SC-22 - Architecture et prestation de services de résolution de nom ou d’adresse (PaFF)
Énoncés :
S’assurer que les systèmes qui offrent collectivement des services de résolution de nom et d’adresse pour une organisation sont tolérants aux pannes et appliquent une séparation des rôles internes et externes.
Paramètres :Les systèmes qui fournissent les services de résolution de nom et d’adresse comprennent les serveurs DNS. Pour éliminer les points de défaillance uniques et améliorer la redondance, les organisations emploient au moins deux serveurs DNS faisant autorité dont l’un est configuré comme serveur principal et l’autre, comme serveur secondaire. De plus, les organisations déploient généralement les serveurs dans deux sous-réseaux faisant respectivement partie de réseaux situés dans des régions géographiques distinctes (par exemple, situés dans des installations physiques différentes). Pour ce qui est de la séparation des rôles, les serveurs DNS associés à des rôles internes exécutent uniquement le processus de résolution de nom et d’adresse pour les requêtes provenant de l’intérieur des organisations (c’est-à-dire provenant de clients internes). Les serveurs DNS associés à des rôles externes traitent uniquement les requêtes de résolution des clients à l’extérieur des organisations (c’est-à-dire en provenance de réseaux externes, y compris d’Internet). Les organisations désignent les clients qui peuvent accéder aux serveurs DNS faisant autorité dans certains rôles particuliers (par exemple, par plage d’adresses ou au moyen de listes explicites).