ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت سوم (پایانی)

افرایش سرعت، دسترس‌پذیری انعطاف‌پذیری و امنیت زیرساخت DNS

در قسمت اول از سری مقالات امنیت سرورهای DNS با استفاده از محصولات F5، در ابتدا به شرح تاریخچه و اهمیت مفهوم DNS پرداخته شد و پس از آن مشکلات امنیتی مربوط به DNS مطرح و راهکار قدیمی BIND برای پاسخ‌گویی به این مشکلات معرفی گردید. در قسمت دوم به معرفی راهکار تازه‌ی شرکت F5 در این زمینه و ویژگی‌های آن، مانند Scale On Demand، بهبود دسترس‌پذیری، استفاده از پلتفرم BIG-IP به عنوان فایروال در DMZ و خدمات DNS در لبه‌ی شبکه، پرداخته شد. در این بخش به مباحث DNS منتشر شده، خدمات DNS و BIG-IP GTM، خدمات DNS و BIG-IP LTM و پیاده‌سازی یک زیرساخت ارائه‌ی سرویس کامل با استفاده از معماری مرجع DNS Scale هوشمند پرداخته خواهد شد و در نهایت یک جمع‌بندی از این معماری ارائه می‌گردد.

بررسی DNS توزیعی

سازمان‌ها می‌توانند زیرساخت DNS خود را در محیط‌های Cloud یا زیرساخت دیگری که DNS در آن‌ها به صورتی توزیعی وجود دارد پیاده‌سازی نمایند و زیرساخت DNS با توان عملیاتی مناسبی را در هر شرایطی Replicate کنند. ممکن است برای Disaster Recovery و یا تداوم کسب‌و‌کار از Cloud DNS استفاده کنند، یا حتی دارای یک سرویس Cloud DNS با Zoneهای تحت DNSSEC باشند. F5 DNS Services پشتیبانی و انتقال AXFR به Zoneهای دیگر را بهبود بخشیده است و به سازمان‌ها توانایی همسان‌سازی DNS در محیط‌های فیزیکی، مجازی و Cloud را می‌دهد. سرویس همسان‌سازی DNS را می‌توان به دیگر دستگاه‌های BIG-IP یا دیگر سرورهای DNS در دیتاسنترها یا Cloudهایی فرستاد که به کاربر نزدیک‌تر هستند.

علاوه بر موارد فوق، سازمان‌ها می‌توانند کاربران را به سمت سروری بفرستند که بهترین عملکرد را برایشان فراهم می‌کند. خدمات F5 DNS برای هر کاربر یا برنامه‌ی کاربردی، از گستره‌ای از روش‌های تعدیل بار (Load Balancing) و مانیتورینگ هوشمند استفاده می‌نماید. ترافیک براساس سیاست‌های کسب‌و‌کار و همچنین شبکه‌ی کنونی و شرایط کاربر، مسیریابی می‌گردد. خدمات F5 DNS شامل یک دیتابیس تعیین موقعیت فیزیکی دقیق و Granular است که قابلیت کنترل در توزیع ترافیک کاربران را براساس موقعیت مکانی می‌دهد.

سرویس DNS و BIG-IP GTM

BIG-IP GTM یک راهکار DNS جهانی است که Name Services را در لبه‌ی (Edge) شبکه‌های خدمت‌رسان و لایه‌ی Access فراهم می‌نماید. با به کارگیری سرویس مکان جغرافیایی، BIG-IP GTM می‌تواند براساس مکان فیزیکی کاربران، آن‌ها را به بهترین دیتاسنتر ارائه‌ی سرویس راهنمایی کند.

BIG-IP GTM می‌تواند Name Serviceهای زیر را ارائه ‌نماید:

• سرویس‌های DNS در لبه‌ی شبکه برای تمام خدمات داخلی و خارجی.
• خدمات تعیین موقعیت فیزیکی برای برنامه کاربردی Pinpoint، یا دقت در ارائه‌ی سرویس بر اساس مکان کاربر سیار.
• سرویس IP Intelligence، که با شناسایی و متوقف کردن دسترسی از آدرس‌های IP مرتبط با فعالیت مخرب، از زیرساخت‌ها محافظت می‌نماید.
• راهکار‌های خدمات BIG-IP intelligent اضافی، مانند ارائه‌ی برنامه کاربردی جهانی، اعمال Policy، ترجمه‌ی NAT64 و DNS64، بررسی عملکرد، زبان اسکریپت F5 و iRuleها.
• پشتیبانی از خدمات DNS جهانی.
• یکپارچه‌سازی با DNS iRules برای تصمیمات DNS جزئی و دقیق و ارائه‌ی دقیق سرویس‌ها.
• پشتیبانی از پروتکل‌های مختص به ارائه‌دهنده‌ی سرویس مانند درخواست‌های ENUM برای تراکنش‌های SIP.

