Bezpieczeństwo DNS – być albo nie być dla pracy online

Infrastruktura systemu nazw sieciowych (DNS) jest w zasadzie podstawą działań biznesowych online, bo absolutna większość połączeń jest oparta właśnie o zapytania DNS. Z naszych obserwacji wynika, że szybkie przejście na pracę zdalną wywołało w wielu firmach początkowe problemy związane z ruchem sieciowym. Do najczęstszych należą: zbyt duża liczba użytkowników VPN i awarie aplikacji do wideokonferencji. Obciążenie infrastruktury było po prostu zbyt duże i nastąpiło zbyt szybko. Słabym punktem w obliczu sytuacji wzmożonego ruchu, jest zwykle DNS, co otwiera drogę hakerom do ataków DDoS. Na szczęście technologia odpowiada na wyzwania i pomaga adaptować się do zmian.

W sytuacji, gdy cały zespół przechodzi na pracę zdalną, infrastruktura DNS obsługująca zwiększoną liczbę zapytań, zyskuje jeszcze większe znaczenie niż do tej pory. Wiedzą o tym niestety również hakerzy. Skutki ataku DDoS mogą być dziś bardziej bolesne niż zazwyczaj, a biznes i tak zmaga się już z niepewnością gospodarczą i zmianami w kulturze organizacyjnej. DNS jest więc teraz obszarem, na który należy zwrócić szczególna uwagę. Więcej osób, niż standardowo, kontaktuje się cyfrowo, a cyfrowe operacje zależą właśnie od tej infrastruktury.

Warto w tym miejscu zwrócić uwagę na usługi DNS w chmurze. Największa dla biznesu wartość rozwiązań chmurowych to wspólny zestaw infrastruktury i usług odpornych na pojedyncze punkty awarii. Dzięki dzielonej infrastrukturze, ludzie, aplikacje i usługi mogą (mimo awarii) funkcjonować.

Pytania na sprawdzenie gotowości DNS:

Jaki jest przewidywany, przeciętny, dzienny ruch DNS i jakie możliwości rozszerzenia przepustowości są wbudowane w obecną infrastrukturę? Czy założona dynamika może być utrzymana i na jak długo?

Czy DNS posiadany w modelu on-premise będzie wystarczający do obsługi zmiennej aktywności użytkowników? Czy organizacja rozważa, na wszelki wypadek, wykorzystanie skalowalności chmury?

Skąd pochodzi większość ruchu i czy obciążenie jest wystarczająco równoważone w regionach (lokalnie i globalnie)? Czy funkcje automatycznego skalowania są wbudowane?

Jaki jest poziom zabezpieczeń? Czy infrastruktura DNS w firmie, która jest przeciążona w wyniku pracy zdalnej, jest chroniona przed zagrożeniami takimi jak ataki DDoS?

Czy opracowywane są kopie zapasowe, na wypadek, gdyby główny DNS został wyłączony z powodu ataku lub przeciążenia legalnym ruchem użytkowników?

Najlepsze praktyki, w zakresie przygotowanie infrastruktury do dalszego świadczenia usług i zachowania łączności podczas pandemii:

Globalny moduł równoważenia obciążenia oparty na chmurze.

Warto rozważyć dodanie do infrastruktury DNS globalnego modułu równoważenia obciążenia opartego na chmurze, dla wybranych aplikacji, do których dostęp uzyskują użytkownicy z całego świata. Dotyczy to aplikacji, które mają wysokie globalne zapotrzebowanie, ale muszą być obsługiwane lokalnie, np. VPN. Taki moduł pomaga zmniejszyć obciążenia poprzez geolokalizację ruchu w oparciu o jego pochodzenie, jednocześnie tworząc automatycznie plan lepszego wykorzystania zasobów

Dwóch niezależnych dostawców DNS

Niezależnie od głównego dostawcy usług DNS, warto wybrać dodatkowego. W ten sposób zyskuje się możliwość przełączenia awaryjnego, w przypadku zakłócenia działania głównego DNS. Powinien on być, oparty na chmurze i automatycznie skalowalny, aby obsłużyć obciążenie klienta. Aktualna sytuacja zmienia się na tyle, że nie jest możliwe dokładne przewidzenie, jakie wielkości będzie musiało obsługiwać środowisko IT. Bezpieczniej jest zakładać, że nikt nie wie, czego możemy się spodziewać.

Obligatoryjne funkcje bezpieczeństwa

Celem utrzymania dostępności aplikacji, dodany DNS i równoważenie obciążenia powinny mieć wbudowane dodatkowe funkcje, takie jak automatyczne przełączanie awaryjne, ochrona DDoS i uwierzytelnianie TSIG (Transaction SIGnature).

Wspierajmy się i pomagajmy sobie, to równie ważne jak stabilizacja DNS i globalna infrastruktura równoważenia obciążenia dla utrzymania ruchu internetowego.

Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland