pratiques exemplaires pour l`amélioration de la résilience et
Transcription
pratiques exemplaires pour l`amélioration de la résilience et
PRATIQUES EXEMPLAIRES POUR L’AMÉLIORATION DE LA RÉSILIENCE ET DE LA PERFORMANCE DU DNS EXTERNE PROTÉGEZ VOTRE ENTREPRISE Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe 12-07-2016 PRATIQUES EXEMPLAIRES POUR L’AMÉLIORATION DE LA RÉSILIENCE ET DE LA PERFORMANCE DU DNS EXTERNE Votre DNS externe est une ressource essentielle à votre entreprise. Sans lui, personne ne peut se rendre sur votre site Web ni accéder à votre adresse électronique ou à vos applications Web. De plus, une performance médiocre de votre DNS signifie que l’accès à votre site est lent, ce qui vous fait perdre des clients. Selon l’envergure de votre commerce électronique, les défaillances ou les temps d’attente inacceptables peuvent provoquer le mécontentement de quelques utilisateurs, mais également engendrer des coûts pouvant atteindre jusqu’à des millions de dollars l’heure. De récentes attaques très médiatisées qui exploitent le DNS pour rendre inaccessibles les sites Web d’entreprises ont sensibilisé les gens aux interruptions de service du DNS. Mais les attaques par DDoS ne sont pas la seule menace qui plane. Les serveurs de noms fonctionnent dans un environnement hostile et peuvent être rendus inaccessibles de diverses façons. En effet, des défaillances du serveur ou du réseau, des catastrophes naturelles, des pannes de courant et des infractions à la sécurité peuvent survenir. Vous trouverez cidessous quelques pratiques exemplaires visant à aider les organisations à augmenter la performance et la résilience de leur DNS externe ainsi que sa tolérance aux pannes. Pratique exemplaire 1 UTILISEZ UN SERVEURPRINCIPAL CACHÉ Un serveur principal caché est un serveur non annoncé qui ne figure dans aucun registre de serveurs de noms. En d’autres mots, il n’est pas connu publiquement sur Internet et ne répond à aucune requête. Sa raison d’être consiste à effectuer des transferts de zone vers un ensemble de serveurs de noms secondaires connus publiquement et répondant aux requêtes. Les avantages du serveur principal caché sont les suivants : ! TOLÉRANCE AUX FAILLES Il peut subir une faille sans avoir d’incidence sur la résolution de votre domaine. 2 PROTÉGEZ VOTRE ENTREPRISE SÉCURITÉ SIMPLICITÉ D’ADMINISTRATION Comme l’adresse IP du serveur Les recharges et les redémarrages du de noms n’est pas publiée, il serveur principal caché n’ont aucune est moins vulnérable incidence sur la résolution de au piratage. votre domaine. Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe Pratique exemplaire 2 DÉSACTIVEZ LA RÉCURSION SUR VOS SERVEURS DE NOMS EXTERNES RÉSEAU D‘ENTREPRISE administrateur PUBLIC INTERNET DNS primaire DNS externe DNS interne Zone File DNS secondaire Désactivez la récursion sur votre serveur principal caché et vos serveurs de noms externes faisant autorité. Ce faisant, la vulnérabilité aux attaques par déni de service et par empoisonnement de cache est amoindrie, et la performance s’en trouve améliorée. Pratique exemplaire 3 RECOUREZ À UNE SIGNATURE DE TRANSACTION (TSIG) POUR SÉCURISER LES COMMUNICATIONS ENTRE SERVEURS DE NOMS Les communications entre le serveur principal caché et les serveurs de noms secondaires devraient être authentifiées de manière cryptographique en recourant aux signatures de transactions (TSig). Les TSig sont de loin plus sûres que le filtrage des adresses IP sources qui sont facilement usurpées au moyen de connexions TCP. Pratique exemplaire 4 RAPPROCHEZ LES SERVEURS DE NOMS DES INTERNAUTES La latence des consultations DNS est importante pour votre site Web. En se prolongeant, elle risque de se traduire par la perte de clients et de recettes. Vos serveurs de noms faisant autorité répondent aux requêtes provenant d’autres serveurs de noms sur Internet. Afin d’offrir une expérience utilisateur agréable et un accès rapide à votre site Web, rapprochez vos serveurs de noms de ceux qui les interrogent ou faites en sorte qu’ils leur soient plus rapidement accessibles. Dans le meilleur des mondes, les serveurs de noms devraient être situés dans des lieux propices à un bon accès à Internet, par exemple aux points d’échange Internet (IXP). La solution la plus chaudement recommandée est sans nul doute d’impartir un service DNS secondaire Anycast. Grâce à Anycast, des serveurs de noms géographiquement dispersés partagent une même adresse IP, et les requêtes sont acheminées au plus rapproché de ceux-ci. Au moment de choisir un service DNS secondaire Anycast, veillez à ce que les serveurs de noms soient situés dans les IXP stratégiquement situés sur le plan géographique par rapport à votre clientèle. IXPs that map geographically to your customers. 