Détection avancée des menaces avec DNS Armor

DNS Armor, qui repose sur Infoblox, est un service entièrement géré qui assure la sécurité de la couche DNS pour vos charges de travail Google Cloud sans nécessiter d'installation logicielle supplémentaire. Son détecteur de menaces avancé est conçu pour détecter les activités malveillantes au tout début de la chaîne d'attaque (la requête DNS), sans complexité opérationnelle ni impact sur les performances. La vérification des menaces est compatible avec les instances Compute Engine et GKE.

DNS Armor permet de traiter et d'analyser les requêtes DNS directement dans votre infrastructure cloud existante. Vous n'avez ainsi plus besoin de rediriger le trafic sensible vers un proxy tiers.

Une fois une menace détectée, vous pouvez obtenir des insights pratiques sur les menaces DNS grâce à Cloud Logging.

Fonctionnement de DNS Armor

Lorsque vous activez un détecteur de menaces DNS pour un projet, DNS Armor envoie de manière sécurisée vos journaux de requêtes DNS liées à Internet au déploiement dédié du moteur de détection des menaces Infoblox dans Google Cloud. Ce moteur utilise un mélange de flux de données d'intelligence sur les menaces et d'analyse comportementale basée sur l'IA pour identifier les menaces.

Toute activité suspecte ou malveillante détectée génère automatiquement un journal de menaces DNS Armor, qui est ensuite renvoyé à votre projet et écrit dans Cloud Logging pour que vous puissiez le consulter et prendre les mesures nécessaires.

La détection avancée des menaces de DNS Armor vous permet de détecter les menaces suivantes :

  • Tunnelisation DNS pour l'exfiltration de données : requêtes DNS structurées pour transporter secrètement des données hors de votre réseau, en contournant souvent les pare-feu traditionnels.
  • Commande et contrôle (C2) des logiciels malveillants : communication DNS provenant d'une charge de travail compromise qui tente de contacter le serveur d'un pirate informatique pour obtenir des instructions.
  • Algorithmes de génération de noms de domaine (DGA) : requêtes DNS vers des domaines générés par des machines et qui semblent aléatoires. Les logiciels malveillants les créent pour trouver leurs serveurs de commande et de contrôle et s'y connecter.
  • Fast Flux : requêtes DNS vers des domaines qui modifient rapidement leurs adresses IP associées. Cette technique est utilisée pour rendre l'infrastructure malveillante plus difficile à suivre et à bloquer.
  • DNS zero day : requêtes DNS vers des domaines nouvellement enregistrés que les pirates informatiques utilisent pour leurs activités malveillantes avant que ces domaines ne développent une mauvaise réputation bien connue.
  • Distribution de logiciels malveillants : requêtes DNS vers des domaines malveillants et à haut risque appartenant à des acteurs malveillants, et connus pour héberger ou distribuer des logiciels malveillants, ou susceptibles de le faire à l'avenir.
  • Domaines similaires : requêtes DNS vers des domaines que l'on sait malveillants, qui sont intentionnellement mal orthographiés ou arrangés de sorte à ressembler à des marques légitimes et de confiance.
  • Kits d'exploitation : requêtes DNS vers des sites Web qui tentent d'exploiter automatiquement les failles des charges de travail cloud pour installer des logiciels malveillants.
  • Menaces persistantes avancées (APT) : requêtes DNS vers des domaines associés à des campagnes d'attaque ciblées et à long terme, souvent menées par des groupes sophistiqués à des fins d'espionnage ou de vol de données.

Fonctionnement du détecteur de menaces

Le détecteur de menaces avancé est un service configuré à l'échelle mondiale et disponible au niveau du projet, mais il fonctionne de manière indépendante dans chaque région (consultez Emplacements DNS Armor pour obtenir la liste des régions compatibles). Toutefois, la configuration du détecteur de menaces DNS est identique, quelle que soit la région locale dans laquelle les menaces sont analysées. Il peut être activé pour tous les réseaux VPC d'un projet, avec la possibilité d'exclure jusqu'à 100 réseaux spécifiques.

Les moteurs de détection sont déployés au niveau régional et reçoivent le trafic DNS de la même région. Par exemple, le trafic DNS d'un client situé dans us-central1 est transféré vers un moteur de détection déployé dans us-central1.

Un même nom de domaine peut correspondre à plusieurs catégories de menaces. Dans ce cas, vous verrez plusieurs événements de menace pour la même requête DNS.

