DNS Is for People – Not for IT Infrastructure
Le DNS existe pour remplacer les adresses IP par des noms faciles à retenir et il reste pertinent pour publier des services accessibles au public. Pour l'infrastructure interne, l'article souligne que le DNS ajoute des composants susceptibles d'augmenter le risque d'indisponibilité et que des incidents célèbres ont montré l'ampleur des conséquences lorsque le DNS, en tant que maillon critique, est affecté. Les clients DNS mettent en cache les enregistrements selon le TTL ce qui complique les mises à jour, d'où la proposition de configurer directement des adresses IP ou de provisionner /etc/hosts à l'aide d'outils d'automatisation pour éviter un service DNS interne. Le DNS pose aussi des risques de sécurité parce qu'il est généralement non chiffré, que DNSSEC ajoute de la complexité et que le protocole peut servir à l'exfiltration de données si la sortie vers Internet n'est pas filtrée, ce qui motive à limiter les requêtes publiques via des filtres ou des proxys avec listes blanches. L'article conclut qu'il faut, en fonction du contexte et de l'appétit pour le risque, évaluer les compromis et explorer la possibilité d'éviter le DNS en interne pour améliorer la fiabilité et la robustesse.