Erweiterte Bedrohungserkennung mit DNS Armor

DNS Armor, powered by Infoblox, ist ein vollständig verwalteter Dienst, der die Sicherheit auf DNS-Ebene bietet für Ihre Google Cloud Arbeitslasten, ohne dass weitere Software installiert werden muss. Der erweiterte Bedrohungsdetektor wurde entwickelt, um schädliche Aktivitäten so früh wie möglich in der Angriffskette zu erkennen – bei der DNS-Abfrage – ohne die betriebliche Komplexität zu erhöhen oder die Leistung zu beeinträchtigen. Die Bedrohungsprüfung wird für Compute Engine- und GKE-Instanzen unterstützt.

Mit DNS Armor können DNS-Abfragen direkt in Ihrer vorhandenen Cloud-Infrastruktur verarbeitet und analysiert werden. Dadurch ist es nicht mehr erforderlich, vertraulichen Traffic an einen Drittanbieter-Proxy weiterzuleiten.

Nachdem eine Bedrohung erkannt wurde, können Sie über Cloud Logging umsetzbare Informationen zu DNS-Bedrohungen erhalten.

Funktionsweise von DNS Armor

Wenn Sie einen DNS-Bedrohungsdetektor für ein Projekt aktivieren, sendet DNS Armor Ihre internetgebundenen DNS-Abfragelogs sicher an die dedizierte Bereitstellung der Infoblox-Bedrohungs-Engine in. Google CloudDiese Engine verwendet eine Kombination aus Threat Intelligence-Feeds und KI-basierter Verhaltensanalyse, um Bedrohungen zu erkennen.

Bei verdächtigen oder schädlichen Aktivitäten wird automatisch ein DNS Armor-Bedrohungslog generiert, das dann an Ihr Projekt zurückgesendet und in Cloud Logging geschrieben wird, damit Sie es ansehen und Maßnahmen ergreifen können.

Mit der erweiterten Bedrohungserkennung von DNS Armor können Sie Bedrohungen wie die folgenden erkennen:

  • DNS-Tunneling zur Datenexfiltration: DNS-Abfragen, die so strukturiert sind, dass Daten heimlich aus Ihrem Netzwerk übertragen werden, wobei häufig herkömmliche Firewalls umgangen werden.
  • Malware Command & Control (C2): DNS-Kommunikation von einer kompromittierten Arbeitslast, die versucht, den Server eines Angreifers zu kontaktieren, um Anweisungen zu erhalten.
  • Domain Generation Algorithms (DGA): DNS-Abfragen an zufällig aussehende, maschinell generierte Domains, die von Malware erstellt werden, um die Command-and-Control-Server zu finden und eine Verbindung zu ihnen herzustellen.
  • Fast Flux: DNS-Abfragen an Domains, deren zugeordnete IP-Adressen sich schnell ändern. Diese Technik wird verwendet, um schädliche Infrastrukturen schwerer nachzuverfolgen und zu blockieren.
  • Zero-Day-DNS: DNS-Abfragen an neu registrierte Domains, die von Angreifern für schädliche Aktivitäten verwendet werden, bevor diese Domains einen schlechten Ruf entwickeln.
  • Malware-Verbreitung: DNS-Abfragen an schädliche und risikoreiche Domains, die Bedrohungsakteuren gehören und bekanntermaßen Malware hosten oder verbreiten oder in Zukunft Malware hosten oder verbreiten könnten.
  • Lookalike-Domains: DNS-Abfragen an Domains, die bereits als schädlich bekannt sind und absichtlich falsch geschrieben oder formatiert wurden, um wie legitime, vertrauenswürdige Marken auszusehen.
  • Exploit-Kits: DNS-Abfragen an Websites, die versuchen, automatisch Sicherheitslücken in Cloud-Arbeitslasten auszunutzen, um Malware zu installieren.
  • Advanced Persistent Threats (APT): DNS-Abfragen an Domains, die mit gezielten, langfristigen Angriffskampagnen verknüpft sind, die häufig von hochentwickelten Gruppen für Spionage oder Datendiebstahl durchgeführt werden.

Funktionsweise des Bedrohungsdetektors

Der erweiterte Bedrohungsdetektor ist ein global konfigurierter Dienst, der auf Projektebene verfügbar ist, aber in jeder Region unabhängig funktioniert (eine Liste der unterstützung ten Regionen finden Sie unter DNS Armor-Standorte). Die Konfiguration des DNS-Bedrohungsdetektors ist jedoch unabhängig von der lokalen Region, in der Bedrohungen analysiert werden. Er kann für alle VPC-Netzwerke in einem Projekt aktiviert werden, wobei bis zu 100 bestimmte Netzwerke ausgeschlossen werden können.

Die Erkennungs-Engines werden regional bereitgestellt und empfangen DNS-Traffic aus derselben Region. So wird beispielsweise DNS-Traffic von einem Client in us-central1 an eine Erkennungs-Engine weitergeleitet, die in us-central1 bereitgestellt wird.

Ein einzelner Domainname kann mehreren Bedrohungskategorien entsprechen. In diesem Fall werden mehrere Bedrohungsereignisse für dieselbe DNS-Abfrage angezeigt.

DNS Armor ist unabhängig von der Abfrageauflösung. Die Bedrohungsanalyse wird asynchron nach der Abfrageauflösung durchgeführt, wodurch die tatsächliche DNS-Auflösung in der Arbeitslast nicht zusätzlich verzögert wird. Das Aktivieren oder Deaktivieren von Standard-VPC-Flusslogs oder DNS-Abfragelogs hat ebenfalls keine Auswirkungen auf die Funktionsweise von DNS Armor.