DNS Armor est indépendant de la résolution des requêtes. L'analyse des menaces est effectuée de manière asynchrone après la résolution des requêtes, ce qui n'ajoute aucune latence supplémentaire au chemin de résolution DNS réel dans la charge de travail. L'activation ou la désactivation des journaux de flux VPC standards ou des journaux de requêtes DNS n'a pas non plus d'incidence sur le fonctionnement de DNS Armor.

Vérification des menaces pour les chaînes CNAME

La vérification des menaces pour les chaînes CNAME DNS est également disponible avec DNS Armor. La requête sera dans le champ d'application si le premier nom de la résolution de la requête est un enregistrement CNAME public.

Si un domaine d'une chaîne CNAME déclenche un résultat de menace, une seule entrée de journal de menace est générée pour la requête. Le champ dnsQuery.queryName contient le domaine initial interrogé par votre charge de travail, et le champ threatInfo.threatIndicator contient le domaine spécifique de la chaîne qui a déclenché la détection.

Exclusions du détecteur de menaces

Les éléments suivants sont exclus de l'inspection DNS Armor :

  • Exclusion du VPC : le réseau VPC figure dans la liste d'exclusion DNS Armor.
  • Charges de travail et configurations non compatibles :
    • Sans serveur : Cloud Run, Cloud Run Functions et les environnements standards App Engine ne sont pas compatibles.
    • Contournement du résolveur Cloud DNS : les requêtes provenant de charges de travail configurées pour contourner Cloud DNS (169.254.169.254) et envoyer des requêtes directement à un autre serveur ou service DNS, tel que 8.8.8.8, ne sont pas acceptées.
    • Conceptions hub and spoke basées sur le DNS : si les réseaux VPC spokes sont associés à des zones d'appairage DNS (telles qu'une zone racine .) pour transférer toutes les requêtes, y compris celles destinées à Internet, vers un réseau VPC hub central, ces requêtes ne sont pas inspectées. En effet, les requêtes correspondent à une zone d'appairage à la source et sont traitées comme du trafic interne dans le VPC hub et spoke.
  • Résolution des chemins non Internet :
    • Résolution VPC interne :
      • DNS interne Compute Engine : requêtes pour les noms DNS internes par défaut
      • Zones privées Cloud DNS : requêtes pour les enregistrements dans les zones gérées privées Cloud DNS, y compris les zones intégrées à Service Directory.
    • Environnements hybrides : trafic DNS entre un réseau VPC et des réseaux privés connectés avec Cloud VPN ou Cloud Interconnect à l'aide de règles de serveur Cloud DNS ou de zones de transfert :
      • Requêtes sortantes ou entrantes du VPC vers et depuis des environnements hybrides.

Exclusions de requêtes

Les domaines de premier niveau (TLD) réservés .internal et RFC 2606 sont supprimés de manière native par Cloud DNS et n'entraînent aucun frais. Cela inclut .test, .example, .invalid et .localhost.

Limites

DNS Armor présente les limites suivantes.

  • Résolution DNS privée : DNS Armor n'inspecte que le trafic DNS lié à Internet.

  • Charges de travail sans serveur (Cloud Run) : DNS Armor n'inspecte pas les requêtes DNS provenant des charges de travail sans serveur.

  • Transfert entrant : DNS Armor n'inspecte pas les requêtes envoyées aux points de terminaison de transfert entrant Cloud DNS.

  • Zones d'appairage DNS : DNS Armor n'inspecte pas les requêtes (même celles liées à Internet) qui transitent par des connexions d'appairage DNS.

  • Secure Web Proxy : DNS Armor n'inspecte pas les requêtes DNS effectuées par Secure Web Proxy.

Impact sur la facturation

Vous êtes facturé en fonction du nombre de requêtes DNS liées à Internet générées par vos charges de travail et pour lesquelles une analyse des menaces est effectuée. Pour obtenir la liste des exclusions, consultez Exclusions du détecteur de menaces.

DNS Armor a également une incidence sur votre facture Cloud Logging, car les résultats de détection des menaces sont écrits dans le compte Cloud Logging de votre projet. Pour en savoir plus, consultez Tarifs de Google Cloud Observability : Cloud Logging.

Pour en savoir plus sur l'estimation du volume de requêtes DNS Armor et l'optimisation des coûts, consultez Estimation et optimisation des coûts de DNS Armor.

Pour en savoir plus sur les tarifs généraux de Cloud DNS, consultez Tarifs de Cloud DNS.

Autres options de sécurité

En plus de DNS Armor, Google Security Operations est une autre option de sécurité disponible. Ce service doit être configuré manuellement dans votre projet.

Google Security Operations est un service qui normalise, indexe, met en corrélation et analyse les données de télémétrie de sécurité et réseau. Pour en savoir plus, consultez la documentation Google SecOps.

Étapes suivantes