3 PROTÉGEZ VOTRE ENTREPRISE Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe Pratique exemplaire 5 RENDEZ VOTRE DNS RÉSILIENT AUX ATTAQUES PAR DDOS Les attaques par DDoS qui exploitent le DNS comme vecteur augmentent toujours. Rehaussez la résilience aux attaques par DDoS grâce à la capacité supérieure de résolution et à la bande passante du nuage D-Zone Anycast DNS. Aux yeux de tous, le nuage Anycast apparaît en tant qu’adresse IP unique. En réalité, il s’agit d’un réseau de serveurs de noms géographiquement dispersés. Un nuage Anycast est de loin plus résilient aux attaques par DDoS que le sont les serveurs Unicast parce qu’il recourt à une fonction de géolocalisation pour déterminer le serveur qui doit répondre à une requête en particulier et parce qu’il dispose de la capacité et de la bande passante combinées de tous les serveurs. Grâce à Anycast, une attaque n’a d’incidence que sur le serveur de noms qui se trouve le plus près de la ou des sources de l’attaque. Unicast Anycast La plupart des attaques par DDoS proviennent de l’étranger. Au moment de sélectionner un service DNS Anycast, il faut s’assurer de la présence de noeuds internationaux qui peuvent bloquer les attaques de l’étranger. Un noeud international dirigera vers un gouffre le trafic d’une attaque de l’étranger tout en protégeant les serveurs de noms locaux. Pratique exemplaire 6 RENDEZ VOTRE DNS À L’ÉPREUVE DES CATASTROPHES Zaites appel à la redondance pour rendre votre DNS à l’épreuve des catastrophes. S’il s’agit de serveurs Unicast, alors il faudra à tout le moins deux serveurs de noms à différents endroits. Pour assurer la redondance, un nuage DNS Anycast constitue une meilleure solution. En cas de défaillance d’un serveur de noms dans un nuage Anycast, celui-ci est automatiquement retiré des tables de routage. C’est ainsi qu’Anycast augmente la redondance et la tolérance aux failles. 4 PROTÉGEZ VOTRE ENTREPRISE Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe Anycast augmente la redonance et la tolérance aux failles En Anycast, le degré de redondance le plus élevé est atteint au moyen de deux nuages distincts. Par comparaison avec la redondance en Unicast, cela équivaut à remplacer deux serveurs de noms Unicast par deux nuages Anycast. Assurez-vous que les nuages font appel à du matériel et à des fournisseurs de transit distincts. Ainsi, votre DNS est protégé de toute défaillance causée par un problème de routage ou une panne du réseau de transit. Pratique exemplaire 7 UTILISEZ UN DNS ANYCAST Anycast est en usage depuis plus de 10 ans afin d’assurer la prestation de services de noms au serveur racine sur Internet, de même qu’à de nombreux domaines de premier niveau, y compris au .CA. Le DNS Anycast est la solution optimale pour la tolérance des failles, la résilience aux attaques par DDoS ainsi qu’afin de rapprocher les serveurs des utilisateurs. Pour la plupart des organisations, il est trop coûteux et complexe d’élaborer et de gérer leur propre infrastructure. Heureusement, il est facile de greffer un service DNS Anycast tel que D-Zone à votre infrastructure DNS. 5 PROTÉGEZ VOTRE ENTREPRISE Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe SERVICE DNS ANYCAST D-ZONE – POUR CONTRIBUER À LA PROTECTION DE VOTRE ENTREPRISE Le Service DNS Anycast D-Zone consiste en un réseau DNS Anycast secondaire conçu pour les organisations canadiennes ou celles qui exercent des activités sur le marché canadien. Principaux avantages üü Une disponibilité à 100 % et un contrat de niveau de service (CNS). üü La capacité excédentaire de 100 fois de l’équipement à la fine pointe et la redondance à chaque noeud. üü Des noeuds DNS globaux au Canada et aux plaques tournantes internationales d’Internet. üü Des noeuds DNS locaux géographiquement rapprochés du trafic régional et le protégeant des activités malveillantes contre le DNS. üü Une forte présence canadienne qui réduit la latence pour les visiteurs canadiens. üü Deux nuages pour la redondance de basculement et la protection contre les attaques par DDoS du DNS visant les noeuds locaux. üü La facilité de l’ajouter à une infrastructure existante pour améliorer sa résilience et sa performance globales. üü La prise en charge des DNSSEC. üü La prise en charge de l’IPv6. APPRENEZ-EN DAVANTAGE Pour obtenir plus de renseignements sur la façon d’obtenir le service, de trouver un revendeur ou d’en devenir un, veuillez écrire à [email protected] ou visiter acei.ca/d-zone. À PROPOS DE L’ACEI L’Autorité canadienne pour les enregistrements Internet (ACEI) gère le registre des noms de domaine .CA du Canada à titre de service disponible à 100 % pour la population et les organisations canadiennes. En plus d’assumer l’intendance du .CA, l’ACEI élabore et met en oeuvre des politiques qui appuient les internautes canadiens ainsi que le registre .CA sur le plan international. 6 PROTÉGEZ VOTRE ENTREPRISE Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe