Qu’est-ce que le DNS géré ?

En tant « qu’annuaire téléphonique d’Internet », le DNS traduit les noms de domaine et les noms d’hôte lisibles par les humains en adresses IP lisibles par l’ordinateur. Lorsqu’un utilisateur saisit une URL, son appareil interroge un résolveur DNS récursif, qui envoie des requêtes itératives aux serveurs DNS faisant autorité, en commençant par la racine. Le processus se poursuit jusqu’à ce que le résolveur récursif trouve la bonne réponse du serveur DNS faisant autorité associé à ce domaine.

Chaque requête dans le DNS est résolue à l’aide du même processus. Si une entreprise gère son site Web à l’aide d’un DNS autogéré (c’est-à-dire sans solution DNS gérée), elle est seule responsable de la réponse à chacune des requêtes DNS faisant autorité qui correspondent à son nom de domaine. Il est certainement possible de gérer soi-même un DNS faisant autorité, mais les services DNS gérés simplifient considérablement le processus.

Les solutions DNS gérées automatisent les processus de gestion des serveurs et d’orchestration des zones DNS. Dans un système géré, le fournisseur DNS gère l’ensemble des protocoles de configuration, de maintenance et de sécurité des serveurs DNS d’une organisation, et le client utilise l’infrastructure du fournisseur pour gérer les noms de domaine. Dans ce cas, lorsqu’un utilisateur saisit l’URL d’une entreprise, il est redirigé depuis le serveur de nom de domaine de l’entreprise vers les serveurs du fournisseur, qui récupèrent toutes les ressources et répondent à l’utilisateur.

En plus de gérer le DNS faisant autorité et de déployer des résolveurs récursifs (responsables de la mise en cache et de la récupération des données), le DNS géré peut offrir aux entreprises les avantages suivants :

Les fonctionnalités DNS gérées peuvent distribuer le trafic entre les serveurs DNS secondaires (via des transferts de zone) en cas de défaillance du serveur primaire ou de problèmes de latence ou de temps d’arrêt imprévus.

Les services DNS gérés offrent des capacités de détection et de réponse aux menaces en temps réel qui protègent les serveurs contre les logiciels malveillants, le phishing et autre trafic malveillant, tel que les attaques par déni de service distribué (DDoS).

Le DNS géré peut distribuer le trafic web sur différents serveurs en fonction de leurs performances et de leur emplacement.

Avec un système DNS géré, les équipes peuvent recevoir des mises à jour en temps réel sur l’état de santé de l’infrastructure DNS, ce qui leur permet d’identifier et de résoudre rapidement les perturbations au niveau du système.

Anycast permet à un groupe de serveurs de répondre automatiquement à une seule adresse IP, ce qui augmente le temps de fonctionnement de la résolution DNS et minimise l’impact des problèmes de latence et des pannes de serveur.

Le choix entre des services DNS autogérés et gérés dépend de plusieurs facteurs organisationnels, notamment la taille, la complexité des besoins en DNS, les contraintes budgétaires, l’expertise en interne et le niveau de contrôle des données DNS requis. Naturellement, une approche autogérée présente ses propres avantages.

Le DNS autogéré donne aux équipes informatiques le contrôle total de la configuration DNS : elles peuvent ainsi personnaliser entièrement les paramètres DNS selon leurs spécifications, applications et services une fois l’enregistrement du domaine terminé. Le DNS autogéré permet également de réaliser des économies. En effet, le DNS géré implique le paiement de frais continus de gestion et de maintenance du DNS aux fournisseurs de services. Et comme l’autogestion implique la conservation d’une plus grande quantité de données en interne, elle peut réduire le risque de violation de données et de sécurité.

Cependant, la gestion de votre propre DNS peut également poser des risques importants. Les modèles de trafic DNS peuvent varier considérablement et sont souvent imprévisibles, ce qui complique considérablement l’anticipation des pics de volume et la gestion des protocoles d’équilibrage de charge.

Si une entreprise choisit l’autogestion, elle doit également gérer sa propre réponse aux attaques DDoS, qui submergent les serveurs ciblés avec un barrage du trafic Internet. Sans les extensions de sécurité DNS (DNSSEC), les protocoles d’authentification et les protections DDoS fournis par les services gérés, les équipes pourraient être submergées par les tâches liées à la sécurité et à l’atténuation des risques.

En outre, avec des requêtes provenant du monde entier, les réseaux doivent pouvoir répondre en quelques millisecondes pour satisfaire les attentes existantes en matière d’expérience utilisateur. Étant donné la rapidité tout de même limitée des requêtes Internet, la mise en place d’un site performant nécessite un DNS mondial (« point de présence ») fournissant des réponses aux requêtes DNS à grande échelle, ce qui peut représenter un investissement important pour certaines entreprises.

Pour de nombreuses entreprises, le coût de la mise en place d’un réseau mondial de centres de données doté d’une capacité, d’une sécurité et d’une résilience suffisantes pour répondre aux exigences d’Internet aujourd’hui, combiné au coût de la formation du personnel, est prohibitif.

Les organisations doivent peser soigneusement le pour et le contre des risques et des avantages de ces solutions en tenant compte de leur stratégie à long terme, de la criticité du DNS pour leur présence en ligne et des risques de sécurité potentiels. Certaines entreprises pourraient bénéficier d’une approche hybride, leur permettant de gérer des domaines critiques avec un DNS autogéré tout en tirant parti des avantages du DNS géré pour des domaines moins sensibles ou secondaires.

Les fournisseurs de DNS gérés, tels que Microsoft Azure DNS, Google Cloud DNS, Oracle Dyn, Cloudflare et IBM NS1, proposent des systèmes sécurisés, à haute disponibilité et à haute redondance qui offrent une recherche DNS ultrarapide et des fonctions DNS optimisées. Depuis le début des années 2000, les fournisseurs de DNS fournissent un ensemble standard de services aux organisations qui préfèrent un hébergement externe pour leur DNS faisant autorité.

Bien que les solutions DNS aient considérablement évolué depuis leur introduction, les fournisseurs de DNS gérés continuent de développer et d’étendre les technologies DNS pour s’adapter au rythme dynamique de la gestion du trafic Internet.

Par exemple, le DNS géré va désormais au-delà de l’équilibrage de charge de base : il optimise les performances, permet de contrôler les coûts et rationalise l’expérience dans les applications. Les plateformes DNS modernes peuvent même prendre des décisions de routage de requêtes en fonction de cas d’utilisation spécifiques.

Certaines plateformes DNS gérées peuvent également déployer une infrastructure en tant que code, ce qui peut constituer un avantage significatif dans les architectures basées sur les API : DevOps, edge computing et architectures informatiques sans serveur. Les plateformes gérées peuvent contribuer au bon fonctionnement de ces systèmes (au lieu de les bloquer) en utilisant des API REST simplifiées avec des architectures préconfigurées. De plus, l’intégration avec des outils tels que Terraform peut faciliter encore davantage celle des fonctionnalités DNS gérées dans les systèmes existants.