Gestion des serveurs DNS : comment Gandi permet aux entreprises de respecter les recommandations de l’ANSSI ?
L’ANSSI, en tant qu’Agence Nationale de la Sécurité des Systèmes d’Informations, a pour rôle de conseiller et de partager des bonnes pratiques auprès des entreprises à travers des publications accessibles. Parmi ces publications, l’agence partage depuis 2017 un ensemble de recommandations sur l’acquisition et l’exploitation de noms de domaine. Un guide complet qui expose les points de contrôle essentiels pour le choix de son bureau d’enregistrement de noms de domaine.
Dans une saga en quatre volets, Gandi Corporate Services vous présente les différents mécanismes mis à disposition pour vous permettre de répondre à chacune de ces préconisations
Le premier volet de notre saga reprenait les cinq points clés liés à la sécurisation du DNS. Responsable de la disponibilité de toutes les activités numériques, il est tout naturel que le DNS soit également le sujet principal de ce deuxième volet. Il s’agira ici de répondre aux préconisations liées à la résilience des serveurs DNS, à savoir :
- Utiliser au moins deux serveurs faisant autorité
- Répartir les serveurs dans plusieurs préfixes réseau
- Répartir géographiquement les serveurs
- Prendre aussi en charge TCP comme protocole de transport du DNS
- Prendre en charge l’extension DNS EDNS0
Les cinq recommandations de l’ANSSI pour la gestion et la résilience des serveurs DNS
6) Utiliser au moins deux serveurs faisant autorité
« Servir les noms de domaine depuis au moins deux serveurs faisant autorité distincts. »
La solution de sécurisation Gandi Corporate Services :
Puisque les serveurs DNS sont responsables de la disponibilité des noms de domaine, il est nécessaire de limiter l’impact d’une éventuelle défaillance. D’où l’intérêt que les noms de domaine soient servis par à minima deux serveurs distincts.
Chez Gandi Coporate Services, chaque nom de domaine dont Gandi est configuré pour prendre en charge le DNS, est réparti sur trois serveurs, dépendants d’installations distinctes. Cette redondance des infrastructures garantit la disponibilité de vos DNS, et donc de toute votre activité numérique.
De plus, l’architecture DNS Gandi est bâtie sur la technique de l’Anycast. Elle permet de disposer en réalité de plus de serveurs disponibles répartis tout autour du globe, et de répondre aux clients depuis le datacenter le plus proche afin d’accomplir deux objectifs :
- Répondre plus rapidement en étant plus près géographiquement du demandeur,
- Bénéficier d’une redondance du service en cas d’incident dans l’un des datacenters.
7) Répartir les serveurs dans plusieurs préfixes réseau
« Répartir les serveurs de noms faisant autorité dans plusieurs préfixes (blocs d’adresses IP) ou utiliser la technique de routage anycast. »
La solution de sécurisation Gandi Corporate Services :
L’infrastructure DNS Gandi Corporate Services proposée avec chaque nom de domaine est automatiquement configurée pour se reposer sur 3 réseaux différents, permettant de toujours dévier le trafic vers un serveur accessible en cas d’incident technique sur l’un des réseaux.
Exemple de répartition :
217.70.187.0/24 AS209453
173.246.96.0/20 AS29169
213.167.230.0/24 AS209453
De plus, chaque adresse est routée via la technique de l’Anycast afin de transiter vers le datacenter disponible le plus proche.
8) Répartir géographiquement les serveurs
« Éloigner les serveurs de noms, par exemple, en les plaçant dans différents centres de données, afin de mieux résister aux aléas naturels et aux incidents techniques. »
La solution de sécurisation Gandi Corporate Services :
Comme pour chaque infrastructure, les serveurs DNS n’échappent pas à la règle de répartition des risques. Elle se traduit ici par la répartition des serveurs DNS dans différents datacenters.
Gandi Corporate Services a bâtie une infrastructure sur différents POP (Point Of Presence) :
- Amsterdam,
- Ashburn,
- Fremont,
- London,
- Los-Angeles,
- Luxembourg,
- Paris,
- Tokyo.
Une infrastructure ainsi bâtie prévient des risques techniques ou des aléas naturels, tels que :
- les coupures électriques,
- les coupures de fibres,
- les inondations,
- les incendies,
- les tremblements de terre.
Pour les noms de domaines les plus sensibles, Gandi Corporate Services propose l’option Advanced DNS, permettant de bénéficier d’une entrée DNS supplémentaire associé aux 3 autres serveurs LiveDNS. Ce serveur logique supplémentaire s’appuie sur l’infrastructure Anycast étendue de Cloudflare, répartie dans plus de 200 villes* pour assurer une redondance optimale :
- Seattle,
- San Jose,
- Los Angeles,
- Chicago,
- Toronto,
- Newark,
- Ashburn
- Atlanta,
- Dallas,
- Miami,
- Medellin,
- Valparaiso,
- Sao Paulo,
- London,
- Amsterdam,
- Paris,
- Frankfurt,
- Madrid,
- Stockholm…
*données non contractuelles, pouvant être soumises à évolution.
9) Prendre en charge TCP comme protocole de transport du DNS
« Configurer les infrastructures dans leur ensemble, notamment les serveurs, les répartiteurs de charge et les équipements de filtrage, pour prendre en charge TCP, en complément d’UDP, comme protocole de transport pour le DNS. »
La solution de sécurisation Gandi Corporate Services :
Historiquement le DNS s’appuie principalement sur le protocole de transport UDP (User Datagram Protocol). Toutefois, afin de profiter de diverses évolutions du protocole, et à des fins d’optimisations diverses, il convient de supporter et de pouvoir également répondre en TCP.
C’est pourquoi nos serveurs Gandi Corporate Services prennent en charge à la fois le protocole UDP et le protocole TCP.
10) Prendre en charge l’extension DNS EDNS0
« Configurer les infrastructures, notamment les serveurs DNS, les répartiteurs de charge, les systèmes de détection d’intrusion et les pares-feux, afin de prendre en charge EDNS0. »
La solution de sécurisation Gandi Corporate Services :
EDNS0 est une extension au protocole DNS qui permet notamment d’accroître la taille maximale des réponses DNS.
Cette extension est nécessaire pour prendre en charge DNSSEC.
Comme exposé dans le 1er volet de notre réponse aux recommandations ANSSI, le protocole DNSSEC protège du détournement des données grâce à la cryptographie à clé publique. De cette manière, une « chaîne de confiance » est établi depuis la racine DNS, permettant aux résolveurs de vérifier l’authenticité des données renvoyées par les serveurs DNS.
Les serveurs Gandi Corporate Services prennent en charge l’extension EDNS0, ce qui permet, entre autres, l’automatisation de l’activation de DNSSEC.
D’un point de vue général, la sécurisation et la résilience du DNS sont rendues possibles grâce à l’architecture de l’infrastructure en propre, mise en place par les experts réseaux et sécurité Gandi Corporate Services. Pour en savoir plus, n’hésitez pas à contacter votre Chargé de Compte ou à nous écrire à corporatecontact@gandi.net.
Nous vous invitons à consulter régulièrement nos articles dédiés aux grandes entreprises afin de consulter la suite de cette saga et d’être tenu(e) informé(e) des dernières actualités du marché.
Tagged in corporateDNS