Qu’est-ce que le DNS géré ?

Le fournisseur DNS géré stocke sur ses serveurs DNS les enregistrements DNS faisant autorité sur les domaines et noms d’hôte de l’entreprise cliente, et gère la configuration, la maintenance et les protocoles de sécurité des serveurs pour cette dernière. Dans la plupart des cas, les fournisseurs utilisent un réseau de serveurs distribué mondialement. En même temps, le client gère ses propres enregistrements DNS sur les serveurs du fournisseur, généralement via une plateforme de fournisseur ou des interfaces de programmation d’application (API).

Les services DNS gérés offrent souvent des fonctionnalités telles que le routage anycast, l’équilibrage de charge, les SLA (accords de niveau de service) de disponibilité, la protection failover, les extensions de sécurité DNS (DNSSEC) et des outils de surveillance et de dépannage. Ces outils permettent une résolution de domaine plus rapide, plus fiable et plus sécurisée que celle des configurations DNS autogérées traditionnelles.

Essentiellement, avec un DNS géré, le processus de recherche DNS reste le même, mais le client n’est responsable ni du provisionnement, ni de la gestion de ses serveurs DNS.

Le choix entre services DNS autogérés et gérés dépend de plusieurs facteurs comme la taille de l’entreprise, la complexité de ses besoins en DNS, les contraintes budgétaires, son expertise et ses ressources informatiques ou encore le niveau de contrôle des données DNS requis. Bien entendu, l’approche autogérée a ses avantages.

Le DNS autogéré donne aux équipes informatiques le contrôle total de la configuration DNS : elles peuvent personnaliser entièrement les paramètres DNS selon leurs spécifications, applications et services. L’autogestion du DNS permet également de réaliser des économies, car le DNS géré implique le paiement de frais continus de gestion et de maintenance auprès du fournisseur de services DNS.

Parce que l’autogestion implique la conservation d’une plus grande quantité de données sur site ou dans le cloud de l’entreprise, elle permet de réduire les risques pesant sur la sécurité, notamment les violations de données. Toutefois, ces gains de sécurité dépendent de la capacité de l’entreprise à mettre en œuvre des mesures de sécurité solides.

L’autogestion des serveurs DNS comporte des coûts, des défis et des risques. D’une part, les solutions DNS gérées peuvent éviter aux équipes informatiques l’effort supplémentaire nécessaire à l’automatisation des processus de gestion des serveurs et d’orchestration des zones DNS (et les coûts associés).

En outre, les schémas de trafic DNS peuvent varier considérablement et sont souvent imprévisibles, ce qui rend difficile l’anticipation des pics de volume et la gestion des protocoles d’équilibrage de charge. Un service DNS géré avec un réseau mondial de serveurs DNS et des protections failover automatiques peut offrir une plus grande fiabilité et une meilleure évolutivité pendant les pics de trafic ou en cas de changements inattendus.

Si l’entreprise choisit l’autogestion, elle doit également gérer sa réponse aux menaces telles que les attaques DDoS (déni de service distribué), susceptibles de submerger les serveurs ciblés avec un trafic Internet massif. Les services DNS gérés offrent souvent des fonctionnalités de sécurité comme l’atténuation DDoS et la prise en charge DNSSEC pour se protéger contre l’usurpation DNS, les attaques par amplification DNS et d’autres menaces.

Pour répondre aux attentes en matière d’expérience utilisateur d’un public international, les réseaux s’efforcent de fournir des réponses en quelques millisecondes, quelle que soit l’origine de la requête. Comme les requêtes sur Internet ne peuvent être transmises qu’à une certaine vitesse, la mise en place d’un site haute performance requiert une solution DNS dotée de serveurs (appelés « points de présence » ou PoP) répartis dans le monde entier. Ces solutions permettent une résolution rapide des requêtes DNS à grande échelle.

Pour de nombreuses entreprises, le coût de construction d’un réseau mondial de serveurs DNS doté d’une capacité, d’une sécurité et d’une résilience suffisantes pour répondre aux exigences de l’Internet actuel est prohibitif, sans oublier le coût de formation des effectifs.

Les entreprises doivent évaluer soigneusement les défis et les avantages en tenant compte de leur stratégie à long terme, des exigences de performance de leurs utilisateurs et des risques potentiels en matière de sécurité. Certaines entreprises peuvent tirer avantage d’une approche hybride qui leur permettrait d’utiliser un réseau privé autogéré pour les requêtes internes, et de faire appel à un fournisseur de DNS géré pour leur site Web et leurs ressources accessibles au public. 

Un service DNS géré offre généralement diverses fonctionnalités, notamment :

• DNS Anycast
• Basculement DNS et reprise après incident automatisés
• Pilotage DNS
• DNS dynamique (DDNS)
• Sécurité des serveurs renforcée
• Équilibrage de charge global
• Analyse avancée des serveurs

Anycast est une technique de routage qui permet à plusieurs serveurs hébergés dans différentes zones géographiques de partager la même adresse IP. Les requêtes sont acheminées vers le serveur le plus proche ou le plus performant du groupe, ce qui augmente la vitesse de résolution du DNS et minimise l'impact des problèmes de latence et des pannes de serveur.

