重新思考关键基础设施：DNS/DHCP与身份服务解耦的战略价值

在当今互联的企业环境中，网络服务和基础设施的稳定性和安全性直接影响业务连续性和弹性。域名系统（DNS）和动态主机配置协议（DHCP）服务是网络中最关键但常被忽视的组件。这些服务构成了几乎所有数字运营依赖的基础。许多组织默认使用与Microsoft Active Directory捆绑的DNS和DHCP服务，因为在域控制器设置过程中部署方便且看似简单。然而，考虑到不断演变的威胁态势和日益增长的操作需求，这种架构值得重新审视。

DNS和DHCP的真正关键性

DNS（可视为计算机查找网站和服务的GPS）和DHCP（自动为计算机分配IP/网络地址）不仅仅是后台服务——它们是整个数字基础设施的关键任务基础。企业中的每个应用程序和安全工具都依赖DNS作为其数字生命线。没有DNS解析，应用程序根本无法通信，即使是最复杂的系统也会变得无法操作。

当DNS或DHCP失败时，后果不是小麻烦——而是可能升级为董事会级别危机的灾难性事件。在最严重的情况下，完全DNS故障可能使整个组织的运营停止：没有交易、没有通信、没有运营——一切冻结。

考虑到这种关键性，问题就变成了：您是否以应有的弹性来构建这些服务？

隐藏风险：级联故障

尽管角色关键，DNS和DHCP服务通常与身份服务部署在同一服务器上——创建了紧密耦合的依赖关系，可能导致网络中危险的级联故障。最近一家大型医疗机构的勒索软件事件正好说明了这种风险。首先，身份服务被攻陷，使攻击者获得特权访问。由于DNS和DHCP与身份服务托管在同一服务器上，该组织同时失去网络访问——使核心运营瘫痪并严重复杂化了恢复工作。没有这些基础服务，即使基本故障排除也变得不可能，极大地放大了中断影响并延长了停机时间。

在同一服务器上部署DNS/DHCP和身份服务，相当于将电厂控制室和城市应急服务调度中心设在同一栋建筑中。当该建筑受到攻击或破坏时，您不仅失去电力——还失去协调响应的能力。

使用与身份服务捆绑的DNS/DHCP的隐藏成本

除了灾难性事件外，在同一基础设施上运行DNS和DHCP与身份服务还存在显著且常被低估的操作成本。

一家拥有62,000名员工、2024年收入3490亿美元的全球能源公司的经验说明了这一点。该组织维护了400台同时支持DNS/DHCP和身份服务的服务器，所有这些服务器都需要每月安全和其他补丁——每年总计4,800个补丁。他们在补丁周期中至少有1%的失败率，导致每年48次崩溃。假设每次崩溃中断约50名员工平均四小时，并应用适度的每小时100美元成本，这些常规中断每年造成近100万美元的生产力损失。

影响不仅限于停机时间。该公司还有15名全职系统管理员专注于在组合基础设施上管理和维护DNS/DHCP——这些资源本可以重新定向到推动创新和竞争差异化的更高价值战略计划。

图1. 紧密耦合的基础设施：当DNS/DHCP和身份服务共享相同服务器时，单点故障可能在整个网络中产生级联效应，中断运营并使恢复工作复杂化。

安全影响：超越操作风险

安全考虑进一步强化了将DNS和DHCP与身份基础设施分离的必要性。像Volt Typhoon这样针对美国关键基础设施（包括能源、水和电信）的高级持久威胁，通常从攻陷集中式身份系统开始。这些攻击通常采用"就地取材"方法，利用现有工具避免检测。

此类对手的战略目标是收集尽可能多的情报——包括凭据和DNS/DHCP数据——以执行其操作。当身份服务和网络服务在同一平台上紧密耦合时，攻击面显著扩大：攻陷一个系统可以提供对身份验证控制和基础网络功能的访问。

然而，分离这些服务引入了更清晰的责任分离，并能够遵循最小特权原则。DNS和DHCP可以在没有提升管理权限的情况下运行，减少特权账户数量并限制基于凭据攻击的潜在影响。这种架构纪律得到了美国国家标准与技术研究院（NIST）特别出版物800-81最近草案更新的支持，该更新强调了分离关键任务服务以增强网络弹性的重要性。

警钟：关键基础设施故障

2024年7月，CrowdStrike事件作为基础设施依赖性的严峻提醒。从常规安全更新开始的事件成为历史上最大的IT中断，¹ 使数百万托管身份服务以及DNS和DHCP功能的服务器瘫痪。广泛影响的发生是因为受影响的服务器负责基本身份验证和核心网络连接。

级联效应是前所未有的。关键任务应用程序在多个部门瘫痪——超过10,000个航班停飞，医院运营中断，应急服务受损。这不仅仅是技术故障；它暴露了DNS、DHCP和身份服务在同一基础设施上紧密耦合环境的操作脆弱性。

战略转型：向领导者学习

一家拥有72,000多名员工、近380亿美元收入的领先全球SaaS提供商提供了基础设施现代化的引人注目案例研究。该组织面临一系列紧迫挑战——包括在CrowdStrike事件期间身份和DNS服务受影响时的网络中断、混合环境中的有限可见性以及迫在眉睫的云迁移截止日期。为解决这些问题，他们需要更具弹性和解耦的网络架构。

他们向Infoblox Universal DDI平台的过渡带来了几个关键好处：

• 建立了通往云优先基础设施的清晰路径
• 在混合环境中获得统一可见性
• 通过将DNS与身份服务解耦增强弹性和安全性
• 为无缝多云运营构建了坚实基础

图2. 解耦架构：将身份服务与网络服务（DNS、DHCP、IPAM）分离消除了级联故障，实现更快恢复，并为弹性、云就绪基础设施提供基础。

前进道路：构建弹性基础设施的三个步骤

为加强DNS/DHCP架构并提高操作弹性，考虑以下三个关键行动：

1. 将DNS/DHCP服务与集中式身份系统解耦

   这种架构转变减少了级联故障风险，并让您在选择身份提供商时保持灵活性。

2. 教育团队关于将DNS与外部身份平台集成

   关于解耦的误解可以通过内部培训和规划来解决。我们发布了一份白皮书来帮助团队理解这些集成路径——可在此处下载。

3. 探索企业级DDI（DNS、DHCP和IP地址管理）解决方案

   专用DDI平台提供关键基础设施所需的操作成熟度、可扩展性和安全性——尤其是在混合和多云环境中。您可以从探索Infoblox的Universal DDI解决方案开始。

战略要务：为弹性和安全解耦

DNS和DHCP太重要，不能冒险将它们与其他高价值系统捆绑。将这些服务与身份系统解耦并部署企业级DDI解决方案不仅仅是IT最佳实践——对于旨在加强正常运行时间、安全性和敏捷性的组织来说，这是一个战略要务。

随着数字化转型加速和网络威胁持续演变，您今天的网络架构选择将定义您明天安全运营的能力。将这些基础服务与身份系统分离是构建面向未来基础设施的实用且经过验证的步骤。

脚注

1. CrowdStrike中断解释：原因及后续发展，Kerner, Sean, TechTarget, 2024年10月29日。