Чтобы ответить на ваш первый вопрос одним словом, " да ».

Чтобы ответить на ваш второй вопрос, вопросы о передовых методах обычно очень субъективны и не подходят для формата Stack Exchange. Эмпирическое правило состоит в том, что должен быть ответ, и это должен быть правильный ответ, а не совокупность мнений, из которых вы пытаетесь извлечь.

Тем не менее, есть два существенные предостережения относительно того, что вы делаете, и они достаточно значительны для того, чтобы я думаю, что стоит нанести удар.

Знайте, от чего вас на самом деле защищает DNSSEC.

Пока проверка заглушек не станет более распространенной в реализации с помощью Поставщики ОС, ответный пакет с установленным битом AD (аутентифицированные данные) в основном говорит следующее:

«Я доверял этим данным, так что вы также можете доверять этим данным! ... Если вы доверяете мне , и сеть между нами . "

Прочтите это очень внимательно. Если ваша цель - «[избежать] необходимости реализовывать эти функции внутри компании», убедитесь, что вы понимаете, что вы получаете от DNSSEC. Большинство людей этого не делает. Это означает, что вы более устойчивы к атакам на удаленный удаленный рекурсивный DNS-сервер, но вы по-прежнему полностью открыты для атак отравления, направленных против вашей инфраструктуры . Вероятность того, что кто-то специально нацеливается на вас, конечно, намного ниже, но если предположить, что вы не являетесь целью, масштабируется только то, сколько вы должны потерять, и чей-то интерес к этому.

Эти риски значительно снижаются, если сетевой путь между вами и рекурсивным сервером, выполняющим проверку, не проходит через Интернет. Это взаимоисключающе по отношению к аутсорсингу, хотя сам трафик не зашифрован.

Дополнительное примечание: OpenDNS действительно реализует dnscrypt , если вы заинтересованы в его использовании, но чтобы пойти по этому пути, вам нужно необходимо определить, что уровень сложности его внедрения и поддержки по сравнению с простым выполнением собственной валидации DNSSEC стоит соотношения затрат и выгод.

Вы получаете то, за что платите.

Это универсальное правило для ИТ бизнеса среды. Неудивительно, что это применимо и здесь. Если вы вводите внешнюю зависимость в свою сетевую инфраструктуру, что произойдет, когда эта служба выйдет из строя? Каков ваш путь исправления? Кто возместит ущерб?Если служба работает с точки зрения других, но не работает в узком смысле, что влияет только на вашу среду, как быстро вы можете ожидать, что удаленная сторона серьезно отнесется к вашему мнению и выполнит ремонт (SLA)?

Если вы ' Если вы собираетесь создать такую ​​зависимость, убедитесь, что вы каким-то образом платите за услугу. Вы всегда от чего-то отказываетесь, добавляя внешнюю зависимость к своей сети без какой-либо подписки, и ваш выбор не делать этого - значит взвесить ваши шансы на игру.

Полное раскрытие информации

Я оператор DNS для американского MSO. Тем не менее, такие люди, как я, на самом деле не получат финансовой выгоды от вашего следования этому совету. Миграция с DNS-кластера вашего интернет-провайдера снижает нагрузку на то, что мы управляем.