Melhores Práticas para DNS e sua Conta Cato

Para sites em diferentes localizações físicas, você pode alcançar um melhor desempenho configurando diferentes servidores DNS internos para diferentes sites. Alternativamente, o serviço DNS da Cato usa as Localizações do PoP Globais na Nuvem Cato para fornecer aos seus hosts uma resolução DNS rápida e global e pode reduzir significativamente a latência DNS. Os PoPs armazenam as respostas DNS no cache para que futuras solicitações DNS sejam atendidas mais rapidamente. Um host que se conecta à Nuvem Cato e usa os serviços DNS da Cato, recupera a resposta DNS do PoP ao qual está conectado (geralmente o PoP mais próximo). Portanto, o tempo de resposta DNS é muito rápido e reduz a latência DNS.

Recomendamos que você use os servidores DNS da Cato e aproveite as Localizações do PoP Globais na Nuvem Cato.

Para situações que requerem servidores DNS locais, você pode configurar servidores locais que estejam fisicamente próximos aos sites. Por exemplo, se você tem um site em Nova York e um site em Singapura, você pode usar diferentes servidores DNS locais para cada site, de forma que o servidor DNS em Singapura resolva solicitações DNS somente dos Clientes conectados ao site de Singapura. Os Clientes que estão conectados ao site em Nova York não precisam enviar solicitações DNS ao servidor em Singapura para resolver a consulta. É mais eficiente e melhora o desempenho da sua rede.

Para mais sobre definir um servidor DNS personalizado para um site, veja Configurações de DNS.

Cato recomenda que você configure dois servidores DNS diferentes para redundância. Defina o servidor DNS Padrão da Cato (10.254.254.1 ou x.y.z3 para consultas DNS internas) como primário e um servidor DNS público confiável como o servidor DNS secundário. Para mais informações sobre servidores DNS confiáveis, veja Using Trusted DNS Servers. Se o servidor DNS primário não estiver disponível, a Cato então utiliza o servidor DNS secundário para resolver as consultas. Se você estiver usando um servidor DNS interno, configure o Encaminhamento DNS para resolver domínios internos.

Para usuários de macOS, é recomendado definir somente servidores DNS primário/secundário que não suportem DNSSEC, como 10.254.254.1 ou um servidor DNS interno. A partir do macOS 13 Ventura, o sistema operacional prefere DNSSEC (não suportado pela inspeção da Cato) para resolver consultas DNS, o que pode interromper o Encaminhamento DNS da Cato. Para mais informações veja Usuários do macOS Ventura Incapazes de Acessar Recursos Internos Via Cato.

Usuários Remotos não se conectam através de sites, mas diretamente aos PoPs na Nuvem Cato. Portanto, se as Configurações de DNS não estiverem configuradas corretamente, usuários remotos podem ter problemas de conectividade ou não conseguir acessar recursos internos. Por exemplo, se você configurar Configurações de DNS para o site em vez de para os usuários remotos, os usuários remotos não conseguirão acessar esses Recursos internos em seu Domínio. O servidor DNS não pode resolver consultas DNS para os Clientes, pois eles não estão conectados ao site. Por essa razão, você deve configurar as Configurações de DNS para os Clientes para permitir essa conectividade.

As configurações de DNS da conta são aplicadas a Todos os sites e usuários remotos. Se você tiver requisitos específicos de DNS para usuários remotos, ative a Política de Configurações de DNS.

Cato recomenda que você proteja seus ativos corporativos e limite o acesso a servidores DNS internos como uma boa prática. Por exemplo, defina que pessoas acessando a rede de convidados usem apenas servidores DNS públicos para resolver consultas DNS. Crie uma VLAN separada para a rede de convidados e atribua esta rede a um grupo de usuários convidados. Em seguida, configure as Configurações de DNS para este grupo apenas com servidores DNS públicos não confiáveis. Para mais informações sobre redes confiáveis veja, Using Trusted DNS Servers.

Para fazer isso:

A funcionalidade de Encaminhamento DNS da Cato permite que você alcance conectividade a domínios locais em sua rede.

Usuários Remotos geralmente não se conectam a sites, mas diretamente à Nuvem Cato. Isso significa que não há servidor DNS para resolver consultas DNS para domínios locais. Recomendamos que você use regras de Encaminhamento DNS para encaminhar essas consultas para o servidor interno DNS relevante. O servidor resolve a consulta e permite que Usuários SDP se conectem aos recursos internos da empresa.

O Encaminhamento DNS aplica-se apenas a solicitações DNS enviadas a um servidor DNS confiável (os servidores DNS configurados para sua Conta são considerados confiáveis).

Você pode configurar Configurações de DNS personalizadas para Sites ou Usuários/Grupos de Usuários. Configurações de DNS personalizadas têm prioridade sobre Configurações de DNS a nível de Conta, incluindo Encaminhamento DNS. No entanto, se o Encaminhamento DNS for configurado para encaminhar solicitações para um servidor DNS confiável ou o servidor DNS configurado para a Conta, então as Configurações de DNS a nível de Conta são usadas.

Nota:

Para Regras de Rede e regras de Firewall baseadas em DNS, por exemplo, TLD, Nome de domínio totalmente qualificado (FQDN) e Aplicações, o Tráfego DNS deve usar um Servidor DNS confiável ou Definido para a Conta. Caso contrário, essas regras baseadas em DNS não são aplicadas ao tráfego.

Se você tiver um servidor DNS interno, deve encaminhar as consultas DNS para um servidor DNS confiável pela Cato (incluindo Cato DNS) ou o servidor DNS configurado para a Conta.

Se você tiver uma Regra de Rede para Tráfego Fora da Nuvem, certifique-se de que ela não inclua DNS, para que a consulta DNS seja enviada a um servidor DNS confiável pela Cato.