Aujourd'hui l'accès à une application est presque systématiquement initié  par une requête DNS (Domain Name System). Au-delà de sa mission historique qui était l'adressage des requêtes, cette cheville ouvrière de l'internet et des réseaux d’entreprise joue maintenant un rôle prépondérant dans l'expérience utilisateur et la résilience des infrastructures, notamment quand il est associé aux fonctionnalités de SD-WAN. En apportant de l'intelligence au DNS, il est en effet possible de donner beaucoup plus de valeur à sa simple mission d’annuaire et d’en faire un outil de pilotage du trafic applicatif. Et en le plaçant sur le Edge, cette nouvelle intelligence se retrouve au plus proche des utilisateurs.

Mais avant tout, il faut rappeler la mission critique du DNS. C’est un annuaire répertoriant les noms de domaine et les adresses IP associées. Il est utilisé par les équipements informatiques pour identifier la destination d’un service demandé. Par exemple, joindre le site web "www.lemondeinformatique.com" sans avoir à saisir une longue adresse IP, difficile à retenir.

 Il facilite et permet donc l’acheminement de  quasiment toutes les  requêtes faites sur le réseau de l’entreprise aussi bien en interne que vers internet.  En résumé, le serveur DNS est l'aiguillage du trafic applicatif de toute l'infrastructure. Et un service DNS indisponible signifie que ce sont toutes les applications qui ne sont plus disponibles. 

La meilleur destination pour l'utilisateur dès le Edge

Au-delà de la mission critique d'aiguillage, l'intelligence du DNS, associée au SD-Wan, va jouer sur de nombreux points, notamment l'expérience utilisateur. En donnant au DNS la capacité de monitorer en permanence les temps d’accès, il pourra s’apercevoir qu'un utilisateur basé à Paris souhaitant utiliser une application pourra le faire plus rapidement sur le datacenter situé à New York que sur celui de Paris. Cette fonctionnalité de pilotage du trafic applicatif est d'autant plus efficace qu’elle s’effectue au niveau du « edge ». Autrement dit, l’intelligence du DNS est située au plus proche de l’utilisateur, afin de l’orienter vers la meilleure destination , sans devoir remonter à un service de répartition de charge géographique en  central. Les performances sont donc analysées du point de vue des utilisateurs depuis le DNS local.. Cela permet ainsi une optimisation des flux, une simplification de la configuration du routage entre plusieurs sites  grâce à une géolocalisation “native” des clients, et une amélioration de l’expérience utilisateur en détectant des problèmes invisibles au solution SD-WAN. .

Une infrastructure plus résiliente

Les entreprises mettant en place un SD-WAN sont distribuées et installent plusieurs boîtiers. L’objectif du SD-WAN est alors de trouver le meilleur chemin pour aller vers une application située dans un datacenter donné mais il sera incapable d’indiquer si cette application fonctionne de manière optimale. Par contre, si le serveur DNS intelligent est placé au niveau du edge, celui-ci pourra aiguiller l’utilisateur par le meilleur chemin vers l’application demandée qui sera dans un état de fonctionnement optimal. En clair, l'utilisation d'un DNS sur le Edge avec le SD-Wan réunit le meilleur des deux mondes: atteindre la meilleure destination par le meilleur chemin! 

De la même manière, le pilotage du trafic applicatif au niveau du DNS en Edge constitue un autre avantage : si un serveur n’est plus disponible, la recherche d’une nouvelle machine dans un autre datacenter est automatisée via le DNS. Le trafic sera immédiatement redirigé vers le serveur applicatif offrant la meilleure performance. Cela permet en outre d’avoir un plan de reprise d’activité plus facile à  mettre en œuvre et de mieux contrôler les risques associés. Il est possible de le tester sur un périmètre restreint comme un site ou une application précise. Cela apporte un vrai confort opérationnel pour s’assurer régulièrement que le plan de reprise fonctionne sans systématiquement mettre à risque l’ensemble des services IT.

Le DNS sur le Edge, premier maillon de la chaîne de sécurité

Au niveau sécurité, sachant que les hackers ont bien compris le rôle pivot du DNS pour développer leurs attaques , il est nécessaire  d’intégrer à l’intérieur même du serveur DNS une couche de sécurité, là où cette couche est souvent externe, afin d’avoir une meilleure vision du trafic et une capacité unique de détection des menaces grâce à  l’analyse comportementale. Il va même pouvoir être utilisé comme premier maillon pour la gestion du contrôle des accès aux applications, en appliquant un filtrage granulaire du trafic et des autorisations par utilisateur permettant de faire du zoning applicatif, mitiger les mouvements latéraux des malware, et de limiter la surface d’attaque.

Pour conclure, en apportant toute cette intelligence sur le DNS et sur le Edge, les entreprises peuvent gagner en sécurité, en performance  et en résilience. Il ne faut plus  cantonner le DNS a son simple rôle d’annuaire  du réseau, d'autant plus qu'il est le premier point d'accès à aux applications  et donc un point pivot de toute la stratégie de transformation numérique.