Le minacce ai server DNS sono rappresentate da qualsiasi tipo di attacco in grado di compromettere la disponibilità, la velocità e le performance dei servizi DNS, tra cui i flood DNS che sovraccaricano i server DNS con richieste di risorse, rendendoli non disponibili per gli utenti legittimi. Il cache poisoning o spoofing DNS è un tipo di attacco informatico in grado di reindirizzare il traffico verso un sito web fraudolento. Il tunneling DNS utilizza i dati codificati nelle query e nelle risposte DNS per sabotare un server DNS e consentire agli autori dell'attacco di gestirlo da remoto.
Garantire la disponibilità e la sicurezza dei server DNS
I server DNS (Domain Name System) traducono gli hostname di dominio leggibili da utenti umani (come www.companywebsite.com) in indirizzi IP leggibili dai computer. I server DNS sono essenziali per garantire una navigazione positiva, nonché connessioni Internet veloci e affidabili a siti web, API e applicazioni aziendali ospitate nel cloud.
La protezione dei server DNS è una priorità cruciale per i team addetti alla sicurezza IT. Poiché i server DNS consentono di accedere alle applicazioni web e alle API, eventuali attacchi sferrati contro di essi mettono a rischio anche le attività aziendali, la redditività e la fiducia di clienti e partner.
Nonostante l'importanza che la risoluzione dei server DNS riveste per le performance di siti web e applicazioni, molte organizzazioni non hanno investito adeguatamente in infrastrutture DNS, spesso affidandosi a soli due o tre server DNS per connettere gli utenti ai siti web e alle applicazioni desiderate. Questo approccio rende i servizi DNS vulnerabili agli attacchi DDoS (Denial-of-Service) nonché alle interruzioni dei data center.
Akamai Edge DNS è una soluzione basata su cloud che garantisce la disponibilità 24 ore su 24, 7 giorni su 7, ottimizza la rapidità di risposta e migliora la resilienza necessaria ai server DNS per difendersi dai più pericolosi attacchi DDoS.
Akamai Edge DNS
Akamai aveva creato originariamente Edge DNS per fornire i servizi DNS autoritativi a supporto delle soluzioni sulla sua rete per la distribuzione dei contenuti (CDN) globale. Grazie alla nostra piattaforma edge e cloud ampiamente distribuita, Edge DNS è stato progettato in modo da offrire una scalabilità superiore a quella della maggior parte dei servizi DNS autoritativi della concorrenza disponibili nel mercato di oggi. Mentre le soluzioni e i server DNS della concorrenza di solito si focalizzano esclusivamente sulle performance, Edge DNS è stato progettato per fornire un'elevata disponibilità e una maggiore resilienza dagli attacchi oltre ad offrire performance eccezionali.
Edge DNS utilizza un modello IP Anycast per rispondere alle query DNS, pertanto, anziché affidarsi a due o tre server DNS, i clienti Akamai possono accedere a migliaia di server dei nomi dislocati in più di 4.100 punti di presenza (PoP) in tutto il mondo. IP Anycast indirizza le query degli utenti finali al più vicino punto di presenza affinché vengano risolte per accelerare le performance, migliorare la scalabilità e diversificare la distribuzione. Anche se l'utilizzo del modello IP Anycast non è esclusivo di Akamai, Edge DNS, segmentando anche i server dei nomi e i PoP in più cloud IP Anycast, risulta equivalente alle soluzioni fornite da più provider di servizi DNS standalone in termini di disponibilità, scalabilità e distribuzione.
Con i server Akamai Edge DNS, potete:
- Contare su una disponibilità del DNS ininterrotta e garantita. Affidarvi ad uno SLA (accordo sul livello di servizio) con un tempo di attività del 100% e ad un'architettura resiliente per fornire servizi DNS mission-critical.
- Gestire i costi associati al DNS. Evitate costi imprevisti dovuti a un elevato utilizzo del DNS con una fatturazione a zona prevedibile.
