当企业考虑外包其IT基础设施时,他们应该考虑将其公共权威DNS服务转移到云提供商的托管DNS服务,但首先他们应该了解其优势和劣势。
云DNS的优势
弹性
云DNS提供商拥有完全冗余的、地理上不同的网络和DNS服务器基础设施,提供可靠性和容错能力。企业在其DNS基础设施中通常缺乏冗余,因为它们使用的DNS服务器不共享同步的分布式区域信息。企业必须确保此服务是冗余的,因为如果如果他们的非冗余DNS服务器发生故障,将会对业务造成重大影响.如果企业网络缺乏内部和internet冗余,并且网络出现故障,那么它们的DNS基础设施的可达性也会受到影响。如果您当前的DNS服务器不是高度冗余的,那么云DNS服务将提供更高的故障弹性。
企业通常在其Internet外围网络上维护权威的DNS服务器,并允许通过TCP端口53和UDP端口53在全球范围内可达。如果一个组织的权威DNS服务器位于一个位置,并且它们正在服务于一个全局环境,那么在世界各地距离该位置很远的解析器执行查询时将增加延迟。使用云DNS提供商将获得显著更好的性能,这些云DNS提供商使用anycast提供大量地理上不同的DNS服务器,通过将流量路由到一组目的地中“最近的”,提供高可用性和性能。
云DNS提供商利用anycast创建高度可伸缩和冗余的DNS基础设施。对于企业来说,使用anycast和BGP路由来建立这种级别的冗余将会有巨大的成本。
法案同样支持域名系统安全扩展
域名系统安全扩展(DNSSEC)提供了一种验证DNS记录的加密方法,并有助于防止许多常见的DNS安全问题。大多数企业还没有采用DNSSEC,因为他们不熟悉它的配置和它的好处。企业可能缺乏DNS服务器,从而容易建立DNSSEC配置,并定期自动处理密钥轮换和更新。如果DNS管理员忘记了每年执行的键轮换步骤,错误可能会很严重。云DNS提供商可能会自动启用DNSSEC,或者使DNSSEC更容易实现,并执行自动键旋转。
DNS DDoS保护
如果企业部署自己的DNS服务器,将无法应对DNS服务器遭受的大规模DDoS攻击。对于企业来说,部署应对这种攻击所需的高度可伸缩的基础设施的成本太高。弹性对DNS DDoS攻击当使用云DNS提供商时,将得到改进,云DNS提供商具有更强的能力来吸收攻击、随攻击扩大规模或快速减轻攻击。云DNS提供商拥有更高的带宽链接,多样化的资源,以及根据交易量自动扩展资源的能力。
改进的安全性
由于DNS是面向internet的服务,企业必须不断监控该服务器的安全性,不断打补丁,确保它不会成为一个开放的DNS解析器.云DNS提供商会不断地修补、扫描、保护和监控他们的冗余DNS服务器。