Infrastruttura DNScale e operazioni UE

Questa pagina è il riferimento operativo per l'infrastruttura e il modello operativo UE di DNScale — i fatti verificabili dietro ciò che vendiamo. Esiste per due audience: clienti che fanno due diligence della catena di approvvigionamento sotto Articolo 21(2)(d) NIS2 o regolamenti equivalenti, e ingegneri che valutano se la rete di DNScale soddisfa i loro requisiti di latenza, resilienza e conformità.

Aggiorniamo questa pagina man mano che la rete cambia — nuovi PoP, nuovi peer, nuove certificazioni. Lo stato più attuale è sempre qui; la pagina di stato DNScale e il blog post-incidente coprono lo stato operativo in tempo reale.

Due reti anycast — UE e Globale

DNScale gestisce due reti anycast distinte, ciascuna con il proprio numero di Autonomous System (AS):

Rete UE

La rete UE annuncia lo spazio IP dei nameserver solo da PoP situati nell'Unione Europea e nello SEE, e solo a peer che instradano gli annunci all'interno di quelle giurisdizioni. Risultato: una query da un resolver ricorsivo europeo atterra su un PoP DNScale europeo e la risposta è calcolata su un server con giurisdizione europea. Nessun transit attraverso reti non-UE in condizioni normali.

La rete UE è la scelta giusta quando:

• Il tuo settore richiede servizio DNS a giurisdizione unica (finanza, pubblica amministrazione, energia, sanità sotto NIS2)
• Il tuo DPA richiede residenza dei dati per il traffico di query
• Operi sotto mandati UE di concorrenza o sovranità

Per i dettagli operativi — hostname dei nameserver, politica di routing, comportamento regionale — vedi Delegazione DNS per regioni DNScale.

Rete Globale

La rete Globale annuncia un set separato di spazio IP dei nameserver da PoP distribuiti su più continenti. Serve query con la latenza più bassa disponibile a livello mondiale — presenza in Nord America, Sud America, Europa, Medio Oriente, Africa, Asia e Oceania man mano che la rete si espande.

I clienti che non sono soggetti a vincoli giurisdizionali UE — o che hanno clienti in tutto il mondo — usano tipicamente la rete Globale o il set combinato EU_GLOBAL di nameserver, che preferisce i PoP UE per i resolver europei e ricade sui PoP globali altrove.

Come fluisce una query

Percorso tipico di una query sulla rete UE:

1. Il resolver invia query UDP/53 a uno degli IP dei nameserver UE di DNScale (es. ns1.dnscale.eu).
2. BGP, annunciato da ogni PoP UE sotto l'AS UE di DNScale, instrada la query al PoP topologicamente più vicino — tipicamente un hop sub-10ms dalle principali metropoli europee.
3. Il server autoritativo del PoP risponde con la risposta cachata e firmata.
4. RTT per le risposte cachate è dominato da RTT di rete, tipicamente 5–25ms entro l'Europa.

Per l'architettura nel dettaglio, vedi Global DNS Resolution Balancing e Cos'è una rete DNS Anycast?.

Impronta di rete

I PoP di DNScale si trovano in metropoli scelte per densità IXP, prossimità alle reti eyeball e chiarezza normativa. Il set attuale comprende:

• Metropoli europee: Frankfurt, Amsterdam, London, Paris, Madrid, Milano, Stoccolma, Varsavia (ed espansione continua)
• Metropoli globali: New York, Ashburn, San Francisco, San Paolo, Singapore, Tokyo, Sydney (rete Globale)

Lo stato in tempo reale, inclusi eventuali PoP in manutenzione o in espansione pianificata, è sulla pagina Rete DNScale.