Les fonctionnalités DNS gérées peuvent distribuer le trafic entre les serveurs DNS secondaires (en utilisant les transferts de zone) dès lors que le serveur principal tombe en panne ou rencontre des problèmes de temps d’arrêt non planifié ou de latence. 

De nombreuses entreprises utilisent plusieurs réseaux de diffusion de contenu (CDN) pour améliorer la performance Web en plaçant des copies du contenu Web plus près des utilisateurs et en favorisant une livraison de contenu dynamique.

Le pilotage DNS est normalement utilisé avec les CDN pour gérer et acheminer plus intelligemment le trafic vers les sites Web. Comme un gestionnaire de trafic, le pilotage DNS trouve le chemin optimal en fonction de l'emplacement du serveur, de la latence et des contrôles d’intégrité, des règles métier et de la surveillance des utilisateurs réels (RUM), c’est-à-dire les informations sur la façon dont les personnes interagissent avec les applications et services en ligne. En outre, le pilotage DNS peut aider à acheminer le trafic en cas de panne ou de suppression d’un service.

Pour gagner du temps et économiser les efforts liés à la mise à jour manuelle des enregistrements, de nombreux services proposent le DNS dynamique (DDNS), qui met automatiquement à jour les enregistrements du serveur de noms lorsque les adresses IP changent. En particulier, le DDNS permet de localiser les sites, les réseaux et les appareils dotés d’adresses IP dynamiques, comme les appareils mobiles, les réseaux domestiques ou les réseaux Wi-Fi publics, lorsque leur adresse IP change.

Les services DNS gérés offrent généralement des capacités de détection et de réponse aux menaces en temps réel, qui protègent les serveurs contre les logiciels malveillants, l’hameçonnage et d’autres types de trafic malveillant, comme les attaques par déni de service distribué (DDoS). Pour de nombreuses entreprises, la protection DDoS reste une préoccupation. Le dernier Rapport sur le coût d’une violation de données indique qu’il faut en moyenne 236 jours pour identifier et contenir les attaques DDoS dans divers environnements.

De nombreux serveurs DNS gérés offrent également une prise en charge DNSSEC.

Le DNS géré peut distribuer le trafic Web et prendre des décisions d’acheminement des requêtes sur un réseau de serveurs distribué au niveau mondial, en fonction de la performance du serveur, du cas d’utilisation et de l’emplacement.

Avec un système DNS géré, les équipes peuvent recevoir des mises à jour et des informations en temps réel sur les types et les volumes de requêtes, la latence, les adresses IP sources, la distribution géographique des requêtes, etc. Ces informations permettent aux équipes informatiques de mieux comprendre les exigences et la performance de leur réseau.

Les fournisseurs de DNS géré comme Microsoft Azure DNS, Google Cloud DNS, Oracle Dyn, Cloudflare et IBM NS1 offrent des systèmes sécurisés, à haute disponibilité et à haute redondance qui assurent une recherche DNS rapide et des fonctions DNS optimisées. Les avantages des solutions DNS gérées sont les suivants :

• Disponibilité et résilience maximales
• Temps de réponse rapides
• Propagation accélérée
• Efficacité accrue
• Externaliser les problèmes techniques
• Conformité réglementaire
• Une tarification à la carte

Les fournisseurs DNS utilisent désormais l’intelligence artificielle (IA) pour améliorer le DNS géré, et cette tendance se poursuivra probablement à mesure que ces outils évolueront et s’amélioreront¹.

Par exemple, certains outils d’analyse alimentés par l’IA peuvent identifier les problèmes de performance et prendre automatiquement des mesures correctives, plus rapidement que les opérateurs humains. Cette capacité de détection améliorée permet d’identifier et de neutraliser les attaques DDoS ou les tentatives d’empoisonnement du cache (un attaquant malveillant injecte des données non valides dans le cache d’un système pour être servies aux utilisateurs comme étant légitimes). 

Les fournisseurs de DNS géré combinent et intègrent de plus en plus les modèles de machine learning (ML) et l’automatisation dans leurs services pour signaler les domaines suspects, analyser les schémas d’attaque et adapter leur posture de défense à l’évolution des menaces. Ces tactiques améliorées aident les fournisseurs à mieux surveiller le trafic système, à prévoir et à dépanner les attaques DNS, à détecter les anomalies, à réduire la latence et à ajuster automatiquement le routage DNS pour optimiser les charges du système.

Tout comme la popularité du cloud computing ne cesse de croître grâce à son évolutivité et à sa flexibilité, les solutions DNS gérées continuent de s’améliorer pour garantir la haute disponibilité et la performance des applications cloud. Le volume du trafic numérique mondial augmente, au même titre que le besoin de solutions DNS gérées rapides, robustes et fiables.