Innanzitutto, affrontiamo la domanda nel titolo.
È possibile avere un provider DNS gestito secondario a cui delegare rapidamente
"Rapido" e "delega" non appartengono alla stessa frase insieme quando parliamo della delega per la parte superiore del dominio. I server dei nomi gestiti dai registri dei domini di primo livello (TLD) in genere servono riferimenti che hanno TTL misurati in giorni. I NS
record autorevoli che vivono sui tuoi server potrebbero avere TTL inferiori che finiscono per sostituire i riferimenti TLD, ma non hai alcun controllo sulla frequenza con cui le aziende su Internet scelgono di eliminare l'intera cache o riavviare i server.
Semplificando questo, è meglio supporre che ci vorranno almeno 24 ore affinché Internet raccolga una modifica del nameserver per la parte superiore del tuo dominio. Con la parte superiore del tuo dominio il collegamento più debole, questo è ciò che devi pianificare di più.
Quali sono alcune opzioni in termini di riduzione della dipendenza da un SINGOLO provider DNS gestito esterno?
Questa domanda è molto più risolvibile e, contrariamente all'opinione popolare, la risposta non è sempre "trovare un fornitore migliore". Anche se usi un'azienda con un ottimo track record, gli ultimi anni hanno dimostrato che nessuno è infallibile, nemmeno Neustar.
- Le grandi società di hosting DNS consolidate con una buona reputazione sono più difficili da distruggere, ma obiettivi più grandi. È meno probabile che si oscurino perché qualcuno sta cercando di mettere offline il tuo dominio, ma è più probabile che venga portato offline perché ospitano domini che sono target più interessanti. Potrebbe non accadere frequentemente, ma succede comunque.
- All'estremo opposto, gestire i tuoi nameserver significa che hai meno probabilità di condividere i nameserver con un target che è più attraente di te, ma significa anche che è molto più facile abbattere se qualcuno decide di indirizzarti specificamente .
Per la maggior parte delle persone, l'opzione n. 1 è l'opzione più sicura. Un'interruzione può verificarsi solo una volta ogni pochi anni e, se si verifica un attacco, verrà gestita da persone che hanno più esperienza e risorse per affrontare il problema.
Questo ci porta all'ultima opzione più affidabile: un approccio misto che utilizza due aziende. Ciò fornisce resilienza contro i problemi che derivano dall'avere tutte le uova nello stesso paniere.
Per motivi di argomento, supponiamo che la tua attuale società di hosting DNS abbia due nameserver. Se aggiungi due nameserver gestiti da un'altra società nel mix, allora ci vuole un DDoS contro due diverse società per metterti offline. Questo ti proteggerà anche dal raro evento di un gigante come Neustar che fa un pisolino. La sfida diventa invece trovare un modo per fornire in modo affidabile e coerente aggiornamenti per le vostre zone DNS a più di una società. In genere questo significa disporre di un master nascosto con connessione Internet che consente a un partner remoto di eseguire trasferimenti di zona basati su chiavi. Altre soluzioni sono certamente possibili, ma personalmente non sono un fan dell'utilizzo di DDNS per soddisfare questo requisito.
Il costo della forma più affidabile di disponibilità del server DNS è, purtroppo, più complicato. I tuoi problemi ora sono molto più probabili essere il risultato di problemi che causano la sincronizzazione di questi server. Le modifiche del firewall e del routing che interrompono i trasferimenti di zona sono i problemi più comuni. Peggio ancora, se un problema di trasferimento di zona passa inosservato per un lungo periodo di tempo, il timer di scadenza definito dal SOA
record potrebbe essere raggiunto ei server remoti lasceranno cadere completamente la zona. Il monitoraggio approfondito è il tuo amico qui.
Per concludere, ci sono una serie di opzioni e ognuna ha i suoi svantaggi. Sta a te bilanciare l'affidabilità con i rispettivi compromessi.
- Per la maggior parte, è sufficiente che il tuo DNS sia ospitato da una società che ha un'ottima reputazione per gestire gli attacchi DDoS ... il rischio di scendere una volta ogni pochi anni è abbastanza buono per la semplicità.
- Un'azienda con una reputazione meno armoniosa nella gestione degli attacchi DDoS è la seconda opzione più comune, soprattutto quando si cercano soluzioni gratuite. Ricorda solo che in genere gratuito non significa garanzia SLA, e se si verifica un problema non avrai modo di guidare l'urgenza con quella società. (o una persona per fare causa, se il tuo ufficio legale richiede quel genere di cose)
- L'opzione meno comune è, ironia della sorte, l'opzione più solida di utilizzare più società di hosting DNS. Ciò è dovuto a costi, complessità operativa e benefici percepiti a lungo termine.
- Il peggio, almeno secondo me, è decidere di ospitare il tuo. Poche aziende hanno sperimentato amministratori DNS (che hanno meno probabilità di creare interruzioni accidentali), esperienza e risorse per gestire gli attacchi DDoS, disponibilità a investire in un progetto che soddisfa i criteri indicati da BCP 16 e nella maggior parte degli scenari una combinazione di tutti e tre. Se vuoi giocare con server autorevoli che affrontano solo l'interno della tua azienda, è una cosa, ma Internet DNS è un gioco di ruolo completamente diverso.