DNS 伺服器管理：Gandi 如何幫助企業採用 ANSSI 的建議

作為國家訊息系統安全局，ANSSI（原文全名為 Agence nationale de la sécurité des systèmes d’informations）的職責是透過可取得的出版物為企業提供建議和分享最佳作法。自 2017 年開始，國家訊息系統安全局便在這些出版刊物中分享了一套關於域名取得和使用的建議，並在一份綜合指南中闡述了選擇域名註冊商的基本要素。

透過一系列的四篇文章，Gandi 企業客戶服務團隊要向您介紹不同的機制以回應其提出的每個建議。

我們在系列文章的第一部分討論了關於 DNS 安全的五個關鍵要點。DNS 負責所有數位活動的可用性，自然而然地，它也將是系列文章的第二部分的主要議題。這將涉及回應與 DNS 伺服器恢復性相關的建議：

• 使用至少兩個權威名稱伺服器
• 將伺服器分佈在多個不同網段
• 將伺服器分散於不同地理位置
• 開啟 DNS 的 TCP 協定來啟用 DNS 查詢
• 啟用 EDNS0 的功能來支援 DNS 擴展協定

ANSSI 針對 DNS 伺服器的管理與恢復性提出的五種建議

6. 使用至少兩個權威名稱伺服器

「域名服務至少使用兩種權威伺服器。」

Gandi 企業客服團隊提供的安全解決方案：
因為 DNS 伺服器負責域名的可用性，因此有必要限制其在故障時可能造成的影響。這就是為什麼域名需使用最少兩個不同伺服器的原因。

在 Gandi 的企業客戶服務中，每個使用 Gandi DNS 伺服器的域名都分佈在三台不同的伺服器上，每台伺服器都各自倚靠在獨立的數據中心。基礎設施冗餘可以保證您的 DNS 的可用性，進而保證您的線上服務的可用性。 

此外，Gandi 的 DNS 基礎設施是以 Anycast 的技術建立。也就是說，實際上我們的 DNS 服務分佈在世界各地的許多伺服器上，並協助用戶從最近的數據中心去聯繫客戶，以達成兩個主要目標：

• 選擇地理上最近的位置以更快速地回應請求者
• 建立冗餘以防止其中一個數據中心發生事故

7. 將伺服器分佈在多個不同網段

「分散權威名稱伺服器在多個不同網段（IP 位址）或使用 Anycast 路由技術。」

Gandi 企業客服團隊提供的安全解決方案：
Gandi 企業客戶服務為每個域名提供的 DNS 基礎設施皆為自動配置，以將其分佈在 3 個不同的網段上，並允許在其中一個網段發生事故時能將流量移轉到另一個可使用的伺服器上。

分佈範例：
217.70.187.0/24 AS209453
173.246.96.0/20 AS29169
213.167.230.0/24 AS209453

此外，每個位址都是透過 Anycast 的路由技術將其傳輸至最近的可用數據中心。

8. 將伺服器分散於不同地理位置

「分散名稱伺服器，例如，將名稱伺服器分散於不同的資訊中心以更有效地避免天然災害或技術問題而造成的影響。」

Gandi 企業客服團隊提供的安全解決方案：
與任何類型的基礎設施一樣，DNS 伺服器也不能免於風險分散的規則。在這種情形下，就會將 DNS 伺服器分散在不同的數據中心裡。

Gandi 企業客戶服務在不同的網路服務提供點（POP）中建立了基礎設施：

• 阿姆斯特丹，
• 阿什本，
• 費利蒙，
• 倫敦，
• 舊金山，
• 盧森堡，
• 巴黎，
• 東京。

以此種方式建立的基礎設施能夠避免技術問題或是天然災害等風險，例如：

• 停電，
• 網路斷線，
• 水災，
• 火災，
• 地震。

針對最敏感的域名，Gandi 企業客戶服務提供進階 DNS 的選項，它為用戶提供一個額外的 DNS 伺服器以連接到其它三個 LiveDNS 伺服器。該服務器使用 Cloudflare，其建立在 Anycast 的基礎設施上，並遍佈於全球 200 多個城市以確保最佳化的冗餘：

• 西雅圖 ，
• 聖荷西，
• 舊金山，
• 芝加哥，
• 多倫多，
• 紐瓦克，
• 阿什本，
• 亞特蘭大，
• 達拉斯，
• 邁阿密，
• 麥德林，
• 瓦爾帕萊索，
• 聖保羅，
• 倫敦，
• 阿姆斯特丹，
• 巴黎，
• 法蘭克福，
• 馬德里，
• 斯德哥爾摩…等等。

*非合同數據，可能會有所修正。

9. 開啟 DNS 的 TCP 協定來啟用 DNS 查詢

「將基礎設施配置為一個整體架構，其中包含伺服器、負載共享器和過濾設備，以支援 TCP 和 UDP 協定來啟用 DNS 查詢。」

Gandi 企業客服團隊提供的安全解決方案：
一直以來，DNS 主要倚靠用戶資料報協定（UDP）。然而，為了從各種改善的協議中受益，需要使用 TCP 協定以回應 DNS 查詢。
這就是為什麼 Gandi 企業客戶服務同時提供了 UDP 與 TCP 兩種傳輸協定。

10. 啟用 EDNS0 的功能來支援 DNS 擴展協定

「配置基礎設施，特別是 DNS 伺服器、負載共享器、入侵檢測系統和防火牆，以支援 EDNS0。」

Gandi 企業客服團隊提供的安全解決方案：
EDNS0 為 DNS 延伸安全協定，能夠將 DNS 回應提升至最大值。
其為使用 DNSSEC 的必要擴展機制。

如同我們在第一篇文章中所提及的 ANSSI 的建議，DNSSEC 安全延伸協定因有公開金鑰的加密而能夠保護數據不被竊取。透過這個方法，由根 DNS 建立 “信任鏈”，允許解析器驗證 DNS 伺服器發送的數據的真實性。 

Gandi 企業客戶服務的 DNS 伺服器支援 EDNS0，其允許自動啟用 DNSSEC 功能。

總結來說，DNS 的安全及恢復性都要歸功於 Gandi 企業客戶服務的網路和安全專家所設置的基礎架構。欲了解更多訊息，請隨時與您的客戶經理聯繫，或者您也可以寫信至 corporate@gandi.net。

我們邀請您定期閱讀我們的企業戶新聞，以隨時掌握市場最新文章資訊與接下來的系列文章。

Tagged in corporateDNS