolidée et peuvent ainsi renvoyer immédiatement un enregistrement A ou AAAA associé au serveur de périphérie optimal.

DNSSEC et flux de travail de domaine Apex

Outre ces optimisations de performances, ZAM est compatible avec DNSSEC, l’extension de protocole responsable de l’authentification des réponses et de la prévention des attaques par empoisonnement du DNS. Lorsque DNSSEC est activé sur Fast DNS, chaque enregistrement est signé numériquement par une paire de clés publique / privée, et le déchiffrement réussi par un résolveur indique que les données de la zone n’ont pas été falsifiées ni manipulées par un tiers malveillant. Bien que DNSSEC augmente la quantité de données transférées «sur le réseau», le réseau global anycast de Fast DNS garantit des réponses performantes et disponibles pour tous les utilisateurs finaux.

Certains scénarios de mise en œuvre nécessiteront des informations supplémentaires de la part d'un représentant technique Akamai. Par exemple, si vous préférez une implémentation Fast DNS secondaire, des informations supplémentaires sur l'architecture principale sont nécessaires, car le service principal peut inclure un type similaire d'optimisation de domaine apex susceptible de compliquer le flux de travail. En outre, les zones qui reposent sur plusieurs autorités DNS ne sont pas éligibles pour cette combinaison de fonctionnalités. Les réponses ZAM étant déterminées lors de l'exécution, l'administrateur de la zone ne peut pas placer de réponses dynamiques dans plusieurs fournisseurs, car l'enregistrement de la ressource ne peut pas être signé correctement.

Les futurs protocoles pourraient aider

Les protocoles émergents sont prometteurs en termes d'activation de ce modèle de manière standard parmi les fournisseurs DNS faisant autorité. Un bon exemple est le type d'enregistrement HTTPSSVC proposé qui lierait une définition de service au niveau sommet (exemple.com). En utilisant ce nouveau protocole, les définitions de service du domaine apex pourraient ressembler à ceci:

www.example.com. 2H IN CNAME gtm.example.net.
example.com.  2H IN HTTPSSVC    0 0 gtm.exemple.net.
gtm.example.net 2H IN CNAME example.com.edgekey.net.

Outre la normalisation des capacités d’alias de domaine apex, la norme HTTPSSVC proposée pourrait offrir des fonctionnalités supplémentaires. serveur les détails lorsqu’une réponse DNS est renvoyée (c’est-à-dire en dehors de la seule adresse IP) dans le but de fournir des avantages supplémentaires en matière de sécurité et de performances. Par exemple, le brouillon IETF indique la possibilité d'indiquer si le serveur prend en charge le protocole TLS. avec ces informations en main, le client pourrait automatiquement envoyer la requête initiale sur HTTP pour éviter toute redirection latente de mise à niveau de protocole, tout en éliminant simultanément les vecteurs d'attaque potentiels.

Conclusion

ZAM et DNSSEC sont deux exemples principaux de la façon dont Fast DNS garantit des réponses aussi performantes. et sécurisé que possible. L'interopérabilité de ces fonctionnalités offre aux propriétaires de zone des fonctionnalités supplémentaires et une plus grande flexibilité en matière de gestion des enregistrements. Si vous souhaitez en savoir plus, contactez votre représentant Akamai dès aujourd'hui.

Explorez les différentes solutions d’Akamai axées sur le DNS

Si vous trouvez ce blog utile, poursuivez votre exploration en utilisant les références ci-dessous. Tout ce que déploie Akamai dépend de la technologie DNS intégrée à notre plate-forme Intelligent Edge ™. Akamai s’appuie sur cela pour offrir toute une gamme de services aux propriétaires de domaine:

Utilisez ce formulaire pour demander de l'aide à Akamai. Nous pouvons demander à quelqu'un de vous contacter pour répondre à vos questions sur le DNS.

Articles récents par auteur

*** Il s'agit d'un blog syndiqué réseau Security Bloggers du blog Akamai, rédigé par Sam Preston. Lisez le message d'origine à l'adresse: http://feedproxy.google.com/~r/TheAkamaiBlog/~3/9hZ096vW3j4/fast-dns-zone-apex-mapping-dnssec.html.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.