Deteksi ancaman tingkat lanjut dengan DNS Armor

DNS Armor, yang didukung oleh Infoblox, adalah layanan terkelola sepenuhnya yang menyediakan keamanan pada lapisan DNS untuk workload Anda tanpa memerlukan penginstalan software lebih lanjut. Google Cloud Detektor ancaman canggihnya dirancang untuk mendeteksi aktivitas berbahaya pada titik paling awal dalam rantai serangan—kueri DNS—tanpa menambah kompleksitas operasional atau overhead performa. Pemeriksaan ancaman didukung untuk instance Compute Engine dan GKE.

DNS Armor memungkinkan pemrosesan dan analisis kueri DNS langsung dalam infrastruktur cloud yang ada. Hal ini menghilangkan kebutuhan untuk mengalihkan traffic sensitif ke proxy pihak ketiga.

Setelah ancaman terdeteksi, Anda dapat memperoleh insight yang dapat ditindaklanjuti tentang ancaman DNS melalui Cloud Logging.

Cara kerja DNS Armor

Saat Anda mengaktifkan detektor ancaman DNS untuk suatu project, DNS Armor akan secara aman mengirim log kueri DNS Anda untuk internet publik ke deployment khusus mesin ancaman Infoblox di dalam Google Cloud. Mesin ini menggunakan kombinasi feed threat intelligence dan analisis perilaku berbasis AI untuk mengidentifikasi ancaman.

Aktivitas mencurigakan atau berbahaya yang terdeteksi akan otomatis menghasilkan log ancaman DNS Armor, yang kemudian dikirim kembali ke project Anda dan ditulis ke Cloud Logging agar Anda dapat memeriksa dan menindaklanjutinya.

Dengan deteksi ancaman canggih DNS Armor, Anda dapat mendeteksi ancaman, seperti berikut:

  • Tunneling DNS untuk Pemindahan Data yang Tidak Sah: Kueri DNS yang disusun untuk secara diam-diam membawa data keluar dari jaringan Anda, sering kali dengan menghindari firewall tradisional.
  • Malware Command & Control (C2): Komunikasi DNS dari workload yang disusupi yang mencoba menghubungi server penyerang untuk mendapatkan petunjuk.
  • Algoritma Pembuatan Domain (DGA): Kueri DNS ke domain yang dihasilkan mesin dengan nama yang terlihat acak, yang dibuat oleh malware untuk menemukan dan terhubung dengan server command and control miliknya.
  • Fast Flux: Kueri DNS ke domain yang alamat IP terkaitnya berubah dengan sangat cepat, teknik yang digunakan untuk menyulitkan pelacakan dan pemblokiran infrastruktur berbahaya.
  • Zero-Day DNS: Kueri DNS ke domain yang baru terdaftar dan digunakan penyerang untuk aktivitas berbahaya sebelum domain tersebut memiliki reputasi buruk yang dikenal.
  • Distribusi Malware: Kueri DNS ke domain berbahaya dan berisiko tinggi, yang dimiliki oleh pelaku ancaman, yang diketahui menghosting atau mendistribusikan malware atau berpotensi melakukan hal tersebut pada masa mendatang.
  • Domain yang Mirip: Kueri DNS ke domain yang sudah dikenal berbahaya dan sengaja dibuat dengan ejaan atau format yang menyerupai merek resmi dan tepercaya.
  • Exploit Kit: Kueri DNS ke situs yang mencoba mengeksploitasi kerentanan secara otomatis dalam workload cloud untuk menginstal malware.
  • Ancaman Persisten Tingkat Lanjut (APT): Kueri DNS ke domain yang terkait dengan upaya serangan jangka panjang yang bertarget khusus, umumnya oleh kelompok tertentu yang memanfaatkan teknologi canggih untuk spionase atau pencurian data.

Operasi detektor ancaman

Detektor ancaman lanjutan adalah layanan yang dikonfigurasi secara global dan tersedia di tingkat project, tetapi beroperasi secara independen di setiap region (lihat Lokasi DNS Armor untuk mengetahui daftar region yang didukung). Namun, konfigurasi detektor ancaman DNS identik, terlepas dari region lokal tempat ancaman dianalisis. Fitur ini dapat diaktifkan untuk semua jaringan VPC dalam project dengan kemampuan untuk mengecualikan hingga 100 jaringan tertentu.

Mesin deteksi di-deploy secara regional dan menerima traffic DNS dari region yang sama. Misalnya, traffic DNS dari klien di us-central1 diteruskan ke mesin deteksi yang di-deploy di us-central1.

Satu nama domain dapat cocok dengan beberapa kategori ancaman. Dalam hal ini, Anda akan melihat beberapa peristiwa ancaman untuk kueri DNS yang sama.

