DNS Armor, yang didukung oleh Infoblox, adalah layanan terkelola sepenuhnya yang menyediakan keamanan dengan lapisan DNS untuk workload Anda. Google Cloud Detektor ancaman canggihnya dirancang untuk mendeteksi aktivitas berbahaya pada titik paling awal dalam rantai serangan—kueri DNS—tanpa menambah kompleksitas operasional atau overhead performa.
Setelah ancaman terdeteksi, Anda dapat memperoleh insight yang dapat ditindaklanjuti tentang ancaman DNS melalui Cloud Logging.
Cara kerja DNS Armor
Saat Anda mengaktifkan detektor ancaman DNS untuk suatu project, DNS Armor akan secara aman mengirim log kueri DNS yang terhubung ke internet ke mesin analisis berbasis Google Cloudyang didukung oleh partner kami, Infoblox. Mesin ini menggunakan kombinasi feed threat intelligence dan analisis perilaku berbasis AI untuk mengidentifikasi ancaman. Aktivitas berbahaya yang terdeteksi akan menghasilkan log ancaman DNS Armor, yang kemudian dikirim kembali ke project Anda dan ditulis ke Cloud Logging agar Anda dapat memeriksa dan menindaklanjutinya.
Dengan deteksi ancaman tingkat lanjut DNS Armor, Anda dapat mendeteksi berbagai ancaman, seperti berikut:
- Tunneling DNS untuk Pemindahan Data yang Tidak Sah: Kueri DNS yang disusun untuk secara diam-diam membawa data keluar dari jaringan Anda, sering kali dengan menghindari firewall tradisional.
- Malware Command & Control (C2): Komunikasi DNS dari workload yang disusupi yang mencoba menghubungi server penyerang untuk mendapatkan petunjuk.
- Algoritma Pembuatan Domain (DGA): Kueri DNS ke domain yang dihasilkan mesin dengan nama yang terlihat acak, yang dibuat oleh malware untuk menemukan dan terhubung dengan server command and control miliknya.
- Fast Flux: Kueri DNS ke domain yang alamat IP terkaitnya berubah dengan sangat cepat, teknik yang digunakan untuk menyulitkan pelacakan dan pemblokiran infrastruktur berbahaya.
- Zero-Day DNS: Kueri DNS ke domain yang baru terdaftar dan digunakan penyerang untuk aktivitas berbahaya sebelum domain tersebut memiliki reputasi buruk yang dikenal.
- Distribusi Malware: Kueri DNS ke domain berbahaya dan berisiko tinggi, yang dimiliki oleh pelaku ancaman, yang diketahui menghosting atau mendistribusikan malware atau berpotensi melakukan hal tersebut pada masa mendatang.
- Domain yang Mirip: Kueri DNS ke domain yang sudah dikenal berbahaya dan sengaja dibuat dengan ejaan atau format yang menyerupai merek resmi dan tepercaya.
- Exploit Kit: Kueri DNS ke situs yang mencoba mengeksploitasi kerentanan secara otomatis dalam workload cloud untuk menginstal malware.
- Ancaman Persisten Tingkat Lanjut (APT): Kueri DNS ke domain yang terkait dengan kampanye serangan jangka panjang yang ditargetkan, yang umumnya dilakukan oleh kelompok berteknologi canggih untuk spionase atau pencurian data.
Detektor ancaman lanjutan adalah layanan yang dikonfigurasi secara global dan tersedia di tingkat project, tetapi beroperasi secara independen di setiap region. Fitur ini dapat diaktifkan untuk semua jaringan VPC dalam project dengan kemampuan untuk mengecualikan jaringan tertentu.
Untuk mendukung persyaratan residensi data, analisis log DNS Anda untuk deteksi ancaman dilakukan di Google Cloud region yang sama dengan asal kueri.
Performa dan skala
DNS Armor memproses hingga maksimum 50.000 log kueri per detik per pelanggan per region Google Cloud .
Saat mendeteksi ancaman pemindahan data yang tidak sah melalui tunneling DNS, beberapa kueri DNS akan menghasilkan satu atau beberapa peristiwa ancaman.
Jika suatu Google Cloud region menerima volume kueri yang tinggi, beberapa kueri mungkin dibatalkan sebelum melakukan deteksi ancaman selama periode pratinjau.
Dampak terhadap penagihan
Untuk mengetahui informasi selengkapnya tentang dampak DNS Armor terhadap penagihan Anda, lihat Harga Cloud DNS.
DNS Armor juga memengaruhi tagihan Cloud Logging Anda, karena temuan ancaman ditulis ke akun Cloud Logging project Anda. Untuk mengetahui informasi selengkapnya, lihat Harga Google Cloud Observability: Cloud Logging.