- Assicurare l'accesso con server DNS secondari. Aumentare la disponibilità del server DNS primario tramite l'uso di zone secondarie in Internet con Edge DNS.
Edge DNS fa parte di una suite di soluzioni per la sicurezza di API e applicazioni che consente alle organizzazioni di difendersi da un'ampia gamma di attacchi multivettore. Akamai App & API Protector fornisce una sicurezza centralizzata con sistemi di difesa dagli attacchi alle applicazioni web e alle API. Prolexic offre la protezione più efficace contro gli attacchi DDoS sferrati su larga scala. Inoltre, Client-side Protection & Compliance difende i siti dalle minacce lato client individuando e bloccando le attività dannose.
Monitoraggio e rimozione sui domini
Oltre alla ridondanza DNS, la sicurezza dei domini richiede anche il monitoraggio dei nomi su Internet e la rimozione di nomi che possono influire negativamente sui brand con siti web fittizi in grado di compromettere i brand e sottrarre traffico e informazioni personali come le credenziali utente. Con la protezione delle zone e la rimozione sui domini, potete rilevare in modo proattivo eventuali domini di terze parti creati per recare danno e interrompere il loro utilizzo su Internet. Per ogni dominio monitorato, viene messo a disposizione un elenco dei domini correlati con una serie di attributi come il relativo livello di rischio. Per ogni dominio, sono disponibili alcuni azioni, tra cui: [a] Seguire eventuali cambiamenti di un dominio, come nuovi record MX (Mail Exchange), [b] contrassegnare un dominio per il monitoraggio, [c] impostare una priorità per l'ordinamento e [d] stabilire l'eventuale rimozione.
Vantaggi offerti dalla soluzione Edge DNS
Disponibilità 24/7 garantita per i server DNS. Sfruttando la piattaforma di Akamai scalabile e distribuita a livello globale, potete garantire a clienti, dipendenti e partner di poter accedere rapidamente alle applicazioni web e alle API desiderate.
Blocco degli attacchi DDoS più imponenti. L'impareggiabile livello di scalabilità e capacità di Akamai Connected Cloud garantisce alla soluzione Edge DNS di contrastare gli attacchi DDoS più imponenti, fornendo comunque, nel contempo, l'accesso agli utenti. Controlli di resilienza integrati offrono la disponibilità necessaria per contrastare un'ampia gamma di attacchi al DNS.
Risoluzione più rapida e affidabile. L'utilizzo della mappatura vertice della zona e di migliaia di server DNS dislocati in tutto il mondo offre performance DNS rapide e affidabili.
Gestione dei costi semplificata. Con i prezzi basati sul numero di zone invece che sul numero di richieste, potete controllare i costi del DNS più accuratamente.
Riduzione della falsificazione del DNS. Bloccate gli attacchi causati dalla falsificazione del DNS con l'opzione DNSSEC (Domain Name System Security Extensions).
Gestione semplificata. Akamai Control Center, le API di Edge DNS e l'integrazione come Terraform semplificano la gestione dell'infrastruttura DNS.
Gestione del DNS come codice. Gli sviluppatori possono utilizzare le API e gli strumenti di gestione esistenti per automatizzare il workflow della soluzione Edge DNS.
Monitoraggio e rimozione sui domini. I nomi dei domini su Internet vengono monitorati e interrotti se compromettono e influiscono negativamente sui brand.
Controlli DDoS con Edge DNS
Anche se la progettazione dell'architettura, la scalabilità e le funzionalità della soluzione Edge DNS offrono una maggiore resilienza durante gli attacchi DDoS, i nostri server DNS forniscono, inoltre, controlli di sicurezza in grado di mitigare l'impatto di un flood DNS, ossia un tipo specifico di attacco DDoS. I flood DNS utilizzano enormi volumi di richieste DNS legittime per gestire un elevatissimo numero di risorse di elaborazione e memoria sui server dei nomi fisici. Di conseguenza, questi server DNS mirati non possono rispondere alle query provenienti da utenti finali legittimi.
