本APNIC文摘原標題為E-gov DNS: Is there enough redundancy?,由Giovane Moura撰文。
有了數位政府服務,一般民眾得以透過網路與政府進行數位互動。然而,如同任何網路服務,數位政府服務也奠基於網際網路的基石,也就是域名系統(Domain Name System,DNS)。
本文作者Giovane Moura是SIDN實驗室(荷蘭頂級國碼域名.nl註冊管理機構下的研究單位)資料科學家,他與荷蘭特文特大學及國家網路安全中心合作,最近發表比較荷蘭、瑞典、瑞士及美國數位政府域名的韌性及冗餘的研究報告。
政府服務數位化始終穩定成長,過去幾年更因COVID-19加速發展。數位化政府的優勢包括減少開銷、加快服務,殘障或行動不便人士也因此更容易取得服務。
數位化政府服務是透過網路提供,而DNS是網際網路的核心服務。因此,若DNS失效,域名無法連結,則政府為公民提供服務的能力也將因此受影響。最近美國就有多個政府網站遭受分散式阻斷服務(distributed denial-of-service,DDoS)攻擊而無法連線的實例。
基於上述風險,數位化政府域名的DNS服務必須達到冗餘最大化以避免服務中斷或過載。如何設定DNS以達到此狀態並非易事;DNS有許多層面與元素,其中有些特別複雜、難以設定。
Moura與團隊的研究目標是評估數位化政府域名DNS設定,檢測他們是否在不同層級都保持足夠冗餘。
資料來源
許多國家都使用國碼頂級域名(ccTLD)作為數位化政府域名,但通常並不會公告數位化政府服務使用的域名清單。
因此,Moura與團隊選擇4個他們能取得資料的國家;瑞典、瑞士及荷蘭資料由團隊認識的知情管道提供,美國則有公告電子政府域名清單。下表顯示4國用於電子化政府的ccTLD域名數量。
| 國家 | 荷蘭(.nl) | 瑞典(.se) | 瑞士(.ch) | 美國(.gov) |
| e政府域名(SLD) | 602 | 614 | 3,971 | 7,972 |
| 人口數量 | 17.4M | 10.4M | 8.7M | 332.9M |
表 1 各國e政府第二層域名(SLD)數量
結果:DNS服務供應業者
團隊檢視的第一個指標是數位政府域名使用的DNS服務供應業者數量。如表2,NL、SE、CH的數位化政府域名有40%來自單一DNS服務(使用IPv4)。美國則高達82%的數位化政府域名屬於單一DNS服務業者。
| 國家 | 荷蘭 | 瑞典 | 瑞士 | 美國 |
| SLDs | 602 | 614 | 3,971 | 7,972 |
| 回應 | 601 | 609 | 3,546 | 7,911 |
| 單一服務供應業者 (IPv4 / IPv6) |
43% / 55% | 41% / 41% | 43% / 54% | 82% / 55% |
表 2 IPv4與IPv6的單一DNS服務供應業者比例
可能會有意見認為這數字沒有意義。如果所有東西都放在雲端,那單一服務的比例沒有太大影響。然而,AWS和Dyn都已經有案例證明,即使雲端也有失效的時候。事實上,連Amazon.com本身都不使用AWS,而是使用2個外部DNS服務供應商。
那這些DNS服務供應業者究竟來者何人?根據表3顯示,DNS服務非常在地化,通常由本地企業稱霸市場。團隊相信這跟本地政府選擇DNS和代管服務的自由度有關;他們可能更傾向於選擇傳統在地企業。
| 荷蘭 | 瑞典 | 瑞士 | 美國 | ||||
| ASN | e-gov | ASN | e-gov | ASN | e-gov | ASN | e-gov |
| Transip | 112 | Loopia | 47 | Infomaniak | 278 | GoDaddy | 1,215 |
| CLDIN | 39 | Tele2 | 23 | Swisscomm | 115 | Cloudflare | 900 |
| QSP | 28 | Microsoft | 21 | Novatrend | 100 | Amazon | 676 |
| Solvinity | 8 | Telia | 21 | Abraxas | 97 | Akamai | 334 |
| SSC-ICT | 8 | Telia | 19 | Metanet | 91 | Tiggee | 316 |
表 3 DNS服務重度本地化
結果:路由前綴數量
如果數位化政府域名的DNS伺服器共用路由前綴,代表他們是從同一個位置宣告,因此缺乏拓墣多元性。這也是一種冗餘的假象,因為實際上他們仍共用大部分的網路基礎架構。只要攻擊伺服器上相關前綴,就將大幅影響數位化政府域名的可及性。
團隊檢視每筆域名的前綴數量,發現約三分之一的瑞士數位政府域名來自單一前綴,其他國家來自單一前綴的域名則皆低於20%。
結果:TLD數量
團隊亦檢視每筆數位政府域名DNS伺服器的TLD數量。結果顯示:第四名的瑞士有90%以上數位政府域名的權威伺服器位於單一TLD(.ch)之下;第三名的美國有83%域名使用單一TLD(.com);第二名的瑞典有60%域名仰賴單一TLD(.se);荷蘭雖然是第一名,但仍有40%的數位政府DNS伺服器仰賴單一TLD(.nl)。
團隊認為此結果是因為大部分檢視的域名由當地政府管理,而政府通常直接使用受理註冊機構提供的DNS服務。也可以說受理註冊機構的政策直接影響這些政府管理域名的多元程度;若受理註冊機構本身習慣使用多元TLD,則政府也將因此受益。反之亦然。
結果: Anycast部署
IP anycast是一種從多個位置宣告同一筆IP前綴的技術。透過此技術,訊務會因此分散至多個anycast位置,能更有效抵禦DDoS攻擊。Moura團隊過去也針對anycast應對DDoS攻擊做過研究,並將研究成果以RFC發布。
若檢視電子政府域名的anycast部署綠,會發現歐洲整體部署率偏低:瑞士僅有低於3%的域名使用至少一個anycast伺服器。美國表現最佳,有55%以上。荷蘭有20%,瑞典則僅12%。
就如TLD一樣,此數字也取決於政府選擇的受理註冊機構。
總結:
數位政府域名在許多國家都扮演重要角色。如欲了解更多,可點此閱讀研究全文,或觀賞團隊在RIPE 86的簡報錄影。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為E-gov DNS: Is there enough redundancy?。
圖片來源: APNIC Blog
