Pertama, mari kita bahas pertanyaan dalam judul.
Apakah mungkin untuk memiliki penyedia DNS yang dikelola sekunder untuk didelegasikan dengan cepat
"Cepat" dan "delegasi" tidak termasuk dalam kalimat yang sama ketika kita berbicara tentang delegasi untuk bagian atas domain. Server nama yang dioperasikan oleh pendaftar domain tingkat atas (TLD) biasanya melayani referensi yang memiliki TTL diukur dalam beberapa hari. Catatan otoritatif NS
yang hidup di server Anda mungkin memiliki TTL yang lebih rendah yang akhirnya menggantikan referensi TLD, tetapi Anda tidak memiliki kendali atas seberapa sering perusahaan di internet memilih untuk menjatuhkan seluruh cache atau memulai kembali server mereka.
Menyederhanakan ini, yang terbaik untuk mengasumsikan bahwa itu akan memakan waktu setidaknya 24 jam untuk internet untuk mengambil perubahan server nama untuk bagian atas domain Anda. Dengan bagian atas domain Anda menjadi tautan terlemah, itulah yang paling harus Anda rencanakan.
Apa sajakah pilihan dalam hal mengurangi ketergantungan pada penyedia DNS yang dikelola eksternal TUNGGAL?
Pertanyaan ini jauh lebih bisa dipecahkan, dan bertentangan dengan pendapat umum, jawabannya tidak selalu "menemukan penyedia yang lebih baik". Bahkan jika Anda menggunakan perusahaan dengan rekam jejak yang sangat baik, beberapa tahun terakhir telah menunjukkan bahwa tidak ada yang sempurna, bahkan Neustar.
- Perusahaan hosting DNS besar dan mapan dengan reputasi baik lebih sulit dihancurkan, tetapi target lebih besar. Mereka cenderung menjadi gelap karena seseorang mencoba untuk mengambil domain Anda offline, tetapi lebih mungkin untuk diambil offline karena mereka meng-host domain yang target lebih menarik. Ini mungkin tidak sering terjadi, tetapi masih terjadi.
- Sebaliknya, menjalankan server nama Anda sendiri berarti Anda cenderung berbagi server nama dengan target yang lebih menarik daripada Anda, tetapi itu juga berarti bahwa Anda lebih mudah untuk dihilangkan jika seseorang memutuskan untuk menargetkan Anda secara khusus .
Bagi kebanyakan orang, opsi # 1 adalah opsi paling aman. Pemadaman hanya dapat terjadi sekali setiap beberapa tahun, dan jika serangan benar-benar terjadi, itu akan ditangani oleh orang-orang yang memiliki lebih banyak pengalaman dan sumber daya untuk menangani masalah tersebut.
Itu membawa kita ke pilihan terakhir, paling andal: pendekatan campuran menggunakan dua perusahaan. Ini memberikan daya tahan terhadap masalah yang muncul karena memiliki semua telur Anda dalam satu keranjang.
Demi argumen itu, mari kita asumsikan bahwa perusahaan hosting DNS Anda saat ini memiliki dua server nama. Jika Anda menambahkan dua server nama yang dikelola oleh perusahaan lain ke dalam campuran, maka dibutuhkan DDoS terhadap dua perusahaan yang berbeda untuk membawa Anda offline. Ini akan melindungi Anda dari peristiwa langka seperti raksasa seperti Neustar yang tidur siang. Sebaliknya, tantangannya adalah menemukan cara untuk secara andal dan konsisten memberikan pembaruan untuk zona DNS Anda ke lebih dari satu perusahaan. Biasanya ini berarti memiliki internet yang menghadap master tersembunyi yang memungkinkan mitra jarak jauh untuk melakukan transfer zona berbasis utama. Solusi lain tentu saja mungkin, tetapi saya pribadi bukan penggemar menggunakan DDNS untuk memenuhi persyaratan ini.
Sayangnya, biaya ketersediaan server DNS yang paling dapat diandalkan, sayangnya, lebih rumit. Masalah Anda sekarang jauh lebih mungkin sebagai akibat dari masalah yang menyebabkan server ini menjadi tidak sinkron. Perubahan firewall dan perutean yang memutuskan transfer zona adalah masalah yang paling umum. Lebih buruk lagi, jika masalah transfer zona tidak diperhatikan untuk jangka waktu yang lama, waktu kedaluwarsa yang ditentukan oleh SOA
catatan Anda mungkin tercapai dan server jauh akan menjatuhkan zona sepenuhnya. Pemantauan ekstensif adalah teman Anda di sini.
Untuk menyelesaikan semua ini, ada sejumlah opsi, dan masing-masing memiliki kekurangan. Terserah Anda untuk menyeimbangkan keandalan terhadap pengorbanan masing-masing.
- Untuk sebagian besar, DNS Anda cukup di-host dengan perusahaan yang memiliki reputasi hebat dalam menangani serangan DDoS ... risiko turun sekali setiap beberapa tahun cukup baik untuk kesederhanaan.
- Sebuah perusahaan dengan reputasi berbalut besi untuk menangani serangan DDoS adalah pilihan kedua yang paling umum, terutama ketika orang mencari solusi gratis. Hanya ingat bahwa gratis biasanya berarti tidak ada jaminan SLA, dan jika masalah terjadi Anda tidak akan memiliki cara untuk mendorong urgensi dengan perusahaan itu. (atau seseorang untuk menuntut, jika departemen hukum Anda meminta hal semacam itu)
- Opsi yang paling tidak umum adalah, ironisnya, pilihan paling kuat untuk menggunakan beberapa perusahaan hosting DNS. Hal ini disebabkan oleh biaya, kompleksitas operasional, dan manfaat jangka panjang yang dirasakan.
- Yang terburuk, setidaknya menurut saya, adalah memutuskan untuk menjadi tuan rumah bagi Anda sendiri. Beberapa perusahaan telah mengalami admin DNS (yang cenderung membuat pemadaman tidak disengaja), pengalaman dan sumber daya untuk menghadapi serangan DDoS, kesediaan untuk berinvestasi dalam desain yang memenuhi kriteria yang diuraikan oleh BCP 16 , dan dalam kebanyakan skenario kombinasi dari ketiganya. Jika Anda ingin bermain-main dengan server otoritatif yang hanya menghadapi bagian dalam perusahaan Anda, itu satu hal, tetapi internet yang menghadapi DNS adalah ballgame yang sama sekali berbeda.