Peering

DNScale fa peering direttamente ai principali IXP europei:

• DE-CIX Frankfurt — il più grande IXP d'Europa, ancora per la nostra presenza tedesca e continentale più ampia
• AMS-IX Amsterdam — principale scambio olandese e nordovest europeo
• LINX London — copertura Regno Unito e nordovest europeo
• IXP regionali aggiuntivi secondo che l'espansione PoP lo giustifichi

Il peering diretto con i principali ISP europei e reti di contenuto accorcia il percorso di query per il traffico eyeball residenziale ed enterprise, rimuove la dipendenza dal transit per il percorso caldo, e fornisce segnale BGP che controlliamo direttamente durante la risposta agli incidenti.

La rete Globale fa peering a IXP strategici in ogni continente — IXP metro Equinix in Nord America, scambi area LACNIC in Sud America, scambi asiatici e oceanici man mano che l'impronta globale cresce.

Numeri AS e verifica pubblica

DNScale opera sotto numeri AS propri — uno per la rete UE e uno per la rete Globale. L'operazione a livello AS (anziché operare come inquilino all'interno dell'AS di un fornitore più grande) ci dà:

• Controllo BGP diretto per i nostri annunci anycast
• Verificabilità indipendente attraverso RIPE NCC, looking-glass pubblici e registri di rotte
• Risposta agli incidenti basata sul ritiro — possiamo ritirare un PoP non sano da BGP entro secondi senza coordinare attraverso un upstream

I numeri AS sono pubblicati sulla nostra pagina Rete e verificabili tramite strumenti standard (whois -h whois.ripe.net AS{N}, bgp.tools, RIPE Stat). Pattern di traffico in entrata e prefissi annunciati sono informazioni pubbliche per design — è così che funziona il sistema di routing.

Conformità e certificazioni

La postura di conformità di DNScale è costruita attorno a tre ancoraggi:

GDPR

DNScale tratta i metadati delle query DNS come responsabile del trattamento per i clienti; i quadri legali, i termini DPA e le divulgazioni dello scopo del trattamento sono nella Privacy Policy. Scelte notevoli:

• Il traffico di query DNS sulla rete UE non transita verso PoP non-UE in operazione normale
• L'elenco dei sub-responsabili è pubblicato e aggiornato; i clienti sono notificati prima dei cambiamenti
• Le richieste di accesso ai dati dell'interessato sono supportate attraverso il canale di contatto standard
• I dati fiscali e di fatturazione fluiscono attraverso Stripe, un processore di pagamento attivo nell'UE

NIS2

NIS2 nomina esplicitamente i fornitori DNS nell'Allegato I come soggetti essenziali. DNScale opera sotto il regime di vigilanza nazionale pertinente per la sua sede UE. La guida NIS2 e DNS copre gli obblighi nel dettaglio; la nostra postura specifica:

• Misure documentate di gestione del rischio dell'Articolo 21 (gestione incidenti, crittografia, controlli della catena di approvvigionamento)
• Workflow di notifica incidenti allineato ai tempi 24h / 72h / 1-mese
• Supporto DNSSEC con algoritmi moderni e stoccaggio chiavi basato su HSM
• MFA su interfacce operatore e cliente, chiavi API limitate, log di audit completi
• Anycast multi-regione per resilienza; prontezza multi-provider tramite Terraform / DNSControl

ISO 27001

ISO 27001 (Sistemi di Gestione della Sicurezza delle Informazioni) è la certificazione di sicurezza fondante di DNScale. Ambito, stato e disponibilità del certificato sono pubblicati sul sito web. I controlli ISO 27001 si mappano in modo pulito all'Articolo 21 NIS2, semplificando la conformità per i clienti che hanno bisogno di entrambi.

Altre certificazioni

Ulteriori certificazioni industriali (PCI DSS, HIPAA, SOC 2 Tipo II) sono perseguite in linea con la domanda dei clienti. Lo stato attuale è pubblicato sul sito web e aggiornato man mano che gli audit si completano. Se una certificazione specifica è un requisito contrattuale per il tuo settore, contattaci per discutere i tempi.