DNS Armor independen dari resolusi kueri. Analisis ancaman dilakukan secara asinkron setelah resolusi kueri, yang tidak menambahkan latensi tambahan ke jalur resolusi DNS sebenarnya dalam workload. Mengaktifkan atau menonaktifkan Log Aliran VPC standar atau log kueri DNS juga tidak akan memengaruhi operasi DNS Armor.

Pemeriksaan ancaman untuk rantai CNAME

Pemeriksaan ancaman untuk rantai CNAME DNS juga tersedia dengan DNS Armor. Kueri akan berada dalam cakupan jika nama pertama dalam resolusi kueri adalah data CNAME publik.

Jika domain dalam rantai CNAME memicu temuan ancaman, satu entri log ancaman akan dibuat untuk kueri tersebut. Kolom dnsQuery.queryName berisi domain awal yang dikueri oleh workload Anda, dan kolom threatInfo.threatIndicator berisi domain tertentu dalam rantai yang memicu deteksi.

Pengecualian detektor ancaman

Berikut ini dikecualikan dari pemeriksaan DNS Armor:

  • Pengecualian VPC: jaringan VPC berada dalam daftar pengecualian DNS Armor.
  • Workload dan konfigurasi yang tidak didukung:
    • Serverless: Lingkungan standar Cloud Run, Cloud Run Functions, dan App Engine tidak didukung.
    • Melewati resolver Cloud DNS: kueri dari workload yang dikonfigurasi untuk melewati Cloud DNS (169.254.169.254) dan mengirim kueri langsung ke server atau layanan DNS lain, seperti 8.8.8.8 tidak didukung.
    • Desain hub-and-spoke berbasis DNS: jika jaringan VPC spoke dikaitkan dengan zona peering DNS (seperti zona . root) untuk meneruskan semua kueri, termasuk kueri yang terhubung ke internet, ke hub pusat jaringan VPC, kueri tersebut tidak akan diperiksa. Hal ini karena kueri cocok dengan zona peering di sumber dan diperlakukan sebagai traffic internal di VPC hub dan spoke.
  • Resolusi jalur non-internet:
    • Resolusi VPC internal:
      • DNS internal Compute Engine: kueri untuk nama DNS internal default
      • Zona pribadi Cloud DNS: kueri untuk data dalam zona pribadi terkelola Cloud DNS, yang mencakup zona terintegrasi dengan Direktori Layanan.
    • Lingkungan hybrid: traffic DNS antara jaringan VPC dan jaringan pribadi yang terhubung dengan Cloud VPN atau Cloud Interconnect menggunakan kebijakan server Cloud DNS atau zona penerusan:
      • Kueri keluar atau masuk dari VPC ke dan dari lingkungan hybrid.

Pengecualian kueri

Domain level teratas (TLD) yang dicadangkan .internal dan RFC 2606 dihilangkan secara native oleh Cloud DNS dan tidak dikenai biaya. TLD ini mencakup .test, .example, .invalid, dan .localhost.

Batasan

DNS Armor memiliki batasan berikut.

  • Resolusi DNS pribadi: DNS Armor hanya memeriksa traffic DNS yang terhubung ke internet.

  • Workload serverless (Cloud Run): DNS Armor tidak memeriksa kueri DNS dari workload serverless.

  • Penerusan masuk: DNS Armor tidak memeriksa kueri yang dikirim ke endpoint penerusan masuk Cloud DNS.

  • Zona peering DNS: DNS Armor tidak memeriksa kueri (bahkan kueri yang terhubung ke internet) yang melintasi koneksi peering DNS.

  • Secure Web Proxy: DNS Armor tidak memeriksa kueri DNS yang dibuat oleh Secure Web Proxy.

Dampak terhadap penagihan

Anda akan dikenai biaya berdasarkan jumlah kueri DNS yang terhubung ke internet yang dihasilkan oleh workload Anda dan analisis ancaman yang dilakukan pada kueri tersebut. Untuk mengetahui daftar pengecualian, lihat Pengecualian detektor ancaman.

DNS Armor juga memengaruhi tagihan Cloud Logging Anda, karena temuan ancaman ditulis ke akun Cloud Logging project Anda. Untuk mengetahui informasi selengkapnya, lihat Harga Google Cloud Observability: Cloud Logging.

Untuk mengetahui informasi selengkapnya tentang cara memperkirakan volume kueri dan pengoptimalan biaya DNS Armor, lihat Perkiraan dan pengoptimalan biaya DNS Armor.

Untuk mengetahui informasi selengkapnya tentang harga Cloud DNS umum, lihat Harga Cloud DNS.

Opsi keamanan lainnya

Selain DNS Armor, opsi keamanan lain yang tersedia adalah Google Security Operations. Layanan ini harus dikonfigurasi secara manual di project Anda.

Google Security Operations adalah layanan yang menormalisasi, mengindeks, menghubungkan, dan menganalisis data telemetri keamanan dan jaringan. Untuk mengetahui informasi selengkapnya, lihat Dokumentasi Google SecOps.

Langkah berikutnya