DNS Armor, שמבוסס על Infoblox, הוא שירות מנוהל מלא שמספק אבטחה ברמת ה-DNS לעומסי העבודה שלכם ב- Google Cloud . הכלי המתקדם לזיהוי איומים נועד לזהות פעילות זדונית בשלב הכי מוקדם בשרשרת התקיפה – שאילתת ה-DNS – בלי להוסיף מורכבות תפעולית או תקורה של ביצועים. בדיקת איומים נתמכת במכונות וירטואליות ב-Compute Engine וב-GKE.
DNS Armor מאפשר לעבד ולנתח שאילתות DNS ישירות בתשתית הענן הקיימת. כך לא צריך להפנות תנועת נתונים רגישה לשרת proxy של צד שלישי.
אחרי זיהוי איום, אפשר לקבל תובנות מעשיות לגבי איומי DNS באמצעות Cloud Logging.
ב-DNS Armor יש גם אפשרות לבדוק איומים בשרשראות CNAME של DNS.
איך DNS Armor פועל
כשמפעילים גלאי איומים ב-DNS עבור פרויקט, DNS Armor שולח בצורה מאובטחת את יומני שאילתות ה-DNS שמופנות לאינטרנט למנוע הניתוח שמבוסס על Google Cloudומופעל על ידי השותף שלנו, Infoblox. המנוע הזה משתמש בשילוב של פידים של מודיעין איומי סייבר וניתוח התנהגותי מבוסס-AI כדי לזהות איומים. כל פעילות זדונית שמזוהה יוצרת יומן איומים של DNS Armor, שנשלח בחזרה לפרויקט שלכם ונכתב ב-Cloud Logging כדי שתוכלו לצפות בו ולפעול בהתאם.
באמצעות זיהוי האיומים המתקדם של DNS Armor, אתם יכולים לזהות איומים כמו:
- מנהור DNS לצורך העברת נתונים לא מורשית (Data Exfiltration): שאילתות DNS שמובנות כך שיעבירו נתונים מהרשת שלכם באופן סודי, ולעתים קרובות יעקפו חומות אש מסורתיות.
- שליטה ובקרה (C2) של תוכנות זדוניות: תקשורת DNS מנפח עבודה שנפרץ ומנסה ליצור קשר עם השרת של התוקף כדי לקבל הוראות.
- אלגוריתמים ליצירת דומיינים (DGA): שאילתות DNS לדומיינים שנראים אקראיים, שנוצרו על ידי מכונה, שתוכנות זדוניות יוצרות כדי למצוא את שרתי הפיקוד והבקרה שלהן ולהתחבר אליהם.
- Fast Flux: שאילתות DNS לדומיינים שמשנים במהירות את כתובות ה-IP המשויכות שלהם. זו טכניקה שמשמשת כדי להקשות על מעקב אחר תשתית זדונית וחסימתה.
- DNS של יום אפס: שאילתות DNS לדומיינים חדשים שרשומים, שמופעלים על ידי תוקפים לפעילויות זדוניות לפני שהדומיינים האלה מפתחים מוניטין רע ידוע.
- הפצת תוכנות זדוניות: שאילתות DNS לדומיינים זדוניים ודומיינים בסיכון גבוה, שנמצאים בבעלות של גורמים שיוצרים איומים, שידוע שמארחים או מפיצים תוכנות זדוניות, או שיכולים לארח או להפיץ תוכנות זדוניות בעתיד.
- דומיינים דומים: שאילתות DNS לדומיינים שכבר ידוע שהם זדוניים, שכוללים שגיאות איות מכוונות או פורמט שגורם להם להיראות כמו מותגים לגיטימיים ומהימנים.
- ערכות ניצול לרעה: שאילתות DNS לאתרים שמנסים לנצל באופן אוטומטי פגיעויות בעומסי עבודה בענן כדי להתקין תוכנות זדוניות.
- איומים מתמשכים מתקדמים (APT): שאילתות DNS לדומיינים שמשויכים לקמפיינים ממוקדים של מתקפות לטווח ארוך, שלרוב מבוצעים על ידי קבוצות מתוחכמות למטרות ריגול או גניבת נתונים.
השירות לזיהוי איומים מתקדמים הוא שירות שמוגדר ברמה הגלובלית וזמין ברמת הפרויקט, אבל הוא פועל באופן עצמאי בכל אזור (רשימת האזורים הנתמכים מופיעה במאמר בנושא מיקומי DNS Armor). אפשר להפעיל את התכונה הזו לכל רשתות ה-VPC בפרויקט, עם אפשרות להחריג עד 100 רשתות ספציפיות.
מנועי הזיהוי נפרסים ברמה האזורית ומקבלים תנועת DNS מאותו אזור. לדוגמה, תנועת DNS מלקוח ב-us-central1 מועברת למנוע זיהוי שפרוס ב-us-central1.
הגדרות הזיהוי נקבעות באופן גלובלי. ההגדרה של הכלי לזיהוי איומים ב-DNS זהה לא משנה באיזה אזור מקומי מתבצע ניתוח האיומים.
ביצועים וקנה מידה
כשמזהים איומים של גניבת נתונים שמשתמשים במנהור DNS, כמה שאילתות DNS יוצרות אירוע איום אחד או כמה אירועי איום.
השפעה על החיוב
החיוב יתבסס על מספר שאילתות ה-DNS שמופנות לאינטרנט שנוצרות בעומסי העבודה שלכם. האפשרות הזו לא כוללת:
- שאילתות פנימיות ב-VPC (למשל, שמות מארחים פנימיים)
- שאילתות שמועברות לפתרון בעיות ברשת המקומית או ב-VPC אחרים
- שאילתות בין רשתות VPC שכנות (peered)
- אזורי DNS פנימיים ב-Compute Engine
כדי להעריך את מספר שאילתות ה-DNS שמופנות לאינטרנט, אפשר להשתמש במדדים של Cloud Monitoring.
באופן ספציפי, המדד dns.googleapis.com/query/response_count והמסנן target_type=external.
בנוסף, DNS Armor משפיע על החיוב ב-Cloud Logging, כי הממצאים לגבי איומים נכתבים בחשבון Cloud Logging של הפרויקט. מידע נוסף מופיע במאמר בנושא תמחור של Google Cloud Observability: Cloud Logging.
מידע נוסף על ההשפעה של DNS Armor על החיוב זמין במאמר תמחור של Cloud DNS.
אפשרויות אבטחה אחרות
בנוסף ל-DNS Armor, יש אפשרויות אבטחה אחרות שזמינות, כולל Google Security Operations ו-Security Command Center. צריך להגדיר את שני השירותים באופן ידני בפרויקט.
Google Security Operations הוא שירות שמבצע נרמול, הוספה לאינדקס, קישור וניתוח של נתוני טלמטריה של אבטחה ורשתות. מידע נוסף זמין במאמרי העזרה בנושא Google SecOps.
Security Command Center מספק שירות מרכזי לדיווח על נקודות חולשה ואיומים. הוא מעריך את האבטחה ואת שטח ההתקפה הפוטנציאלי על הנתונים, מזהה נקודות חולשה ועוזר לצמצם את הסיכונים. מידע נוסף זמין במאמרי העזרה בנושא Security Command Center.