Консультационный совет ICANN по управлению корневыми серверами RSSAC предложил новую модель управления корневой зоной DNS. Она предусматривает уменьшение числа активных КС и внедрение пяти новых ответственных структур. Подробнее о модели рассказываем под катом.
/ фото Oliver Dean CC
Уже долгое время система состоит из 13 корневых серверов, которыми управляют 12 компаний на основании соглашений с ICANN. Среди этих организаций есть как независимые, так и государственные. Все решения касательно работы КС эти компании принимают самостоятельно. Наглядный пример того, как проходит координация работы системы корневых серверов, можно посмотреть в статье CTO интернет-регистратора RIPE NCC Андрея Робачевского.
По этой схеме все стабильно функционирует долгие годы. Однако в RSSAC хотят сделать работу корневых DNS-серверов более «прозрачной» и организованной.
Представители RSSAC говорят, что они долгое время анализировали работу операторов корневых серверов. И пришли к выводу, что действия операторов, по сути, бесконтрольны и основаны на доверии. Потому они предложили внедрить новую модель, обеспечивающую, по их мнению, большую прозрачность и безопасность.
Главная идея состоит в том, чтобы создать единую структуру из пяти функциональных подразделений для управления всем, что связано с КС:
Вот так выглядит новая схема работы системы по задумке RSSAC:
Во время презентации модели представители RSSAC Трипти Синха (Tripti Sinha) и Брэд Верд (Brad Verd) отметили, что ее реализация позволит уменьшить число корневых DNS-серверов – некоторые из них будут объединены (но какие и сколько, пока неизвестно). Однако насколько КС станет меньше, спикеры не уточнили. По их мнению, уменьшение числа корневых DNS-серверов поможет улучшить качество предоставляемых услуг и контроль за ними.
Один из резидентов The Register в своем комментарии на площадке выразил сомнения насчет правильности идеи объединения корневых DNS-серверов. По его мнению, так хакерам станет проще проводить атаки, так как консолидация упростит процедуру выбора цели для взлома.
Некоторые вспомнили недавнюю ситуацию с WHOIS, когда ICANN несколько раз пытались привести работу сервиса в соответствии с GDPR и встретили сопротивление со стороны сообщества и регистраторов, поскольку не смогли до конца продумать план реализации идеи. Из-за этой истории пользователи заявили, что передавать контроль над корневыми DNS-серверами в руки ICANN — не лучшее решение.
Однако были и те, кто посчитал, что идея в целом неплохая, так как более четкая структура управления должна ускорить разрешение проблем безопасности.
Отметим, что пока что неясно, получит ли это предложение какое-либо одобрение со стороны официальных структур и правительств, потому дальнейшая судьба проекта остается неизвестной.
P.S. Дополнительные материалы из Первого блога о корпоративном IaaS:
Основное направление нашей деятельности — предоставление облачных сервисов:
Виртуальная инфраструктура (IaaS) | PCI DSS хостинг | Облако ФЗ-152 | Аренда 1С в облаке
/ фото Oliver Dean CC
Как управляется система корневых DNS-серверов
Уже долгое время система состоит из 13 корневых серверов, которыми управляют 12 компаний на основании соглашений с ICANN. Среди этих организаций есть как независимые, так и государственные. Все решения касательно работы КС эти компании принимают самостоятельно. Наглядный пример того, как проходит координация работы системы корневых серверов, можно посмотреть в статье CTO интернет-регистратора RIPE NCC Андрея Робачевского.
По этой схеме все стабильно функционирует долгие годы. Однако в RSSAC хотят сделать работу корневых DNS-серверов более «прозрачной» и организованной.
В чем суть предложения RSSAC
Представители RSSAC говорят, что они долгое время анализировали работу операторов корневых серверов. И пришли к выводу, что действия операторов, по сути, бесконтрольны и основаны на доверии. Потому они предложили внедрить новую модель, обеспечивающую, по их мнению, большую прозрачность и безопасность.
Главная идея состоит в том, чтобы создать единую структуру из пяти функциональных подразделений для управления всем, что связано с КС:
- Секретариат (Secretariat Function – SF). Это подразделение — подобие интерфейса, который связывает операторов корневых серверов и интернет-сообщество. Оно будет выступать своеобразной платформой для обсуждения технических вопросов и решения административных задач.
- Подразделение стратегии, архитектуры и политик (Strategy, Architecture, and Policy Function – SAPF). Здесь будут следить за работой корневых DNS-серверов, предлагать планы по внедрению новых элементов архитектуры для усиления безопасности, производительности и масштабируемости глобальной системы.
- Подразделение делегирования полномочий (Designation and Removal Function – DRF). Будет проводить аудиты и давать рекомендации по назначению операторов КС и прекращению их полномочий.
- Подразделение мониторинга и оценки производительности операторов (Performance Monitoring and Measurement Function – PMMF). Эта структура будет собирать метрики и технические данные о том, насколько продуктивно работает каждый оператор и система в целом.
- Финансовое подразделение (Financial Function – FF). Здесь будет регулироваться финансовая составляющая работы всей системы. Авторы плана предлагают создать фонд, с помощью которого заинтересованные стороны смогут распределять средства на проведение исследований и урегулирование чрезвычайных ситуаций, связанных с работой корневых DNS-серверов.
Вот так выглядит новая схема работы системы по задумке RSSAC:
Во время презентации модели представители RSSAC Трипти Синха (Tripti Sinha) и Брэд Верд (Brad Verd) отметили, что ее реализация позволит уменьшить число корневых DNS-серверов – некоторые из них будут объединены (но какие и сколько, пока неизвестно). Однако насколько КС станет меньше, спикеры не уточнили. По их мнению, уменьшение числа корневых DNS-серверов поможет улучшить качество предоставляемых услуг и контроль за ними.
Мнения сообщества
Один из резидентов The Register в своем комментарии на площадке выразил сомнения насчет правильности идеи объединения корневых DNS-серверов. По его мнению, так хакерам станет проще проводить атаки, так как консолидация упростит процедуру выбора цели для взлома.
Некоторые вспомнили недавнюю ситуацию с WHOIS, когда ICANN несколько раз пытались привести работу сервиса в соответствии с GDPR и встретили сопротивление со стороны сообщества и регистраторов, поскольку не смогли до конца продумать план реализации идеи. Из-за этой истории пользователи заявили, что передавать контроль над корневыми DNS-серверами в руки ICANN — не лучшее решение.
Однако были и те, кто посчитал, что идея в целом неплохая, так как более четкая структура управления должна ускорить разрешение проблем безопасности.
Отметим, что пока что неясно, получит ли это предложение какое-либо одобрение со стороны официальных структур и правительств, потому дальнейшая судьба проекта остается неизвестной.
P.S. Дополнительные материалы из Первого блога о корпоративном IaaS:
- Серверы для SAP: основные платформы
- Распределенный брандмауэр в vCloud Director 8.20: особенности решения
- 9 полезных советов для плавного перехода в облако
Основное направление нашей деятельности — предоставление облачных сервисов:
Виртуальная инфраструктура (IaaS) | PCI DSS хостинг | Облако ФЗ-152 | Аренда 1С в облаке