Postura di sicurezza e artefatti pubblici

DNScale pubblica gli artefatti di sicurezza pubblici convenzionali:

• security.txt in /.well-known/security.txt — email di divulgazione delle vulnerabilità e policy di divulgazione
• Pagina contatto sicurezza in /security — stato pubblicazione PGP e istruzioni di segnalazione
• Politica di divulgazione delle vulnerabilità che documenta ambito, tempi di risposta attesi e disposizioni di safe-harbour per la ricerca in buona fede
• Relazioni post-incidente pubblicate sul blog quando si verificano incidenti significativi (reali, tecnici, responsabili)

Trattiamo la trasparenza post-incidente pubblica come portatrice di fiducia. Quando sbagliamo, diciamo cosa è successo, perché, cosa abbiamo cambiato e cosa dovrebbero fare i clienti. Questa responsabilità è al posto delle byline individuali di ingegneri sui contenuti tecnici — vedi la discussione EEAT sotto.

Trasparenza operativa anziché byline personali

DNScale non pubblica byline individuali di autori o revisori sul contenuto Apprendimento e blog. L'autorità e la fiducia in DNScale sono costruite a livello organizzativo — attraverso:

• L'impronta di rete pubblica che chiunque può verificare tramite BGP
• Certificazioni pubbliche e relazioni di audit
• Relazioni post-incidente dettagliate e tecniche
• Comunicazione di stato specifica e responsabile
• Questa pagina — fatti operativi, non affermazioni di marketing

Pensiamo che questo sia un segnale di fiducia migliore per un fornitore di infrastruttura rispetto alle bio personali. Il lavoro parla da sé; le operazioni sono verificabili; gli incidenti sono gestiti pubblicamente.

Modello operativo UE

Il modello operativo UE di DNScale è costruito attorno a tre principi:

1. Sede UE e diritto UE

DNScale opera come entità con sede UE. I contratti con i clienti usano diritto UE e risoluzione delle controversie UE. Questo semplifica la due diligence per i clienti nell'ambito: una giurisdizione, un'autorità di vigilanza, default allineato GDPR.

2. Isolamento giurisdizionale UE come opzione deliberata

La rete anycast UE esiste affinché i clienti possano confinare il traffico di query DNS allo spazio giurisdizionale europeo quando ne hanno bisogno. Molti fornitori DNS offrono "presenza UE"; pochi offrono "solo UE". DNScale ti dà entrambi — scegli la rete UE se hai bisogno di isolamento, la rete Globale se hai bisogno di bassa latenza mondiale, il set combinato EU_GLOBAL se hai bisogno di entrambi con routing preferito UE.

3. Operazioni di ingegneria indipendenti da qualsiasi gruppo più grande

DNScale è un fornitore indipendente — non parte di un gruppo telecom, hyperscaler o holding più grande. Ingegneria, on-call e risposta agli incidenti sono guidate dal team DNScale. Questo significa che i nostri incentivi e quelli dei nostri clienti si allineano direttamente: quando il DNS è rotto, le stesse persone che hanno costruito il sistema sono quelle che rispondono al pager.

Dove guardare ulteriormente

• Pagina Rete DNScale — stato PoP in tempo reale, annunci BGP, dichiarazioni di capacità
• Pagina di stato DNScale — stato operativo in tempo reale
• Privacy Policy — divulgazione GDPR completa
• Termini di Servizio — quadro contrattuale
• Prezzi — piani, PAYG e cosa è incluso
• Blog — note di rilascio, relazioni post-incidente, scrittura tecnica
• security.txt — divulgazione delle vulnerabilità

Letture correlate

• NIS2 e conformità DNS — mappatura normativa per soggetti nell'ambito
• Migliori fornitori DNS UE — framework di valutazione
• Fornitori DNS conformi al GDPR — quadro normativo adiacente
• DNScale vs Cloudflare — confronto sotto giurisdizione UE
• Rete DNS Anycast — come funziona la rete sottostante
• Global DNS Resolution Balancing — come le query sono guidate al PoP più vicino