DNS Armor 的進階威脅偵測功能

DNS Armor 採用 Infoblox 技術,是一項全代管服務,可對 Google Cloud 工作負載提供 DNS 層級安全防護,無須安裝其他軟體。這項服務的進階威脅偵測工具可在攻擊鏈的最早階段 (DNS 查詢),偵測惡意活動,且不會增加作業複雜度或效能負擔。Compute Engine 和 GKE 執行個體支援威脅檢查。

DNS Armor 可直接在現有雲端基礎架構中處理及分析 DNS 查詢。這樣就不需要將敏感流量重新導向至第三方 Proxy。

偵測到威脅後,就能透過 Cloud Logging 取得可做為行動依據的洞察資料,深入瞭解 DNS 威脅。

DNS Armor 的運作方式

在專案中啟用 DNS 威脅偵測工具後,DNS Armor 會將要傳至網際網路的 DNS 查詢記錄,妥當傳送至 Google Cloud內 Infoblox 威脅引擎的專屬部署作業。這個引擎會結合威脅情報動態消息和 AI 輔助行為分析,找出威脅。

每當系統偵測到可疑或惡意活動,便會自動產生 DNS Armor 威脅記錄,然後傳回專案中並寫入 Cloud Logging,供您查看及採取行動。

您可以透過 DNS Armor 的進階威脅偵測功能,偵測下列威脅:

  • 透過 DNS 通道竊取資料:這類 DNS 查詢的結構經過設計,可秘密將資料從網路傳出,通常會繞過傳統防火牆。
  • 惡意軟體指令與控制 (C2):遭入侵的工作負載嘗試透過 DNS 通訊,與攻擊者的伺服器聯絡以取得指令。
  • 網域產生演算法 (DGA):對機器隨機產生的網域發出 DNS 查詢,這些網域是由惡意軟體建立,用於尋找及連線至惡意中繼站。
  • 快速通量:對網域發出 DNS 查詢,快速變更相關聯的 IP 位址,這項技術會使惡意基礎架構更難以追蹤和封鎖。
  • 零時差 DNS:攻擊者會對新註冊的網域發出 DNS 查詢,趁網域的優良記錄尚未受到影響之前,進行惡意活動。
  • 散布惡意軟體:對惡意及高風險網域發出 DNS 查詢,這些網域由威脅發動者擁有,已知會代管或散布惡意軟體,或未來可能代管或散布惡意軟體。
  • 相似網域:對已知惡意網域發出 DNS 查詢,這些網域的名稱會刻意拼錯或採特定格式,看似與正當且可信賴的品牌相似。
  • 漏洞攻擊工具套件:對網站發出 DNS 查詢,這些網站會試圖自動利用雲端工作負載中的安全漏洞,安裝惡意軟體。
  • 進階持續性威脅 (APT):對與長期鎖定攻擊活動相關聯的網域發出 DNS 查詢,通常是由經驗豐富的團體發動,目的是從事間諜活動或資料竊取。

威脅偵測工具作業

進階威脅偵測工具是專案層級的全球設定服務,但在每個區域中獨立運作 (如需支援的區域清單,請參閱「DNS Armor 服務地點」)。不過,無論在哪個本機區域分析威脅,DNS 威脅偵測工具設定都相同。您可以為專案中的所有虛擬私有雲網路啟用這項功能,並排除最多 100 個特定網路。

偵測引擎會部署在區域,並接收來自相同區域的 DNS 流量。舉例來說,來自 us-central1 用戶端的 DNS 流量會轉送至 us-central1 中部署的偵測引擎。

單一網域名稱可能符合多個威脅類別。在這種情況下,您會看到同一個 DNS 查詢的多個威脅事件。

DNS Armor 與查詢解析無關。查詢解析完成後,系統會非同步執行威脅分析,因此不會在工作負載的實際 DNS 解析路徑中增加額外延遲。啟用或停用標準虛擬私有雲流量記錄或 DNS 查詢記錄,也不會影響 DNS Armor 的運作。

