DNS 伺服器管理：Gandi 如何帮助企业採用 ANSSI 的建议

作为国家讯息系统安全局，ANSSI（原文全名为 Agence nationale de la sécurité des systèmes d’informations）的职责是透过可取得的出版物为企业提供建议和分享最佳作法。自 2017 年开始，国家讯息系统安全局便在这些出版刊物中分享了一套关于域名取得和使用的建议，并在一份综合指南中阐述了选择域名註册商的基本要素。

透过一系列的四篇文章，Gandi 企业客户服务团队要向您介绍不同的机制以回应其提出的每个建议。

我们在系列文章的第一部分讨论了关于 DNS 安全的五个关键要点。DNS 负责所有数位活动的可用性，自然而然地，它也将是系列文章的第二部分的主要议题。这将涉及回应与 DNS 伺服器恢復性相关的建议：

• 使用至少两个权威名称伺服器
• 将伺服器分佈在多个不同网段
• 将伺服器分散于不同地理位置
• 开启 DNS 的 TCP 协定来启用 DNS 查询
• 启用 EDNS0 的功能来支援 DNS 扩展协定

ANSSI 针对 DNS 伺服器的管理与恢復性提出的五种建议

6. 使用至少两个权威名称伺服器

「域名服务至少使用两种权威伺服器。」

Gandi 企业客服团队提供的安全解决方案：
因为 DNS 伺服器负责域名的可用性，因此有必要限制其在故障时可能造成的影响。这就是为什麽域名需使用最少两个不同伺服器的原因。

在 Gandi 的企业客户服务中，每个使用 Gandi DNS 伺服器的域名都分佈在三台不同的伺服器上，每台伺服器都各自倚靠在独立的数据中心。基础设施冗馀可以保证您的 DNS 的可用性，进而保证您的线上服务的可用性。

此外，Gandi 的 DNS 基础设施是以 Anycast 的技术建立。也就是说，实际上我们的 DNS 服务分佈在世界各地的许多伺服器上，并协助用户从最近的数据中心去联繫客户，以达成两个主要目标：

• 选择地理上最近的位置以更快速地回应请求者
• 建立冗馀以防止其中一个数据中心發生事故

7. 将伺服器分佈在多个不同网段

「分散权威名称伺服器在多个不同网段（IP 位址）或使用 Anycast 路由技术。」

Gandi 企业客服团队提供的安全解决方案：
Gandi 企业客户服务为每个域名提供的 DNS 基础设施皆为自动配置，以将其分佈在 3 个不同的网段上，并允许在其中一个网段發生事故时能将流量移转到另一个可使用的伺服器上。

分佈范例：
217.70.187.0/24 AS209453
173.246.96.0/20 AS29169
213.167.230.0/24 AS209453

此外，每个位址都是透过 Anycast 的路由技术将其传输至最近的可用数据中心。

8. 将伺服器分散于不同地理位置

「分散名称伺服器，例如，将名称伺服器分散于不同的资讯中心以更有效地避免天然灾害或技术问题而造成的影响。」

Gandi 企业客服团队提供的安全解决方案：
与任何类型的基础设施一样，DNS 伺服器也不能免于风险分散的规则。在这种情形下，就会将 DNS 伺服器分散在不同的数据中心裡。

Gandi 企业客户服务在不同的网路服务提供点（POP）中建立了基础设施：

• 阿姆斯特丹，
• 阿什本，
• 费利蒙，
• 伦敦，
• 旧金山，
• 卢森堡，
• 巴黎，
• 东京。

以此种方式建立的基础设施能够避免技术问题或是天然灾害等风险，例如：

• 停电，
• 网路断线，
• 水灾，
• 火灾，
• 地震。

针对最敏感的域名，Gandi 企业客户服务提供进阶 DNS 的选项，它为用户提供一个额外的 DNS 伺服器以连接到其它三个 LiveDNS 伺服器。该服务器使用 Cloudflare，其建立在 Anycast 的基础设施上，并遍佈于全球 200 多个城市以确保最佳化的冗馀：

• 西雅图 ，
• 圣荷西，
• 旧金山，
• 芝加哥，
• 多伦多，
• 纽瓦克，
• 阿什本，
• 亚特兰大，
• 达拉斯，
• 迈阿密，
• 麦德林，
• 瓦尔帕莱索，
• 圣保罗，
• 伦敦，
• 阿姆斯特丹，
• 巴黎，
• 法兰克福，
• 马德里，
• 斯德哥尔摩…等等。

*非合同数据，可能会有所修正。

9. 开启 DNS 的 TCP 协定来启用 DNS 查询

「将基础设施配置为一个整体架构，其中包含伺服器、负载共享器和过滤设备，以支援 TCP 和 UDP 协定来启用 DNS 查询。」

Gandi 企业客服团队提供的安全解决方案：
一直以来，DNS 主要倚靠用户资料报协定（UDP）。然而，为了从各种改善的协议中受益，需要使用 TCP 协定以回应 DNS 查询。
这就是为什麽 Gandi 企业客户服务同时提供了 UDP 与 TCP 两种传输协定。

10. 启用 EDNS0 的功能来支援 DNS 扩展协定

「配置基础设施，特别是 DNS 伺服器、负载共享器、入侵检测系统和防火牆，以支援 EDNS0。」

Gandi 企业客服团队提供的安全解决方案：
EDNS0 为 DNS 延伸安全协定，能够将 DNS 回应提升至最大值。
其为使用 DNSSEC 的必要扩展机制。

如同我们在第一篇文章中所提及的 ANSSI 的建议，DNSSEC 安全延伸协定因有公开金钥的加密而能够保护数据不被窃取。透过这个方法，由根 DNS 建立 “信任链”，允许解析器验证 DNS 伺服器發送的数据的真实性。

Gandi 企业客户服务的 DNS 伺服器支援 EDNS0，其允许自动启用 DNSSEC 功能。

总结来说，DNS 的安全及恢復性都要归功于 Gandi 企业客户服务的网路和安全专家所设置的基础架构。欲了解更多讯息，请随时与您的客户经理联繫，或者您也可以写信至 corporate@gandi.net。

我们邀请您定期阅读我们的企业户新闻，以随时掌握市场最新文章资讯与接下来的系列文章。

Tagged in corporateDNS