بررسی سرویس‌های DNS و BIG-IP LTM

درون دیتاسنتر، BIG-IP Local Traffic Manager یا به اختصار LTM می‌تواند با ایجاد یک معماری خطاناپذیر از سمت موبایل تا سرویس ارائه شده، اطمینان حاصل نماید که برنامه‌های کاربردی و محتوای کاربر دارای دسترس‌پذیری بالا باشند. BIG-IP LTM، به علاوه‌ی ارائه‌ی دسترس‌پذیری بالا، از برنامه‌های کاربردی مختص به ارائه‌دهنده‌ی سرویس، مانند درخواست‌های ENUM تعدیل بار (Load Balance) برای تراکنش‌های SIP نیز پشتیبانی می‌نماید.

راهکار‌های BIG-IP LTM برای خدمات نام شامل موارد زیر هستند:

• یکپارچه‌سازی با BIG-IP GTM با هدف گسترش Naming Service و آوردن آن‌ها به دیتاسنتر محلی و شبکه‌ی خدمات.
• پشتیبانی از تعدیل بار برای Local DNS و Recursive DNS.
• پشتیبانی از پروتکل‌های مختص به ارائه‌دهنده‌ی سرویس مانند درخواست‌های ENUM برای تراکنش‌های SIP.
• مانیتور‌های سلامت به صورت Transparent برای ارزیابی سلامت سرویس پیش از فرستادن کاربران به سمت آن.
• BIG-IP LTM، که می‌تواند اطلاعات سلامت BIG-IP GTM را برای برنامه‌کاربردی ارسال کند تا آگاهی از برنامه‌های کاربردی را به لبه‌ی SDN بیاورد.
• یکپارچه‌سازی با iRules برای راهکارهای DNS جزئی و دقیق و ارائه‌ی Naming Service.

پیاده‌سازی یک زیرساخت ارائه‌ی سرویس کامل

F5 Intelligent DNS Scale به طور یکپارچه برای دسترس‌پذیری بالا و برنامه‌های کاربردی که دارای ترافیک بالا هستند، تنظیم می‌شود و در همین حال از میلیون‌ها درخواست در ثانیه پشتیبانی می‌نماید. این معماری با دیگر ویژگی‌های ارائه‌ی سرویس BIG-IP، مانند iRules Scripting Language، مانیتورینگ برنامه کاربردی به‌صورت Transparent، ماژول‌هایی مانند (BIG-IP Application Acceleration Manager (AAM و دیگر خدمات مرتبط به IP کار می‌کند تا زیرساخت ارائه‌ی سرویس کاملی را بسازند (یعنی F5 Service Delivery Network). با  بهره بردن از پلتفرم ارائه‌ی سرویس هوشمند که برای تمام دستگاه‌های BIG-IP متداول است، مقیاس‌پذیری و انعطاف‌پذیری یکپارچه‌ای فراهم می‌گردد.

در واقع F5 Intelligent DNS ، یک راهکار ارائه‌ی DNS، بصورت End-to-End است که با کاهش میزان تاخیر DNS، عملکرد وب را بهبود می‌بخشد، با کاهش خطر حملات DNS DDoS از دارایی‌های وب کاربر محافظت می‌نماید، با تجمیع کردن زیرساخت DNS، هزینه‌های دیتاسنتر را کاهش می‌دهد و مهم‌تر از همه، برای دست‌یابی به بهترین نوع ارائه‌ی سرویس و برنامه کاربردی، مشتریان سازمان، کاربر را به سوی اجزای دارای بهترین عملکرد هدایت می‌نمایند.

به علاوه، از آن‌جایی که کاربران F5 Intelligent DNS Scale Reference می‌دانند برنامه‌های کاربردی وب آن‌ها به تمام Queryهای DNS پاسخ می‌دهد و در نتیجه محتوا و برنامه‌های کاربردی آن‌ها را برای دیگر کاربران فراهم می‌کند (در هر زمان و هر جایی که بخواهند به آن دسترسی داشته باشند)، امنیت و اطمینان در عملکرد DNS را فراهم می‌آورد.

سازمان‌ها با استفاده ازF5 Intelligent DNS  می‌توانند:

• سرعت، دسترس‌پذیری، مقیاس‌پذیری و امنیت زیرساخت‌های DNS خود را افزایش دهند.
• با حذف سرورهای DNS اضافی و غیرضروری، پیچیدگی و هزینه را کاهش دهند.
• از پاسخگویی و عملکرد صحیح سرور DNS برای تمام کاربران مطمئن باشند.

ـــــــــــــــــــــ

ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت اول

ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت دوم

ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت سوم (پایانی)