檢查 CNAME 鏈結是否含有威脅

DNS Armor 也提供 DNS CNAME 鏈結的威脅檢查功能。如果查詢解析中的第一個名稱是公開 CNAME 記錄,查詢就會在範圍內。

如果 CNAME 鏈中的網域觸發威脅發現,系統就會為查詢產生單一威脅記錄項目。dnsQuery.queryName 欄位包含工作負載查詢的初始網域,threatInfo.threatIndicator 欄位則包含觸發偵測的鏈結中的特定網域。

威脅偵測工具排除項目

DNS Armor 檢查範圍不包括下列項目:

  • 虛擬私有雲排除項目:虛擬私有雲網路位於 DNS Armor 排除清單中。
  • 不支援的工作負載和設定
    • 無伺服器:不支援 Cloud Run、Cloud Run functions 和 App Engine 標準環境。
    • 略過 Cloud DNS 解析器:如果工作負載設定為略過 Cloud DNS (169.254.169.254),並直接將查詢傳送至其他 DNS 伺服器或服務 (例如 8.8.8.8),則系統不支援這類查詢。
    • 以 DNS 為基礎的中心輻射拓撲設計:如果輻射 VPC 網路與 DNS 對接區域 (例如根 . 區域) 建立關聯,將所有查詢 (包括傳送至網際網路的查詢) 轉送至中央中樞 VPC 網路,系統就不會檢查這些查詢。這是因為查詢會比對來源的對等互連區域,並在中心和輪輻虛擬私有雲中視為內部流量。
  • 非網際網路路徑解析
    • 內部 VPC 解析度
      • Compute Engine 內部 DNS:查詢預設內部 DNS 名稱
      • Cloud DNS 私人區域:查詢 Cloud DNS 私人代管區域內的記錄,包括與 Service Directory 整合的區域。
    • 混合式環境:使用 Cloud DNS 伺服器政策或轉送區域,在虛擬私有雲網路與透過 Cloud VPN 或 Cloud Interconnect 連線的私人網路之間傳輸 DNS 流量:
      • 虛擬私有雲往返混合式環境的傳出或傳入查詢。

查詢排除條件

Cloud DNS 會原生捨棄 .internalRFC 2606 保留的頂層網域 (TLD),因此不會產生費用。包括 .test.example.invalid.localhost

限制

DNS Armor 有下列限制。

  • 私人 DNS 解析:DNS Armor 只會檢查傳送至網際網路的 DNS 流量。

  • 無伺服器工作負載 (Cloud Run):DNS Armor 不會檢查無伺服器工作負載的 DNS 查詢。

  • 傳入轉送:DNS Armor 不會檢查傳送至 Cloud DNS 傳入轉送端點的查詢。

  • DNS 對接區域:DNS Armor 不會檢查透過 DNS 對接連線傳輸的查詢 (包括網際網路查詢)。

  • Secure Web Proxy:DNS Armor 不會檢查 Secure Web Proxy 發出的 DNS 查詢。

對費用的影響

系統會根據工作負載產生的網際網路 DNS 查詢數量,以及對這些查詢執行的威脅分析次數計費。如需排除項目清單,請參閱「威脅偵測工具排除項目」。

此外,系統會將威脅發現項目寫入專案的 Cloud Logging 帳戶,因此 DNS Armor 也會影響 Cloud Logging 費用。詳情請參閱「Google Cloud Observability 定價:Cloud Logging」。

如要進一步瞭解如何估算 DNS Armor 查詢量和最佳化成本,請參閱「DNS Armor 費用估算和最佳化」。

如要進一步瞭解一般 Cloud DNS 定價,請參閱「Cloud DNS 定價」。

其他安全性選項

除了 DNS Armor,您也可以選擇使用 Google Security Operations。您必須在專案中手動設定這項服務。

Google Security Operations 是一項服務,可將安全性與網路遙測資料正規化、建立索引、關聯及分析。詳情請參閱 Google SecOps 說明文件

後續步驟