Bedrohungsprüfung für CNAME-Ketten

Mit DNS Armor ist auch die Bedrohungsprüfung für DNS-CNAME-Ketten verfügbar. Die Abfrage ist im Umfang enthalten, wenn der erste Name in der Abfrageauflösung ein öffentlicher CNAME-Eintrag ist.

Wenn eine Domain in einer CNAME-Kette ein Bedrohungsergebnis auslöst, wird ein einzelner Bedrohungslogeintrag für die Abfrage generiert. Das Feld dnsQuery.queryName enthält die ursprüngliche Domain, die von Ihrer Arbeitslast abgefragt wurde, und das Feld threatInfo.threatIndicator enthält die spezifische Domain in der Kette, die die Erkennung ausgelöst hat.

Ausschlüsse für Bedrohungsdetektoren

Folgendes ist von der DNS Armor-Prüfung ausgeschlossen:

  • VPC-Ausschluss: Das VPC-Netzwerk ist in der Ausschlussliste von DNS Armor enthalten.
  • Nicht unterstützte Arbeitslasten und Konfigurationen:
    • Serverlos: Cloud Run-, Cloud Run Functions- und App Engine- Standardumgebungen werden nicht unterstützt.
    • Umgehen des Cloud DNS-Resolvers: Abfragen von Arbeitslasten, die so konfiguriert sind, dass sie Cloud DNS (169.254.169.254) umgehen und Abfragen direkt an einen anderen DNS-Server oder ‑Dienst wie 8.8.8.8 senden, werden nicht unterstützt.
    • DNS-basierte Hub-and-Spoke-Designs: Wenn Spoke-VPC-Netzwerke mit DNS-Peering-Zonen (z. B. einer Stammzone . ) verknüpft sind, um alle Abfragen, einschließlich internetgebundener Abfragen, an ein zentrales Hub VPC-Netzwerk weiterzuleiten, werden diese Abfragen nicht geprüft. Das liegt daran, dass die Abfragen an der Quelle mit einer Peering-Zone übereinstimmen und sowohl im Hub- als auch im Spoke-VPC-Netzwerk als interner Traffic behandelt werden.
  • Auflösung ohne Internetpfad:
    • Interne VPC-Auflösung:
      • Internes DNS von Compute Engine: Abfragen für standardmäßige interne DNS-Namen
      • Private Zonen von Cloud DNS: Abfragen für Einträge in privaten verwalteten Zonen von Cloud DNS, einschließlich Zonen, die in Service Directory integriert sind.
    • Hybride Umgebungen: DNS-Traffic zwischen einem VPC-Netzwerk und privaten Netzwerken, die mit Cloud VPN oder Cloud Interconnect verbunden sind mithilfe von Cloud DNS-Serverrichtlinien oder Weiterleitungszonen:
      • Ausgehende oder eingehende Abfragen von der VPC zu und von hybriden Umgebungen.

Abfrageausschlüsse

Die .internal und RFC 2606 reservierten Top-Level-Domains (TLDs) werden von Cloud DNS nativ verworfen und verursachen keine Kosten. Dazu gehören .test, .example, .invalid und .localhost.

Beschränkungen

Für DNS Armor gelten die folgenden Limits.

  • Private DNS-Auflösung: DNS Armor prüft nur internetgebundenen DNS-Traffic.

  • Serverlose Arbeitslasten (Cloud Run): DNS Armor prüft keine DNS-Abfragen von serverlosen Arbeitslasten.

  • Eingehende Weiterleitung: DNS Armor prüft keine Abfragen, die an eingehende Weiterleitungsendpunkte von Cloud DNS gesendet werden.

  • DNS-Peering-Zonen: DNS Armor prüft keine Abfragen (auch keine internetgebundenen Abfragen), die DNS-Peering-Verbindungen durchlaufen.

  • Sicherer Web-Proxy: DNS Armor prüft keine DNS-Abfragen, die vom sicheren Web-Proxy gestellt werden.

Auswirkungen auf die Abrechnung

Die Kosten richten sich danach, wie viele internetgebundene DNS-Abfragen von Ihren Arbeitslasten generiert werden und für wie viele davon eine Bedrohungsanalyse durchgeführt wird. Eine Liste der Ausschlüsse finden Sie unter Ausschlüsse für Bedrohungsdetektoren.

DNS Armor wirkt sich auch auf Ihre Cloud Logging-Rechnung aus, da Bedrohungsergebnisse in das Cloud Logging-Konto Ihres Projekts geschrieben werden. Weitere Informationen finden Sie unter Preise für Google Cloud Observability: Cloud Logging.

Weitere Informationen zum Schätzen des Abfragevolumens und zur Kosten optimierung von DNS Armor finden Sie unter Kostenschätzung und ‑optimierung für DNS Armor.

Weitere Informationen zu den allgemeinen Cloud DNS-Preisen finden Sie unter Cloud DNS-Preise.

Weitere Sicherheitsoptionen

Neben DNS Armor ist Google Security Operations eine weitere verfügbare Sicherheitsoption. Dieser Dienst muss manuell in Ihrem Projekt konfiguriert werden.

Google Security Operations ist ein Dienst, der Sicherheits- und Netzwerktelemetriedaten normalisiert, indexiert, korreliert und analysiert. Weitere Informationen finden Sie in der Dokumentation zu Google Security Operations.

Nächste Schritte