Per difendersi dai flood DNS, la soluzione Edge DNS fornisce varie funzionalità essenziali:
- Scalabilità. La scalabilità dei nostri server DNS autoritativi può essere diverse volte maggiore rispetto a quella delle soluzioni concorrenti. Utilizzando migliaia di server dei nomi dislocati in più di 1.000 punti di presenza (PoP) in tutto il mondo, Edge DNS fornisce risorse di elaborazione e memoria in grado di gestire adeguatamente enormi picchi di richieste provenienti dai flood DNS.
- Limitazione della velocità. È possibile configurare le impostazioni della soluzione Edge DNS in modo da bloccare automaticamente le richieste provenienti da resolver sospetti dopo aver superato un certo numero di richieste. La limitazione della velocità impedisce ai picchi di richieste DNS di esaurire le risorse di elaborazione e memoria, il che può essere utile nella gestione degli attacchi che generano un elevato volume di richieste, ma consumano una larghezza di banda relativamente bassa.
- Elenchi di elementi DNS consentiti. Il livello impareggiabile di scalabilità e capacità di Akamai Intelligent Connected Cloud offre ai nostri ricercatori delle minacce una visibilità unica sul comportamento dei resolver ricorsivi responsabili di circa il 95% delle ricerche del DNS legittime. Se necessario, Edge DNS può impiegare un modello di sicurezza positivo per restringere l'attività ad un gruppo di resolver DNS noti come legittimi.
Global Traffic Management
Se combinato con la soluzione Edge DNS, GTM (Global Traffic Management) fornisce una serie completa di controlli DNS, come la mappatura geografica degli utenti alle risorse in specifiche regioni del mondo o la distribuzione del traffico in modo uniforme in varie località geografiche e con una preferenza per ciascun utente sull'utilizzo di un edge server situato nelle sue vicinanze.
GTM è un sistema di bilanciamento del carico del server DNS basato su cloud che utilizza le informazioni e la scalabilità di Akamai Connected Cloud per fornire funzioni di tolleranza ai guasti, performance elevate e disponibilità continua per il traffico delle applicazioni web e delle API. Tramite un'ampia gamma di regole e variabili, GTM utilizza i workflow DNS standard per instradare le richieste degli utenti finali ai data center in grado di distribuire in modo ottimale i contenuti desiderati. Poiché Akamai Connected Cloud è una piattaforma edge e cloud ampiamente distribuita, GTM può svolgere meglio il suo ruolo rispetto a qualsiasi altro servizio equivalente. Adottato da alcune delle più grandi e note aziende al mondo che operano in molti settori, il sistema GTM offre una perfetta combinazione di funzionalità e facilità d'uso utilizzando insieme Akamai Control Center, una solida API e una potente integrazione del DevOps.
Domande frequenti (FAQ)
Un IP Anycast è una tecnica di instradamento della rete in cui più nodi identici vengono implementati in una rete distribuita per fornire un unico indirizzo IP comune. Tutti i nodi rispondono allo stesso indirizzo IP e il traffico viene instradato al nodo più vicino in base ai protocolli di instradamento, fornendo così agli utenti la minima latenza e la massima disponibilità.
Un sistema di bilanciamento del carico è un dispositivo che distribuisce il traffico delle applicazioni o della rete ad un numero di server e viene utilizzato per incrementare la capacità (utenti simultanei) e l'affidabilità delle applicazioni. Un sistema di bilanciamento del carico migliora le performance complessive delle applicazioni diminuendo il carico di lavoro che grava sui server insieme alla gestione e al mantenimento delle sessioni di applicazioni e reti, oltre all'esecuzione di attività specifiche delle applicazioni.
Perché i clienti scelgono Akamai
A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.