Nel catalogo dei servizi offerti da Azure, sono presenti anche le zone DNS pubbliche, l’implementazione un protocollo fondamentale per il funzionamento di Internet da ormai molti anni e che non deve essere trascurato. Valutare i pro e i contro dei vari provider di questo tipo di servizio è importante per migliorare la gestione dei record appartenenti ai domini aziendali, in questo articolo sono esposti alcuni dei punti di forza di Azure DNS e vedremo come poterli sfruttare al meglio.
I vantaggi rispetto ai registrar
Una delle prime domande che potrebbe sorgere è “perché dovrei cambiare i miei server DNS?”, effettivamente la risposta non è scontata, a primo impatto potrebbe sembrare superfluo, in quanto quasi sempre l’ente presso cui registriamo i domini, mette già a disposizione un’interfaccia che ci consente la gestione dei record, risparmiandoci la necessità di dedicare un server DNS che sia fisicamente in azienda o noleggiato in cloud e tutte le relative complessità che ne deriverebbero.
Amministrazione delle zone DNS
Ciò che inizialmente sembra un vantaggio, con l’aumentare della grandezza di un’azienda potrebbe però ritorcersi contro i propri dipendenti, ad esempio l’ufficio che si occupa di acquistare il dominio e del pagamento per lo stesso, potrebbe essere diverso da quello che si occupa dei servizi IT interni, che ha la necessità di creare dei record da divulgare ai dipendenti per l’accesso alle piattaforme aziendali, che a sua volta potrebbe voler delegare una sotto-zona per i test di un eventuale dipartimento R&D oppure del reparto marketing che vuole inviare mail pubblicitarie. Ecco che la necessità di separare la gestione tecnica da quella burocratica non può essere ignorata, certo è sempre possibile condividere le credenziali di accesso alla piattaforma, tuttavia in un mondo sempre più sensibile al tema della cybersecurity è preferibile mantenere la riservatezza delle credenziali e dei metodi di MFA.
Miglioramento della sicurezza e dell’affidabilità
Le zone DNS pubbliche di Azure si presentano, come molti altri servizi, sotto forma di risorse; ciò non solo ci consente di utilizzare la stessa utenza per la loro gestione, ma anche di delegare questo compito a più persone avvalendoci del sistema RBAC; inoltre Azure permette la creazione di sotto-zone in pochi click, dandoci la possibilità di autorizzare i vari dipartimenti alla sola modifica dei record di loro competenza, mantenendo comunque centralizzata la gestione del dominio padre.
Ultimamente si sta diffondendo l’utilizzo di DNSSEC, il protocollo che garantisce l’autenticità delle risposte alle query, purtroppo per chi decide di portare la propria zona DNS su Azure non è ancora disponibile, tuttavia si trova attualmente in private preview, segnale che Microsoft sta lavorando per renderla disponibile pubblicamente; consentirà così di migliorare la sicurezza del nostro dominio, eliminando il paradosso che attualmente non ci consente di implementare il protocollo SMTP-DANE over DNSSEC (descritto in questo articolo) da poco supportato dalla stessa Microsoft con Exchange Online.
Un altro vantaggio da citare è che Azure DNS distribuisce la zona che gli viene affidata su 4 server, ognuno su un TLD diverso, dando la possibilità ai client di risolvere i nostri record anche nel caso in cui si dovesse manifestare un fault contemporaneo di 3 TLD, caso molto improbabile, ma da cui saremmo coperti.
Delega DNS dal registrar ad Azure
L’operazione di delega di un dominio ad un servizio DNS diverso da quello del registrar è abbastanza semplice, sarà sufficiente comunicargli che desideriamo usare dei name server esterni, spesso è possibile seguire una procedura messa a disposizione nell’area clienti del registrar stesso. Ciò è più semplice se viene fatto subito dopo aver acquistato il dominio, ciò ci eviterà di dover migrare tutti i record già presenti; tuttavia per i domini esistenti Azure permette l’importazione dei record.
Uno sguardo al futuro: implementazione DNSSEC
Come detto prima, Microsoft sta ancora lavorando al supporto del protocollo DNSSEC, ma è comunque importante iniziare a capire come implementarlo per arrivare preparati al rilascio di questa funzionalità in modo da incrementare la sicurezza del nostro dominio.
L’autenticità delle risposte alle query DNS viene garantita da una “chain of trust”, il quale primo anello è costituito da una una coppia di chiavi (pubblica e privata) in possesso della ICANN e alla quale viene data fiducia a livello globale. Dopo aver implementato il DNSSEC sui loro server, i vari TLD dovranno comunicare ad ICANN il loro record DS in modo da stabilire il primo legame di fiducia, e noi a nostra volta dovremo comunicare al TLD del nostro dominio il record DS generato da Azure, completando così la catena e permettendo ai client la verifica dell’autenticità dei nostri record; la procedura si effettua tramite il nostro registrar, anche in questo caso spesso è eseguibile tramite l’area clienti.
All’interno dei riferimenti in fondo alla pagina è presente un link per approfondire il funzionamento di DNSSEC.
Conclusioni
I server DNS e la gestione dei record, essendo alla base di molti altri sistemi e servizi, potrebbero essere visti più come un mezzo che come un fine, ed in alcuni casi venire sottovalutati; Azure consente non solo di migliorarne il controllo, ma mette anche a disposizione qualche statistica per il monitoraggio, oltre a fornire diverse modalità di gestione (portale web, Azure CLI, modulo PowerShell e API HTTPS). Il servizio non è gratuito ma il costo è contenuto, soprattutto se il volume di query è basso.
Riferimenti
Documentazione ufficiale Azure DNS
Approfondimento sul funzionamento del protocollo DNSSEC
Tutti i record DNSSEC e la loro utilità
Informazioni sull’importazione dei record DNS esistenti in Azure