DNS Armor, basato su Infoblox, è un servizio completamente gestito che fornisce sicurezza a livello di DNS per i tuoi carichi di lavoro Google Cloud . Il suo rilevatore delle minacce avanzato è progettato per rilevare attività dannose al punto iniziale della catena di attacco, ovvero la query DNS, senza aggiungere complessità operativa o overhead delle prestazioni. Il controllo delle minacce è supportato per le istanze Compute Engine e GKE.
DNS Armor consente l'elaborazione e l'analisi delle query DNS direttamente all'interno dell'infrastruttura cloud esistente. In questo modo non è più necessario reindirizzare il traffico sensibile a un proxy di terze parti.
Una volta rilevata una minaccia, puoi ottenere informazioni strategiche sulle minacce DNS tramite Cloud Logging.
La verifica delle minacce per le catene CNAME DNS è disponibile anche con DNS Armor.
Funzionamento di DNS Armor
Quando abiliti un rilevatore di minacce DNS per un progetto, DNS Armor invia in modo sicuro i log delle query DNS su internet al motore di analisi basato su Google Cloudfornito dal nostro partner Infoblox. Questo motore utilizza una combinazione di feed di intelligence sulle minacce e analisi comportamentale basata sull'AI per identificare le minacce. Qualsiasi attività dannosa rilevata genera un log delle minacce DNS Armor, che viene poi inviato al tuo progetto e scritto in Cloud Logging per consentirti di visualizzarlo e intervenire.
Con il rilevamento avanzato delle minacce di DNS Armor, puoi rilevare minacce come le seguenti:
- Tunneling DNS per l'esfiltrazione di dati: query DNS strutturate per trasportare segretamente i dati fuori dalla rete, spesso aggirando i firewall tradizionali.
- Malware di comando e controllo (C2): comunicazione DNS da un workload compromesso che tenta di contattare il server di un malintenzionato per ricevere istruzioni.
- Algoritmi di generazione di domini (DGA): query DNS a domini dall'aspetto casuale generati automaticamente da malware per trovare e connettersi ai relativi server di comando e controllo.
- Fast Flux: query DNS ai domini che cambiano rapidamente gli indirizzi IP associati, una tecnica utilizzata per rendere più difficile tracciare e bloccare l'infrastruttura dannosa.
- DNS zero-day: query DNS rivolte a domini appena registrati che i malintenzionati utilizzano per attività dannose prima che questi domini sviluppino una reputazione negativa nota.
- Distribuzione di malware: query DNS a domini dannosi e ad alto rischio, di proprietà dei soggetti malintenzionati, noti per ospitare o distribuire malware o che potrebbero ospitare o distribuire malware in futuro.
- Domini simili: query DNS a domini già noti come dannosi che sono intenzionalmente scritti in modo errato o formattati per apparire come brand legittimi e attendibili.
- Kit di exploit: query DNS a siti web che tentano di sfruttare automaticamente le vulnerabilità nei workload cloud per installare malware.
- Minacce persistenti avanzate (APT): query DNS a domini associati a campagne di attacco mirate e a lungo termine, spesso condotte da gruppi sofisticati per spionaggio o furto di dati.
Il rilevatore di minacce avanzate è un servizio configurato a livello globale disponibile a livello di progetto, ma opera in modo indipendente in ogni regione (consulta Località DNS Armor per l'elenco delle regioni supportate). Può essere abilitato per tutte le reti VPC in un progetto con la possibilità di escludere fino a 100 reti specifiche.
I motori di rilevamento vengono implementati a livello regionale e ricevono il traffico DNS dalla stessa regione. Ad esempio, il traffico DNS di un client in us-central1
viene inoltrato a un motore di rilevamento implementato in us-central1.
Le configurazioni del rilevamento vengono configurate a livello globale. La configurazione del rilevatore di minacce DNS è identica indipendentemente dalla regione locale in cui vengono analizzate le minacce.
Prestazioni e scalabilità
Quando vengono rilevate minacce di esfiltrazione di dati che utilizzano il tunneling DNS, più query DNS generano uno o più eventi di minaccia.
Impatto sulla fatturazione
Ti verrà addebitato un costo in base al numero di query DNS su internet generate dai tuoi workload. Sono esclusi:
- Query VPC interne (ad es. nomi host interni)
- Query inoltrate a resolver on-premise o ad altri VPC
- Query tra VPC in peering
- Zone DNS interne di Compute Engine
Per stimare il numero di query DNS su internet, utilizza le metriche di Cloud Monitoring.
Nello specifico, la metrica dns.googleapis.com/query/response_count e il filtro
a target_type=external.
DNS Armor influisce anche sulla fatturazione di Cloud Logging, in quanto i risultati delle minacce vengono scritti nell'account Cloud Logging del tuo progetto. Per saperne di più, consulta Prezzi di Google Cloud Observability: Cloud Logging.
Per saperne di più sull'impatto di DNS Armor sulla fatturazione, consulta Prezzi di Cloud DNS.
Altre opzioni di sicurezza
Oltre a DNS Armor, altre opzioni di sicurezza disponibili includono Google Security Operations e Security Command Center. Entrambi i servizi devono essere configurati manualmente nel tuo progetto.
Google Security Operations è un servizio che normalizza, indicizza, correla e analizza i dati di telemetria di sicurezza e di rete. Per saperne di più, consulta la documentazione di Google SecOps.
Security Command Center fornisce un servizio centralizzato di segnalazione di vulnerabilità e minacce. Valuta la tua superficie di attacco per dati e sicurezza, identifica le vulnerabilità e ti aiuta a mitigare i rischi. Per saperne di più, consulta la documentazione di Security Command Center.
Passaggi successivi
- Crea un rilevatore di minacce DNS
- Visualizza i log delle minacce
- Risolvi i problemi comuni
- Tutorial sul codelab