DNS Armor, yang didukung oleh Infoblox, adalah layanan terkelola sepenuhnya yang menyediakan keamanan pada lapisan DNS untuk workload Anda. Google Cloud Detektor ancaman canggihnya dirancang untuk mendeteksi aktivitas berbahaya pada titik paling awal dalam rantai serangan—kueri DNS—tanpa menambah kompleksitas operasional atau overhead performa. Pemeriksaan ancaman didukung untuk instance Compute Engine dan GKE.
DNS Armor memungkinkan pemrosesan dan analisis kueri DNS langsung dalam infrastruktur cloud yang ada. Dengan demikian, Anda tidak perlu mengarahkan ulang traffic sensitif ke proxy pihak ketiga.
Setelah ancaman terdeteksi, Anda dapat memperoleh insight yang dapat ditindaklanjuti tentang ancaman DNS melalui Cloud Logging.
Pemeriksaan ancaman untuk rantai CNAME DNS juga tersedia dengan DNS Armor.
Cara kerja DNS Armor
Saat Anda mengaktifkan detektor ancaman DNS untuk suatu project, DNS Armor akan secara aman mengirim log kueri DNS Anda untuk internet publik ke mesin analisis berbasis Google Cloudyang didukung oleh partner kami, Infoblox. Mesin ini menggunakan kombinasi feed threat intelligence dan analisis perilaku berbasis AI untuk mengidentifikasi ancaman. Aktivitas berbahaya yang terdeteksi akan menghasilkan log ancaman DNS Armor, yang kemudian dikirim kembali ke project Anda dan ditulis ke Cloud Logging agar Anda dapat memeriksa dan menindaklanjutinya.
Dengan deteksi ancaman tingkat lanjut DNS Armor, Anda dapat mendeteksi berbagai ancaman, seperti berikut:
- Tunneling DNS untuk Pemindahan Data yang Tidak Sah: Kueri DNS yang disusun untuk secara diam-diam membawa data keluar dari jaringan Anda, sering kali dengan menghindari firewall tradisional.
- Malware Command & Control (C2): Komunikasi DNS dari workload yang disusupi yang mencoba menghubungi server penyerang untuk mendapatkan petunjuk.
- Algoritma Pembuatan Domain (DGA): Kueri DNS ke domain yang dihasilkan mesin dengan nama yang terlihat acak, yang dibuat oleh malware untuk menemukan dan terhubung dengan server command and control miliknya.
- Fast Flux: Kueri DNS ke domain yang alamat IP terkaitnya berubah dengan sangat cepat, teknik yang digunakan untuk menyulitkan pelacakan dan pemblokiran infrastruktur berbahaya.
- Zero-Day DNS: Kueri DNS ke domain yang baru terdaftar dan digunakan penyerang untuk aktivitas berbahaya sebelum domain tersebut memiliki reputasi buruk yang dikenal.
- Distribusi Malware: Kueri DNS ke domain berbahaya dan berisiko tinggi, yang dimiliki oleh pelaku ancaman, yang diketahui menghosting atau mendistribusikan malware atau berpotensi melakukan hal tersebut pada masa mendatang.
- Domain yang Mirip: Kueri DNS ke domain yang sudah dikenal berbahaya dan sengaja dibuat dengan ejaan atau format yang menyerupai merek resmi dan tepercaya.
- Exploit Kit: Kueri DNS ke situs yang mencoba mengeksploitasi kerentanan secara otomatis dalam workload cloud untuk menginstal malware.
- Ancaman Persisten Tingkat Lanjut (APT): Kueri DNS ke domain yang terkait dengan upaya serangan jangka panjang yang bertarget khusus, umumnya oleh kelompok tertentu yang memanfaatkan teknologi canggih untuk spionase atau pencurian data.
Detektor ancaman lanjutan adalah layanan yang dikonfigurasi secara global dan tersedia di tingkat project, tetapi beroperasi secara independen di setiap region (lihat Lokasi DNS Armor untuk mengetahui daftar region yang didukung). Fitur ini dapat diaktifkan untuk semua jaringan VPC dalam project dengan kemampuan untuk mengecualikan hingga 100 jaringan tertentu.
Mesin deteksi di-deploy secara regional dan menerima traffic DNS dari region yang sama. Misalnya, traffic DNS dari klien di us-central1
diteruskan ke mesin deteksi yang di-deploy di us-central1.
Konfigurasi deteksi dikonfigurasi secara global. Konfigurasi detektor ancaman DNS Anda sama, terlepas dari region lokal tempat ancaman dianalisis.
Performa dan skala
Saat mendeteksi ancaman pemindahan data yang tidak sah melalui tunneling DNS, beberapa kueri DNS akan menghasilkan satu atau beberapa peristiwa ancaman.
Dampak terhadap penagihan
Anda akan ditagih berdasarkan jumlah kueri DNS yang terikat ke internet yang dihasilkan oleh workload Anda. Hal ini tidak mencakup:
- Kueri VPC internal (misalnya, nama host internal)
- Kueri diteruskan ke resolver lokal atau VPC lain
- Kueri antara VPC yang di-peering
- Zona DNS internal Compute Engine
Untuk memperkirakan jumlah kueri DNS yang terikat ke internet, gunakan metrik Cloud Monitoring.
Secara khusus, metrik dan filter dns.googleapis.com/query/response_count
ke target_type=external.
DNS Armor juga memengaruhi tagihan Cloud Logging Anda, karena temuan ancaman ditulis ke akun Cloud Logging project Anda. Untuk mengetahui informasi selengkapnya, lihat Harga Google Cloud Observability: Cloud Logging.
Untuk mengetahui informasi selengkapnya tentang dampak DNS Armor terhadap penagihan Anda, lihat Harga Cloud DNS.
Opsi keamanan lainnya
Selain DNS Armor, opsi keamanan lain yang tersedia mencakup Google Security Operations dan Security Command Center. Kedua layanan harus dikonfigurasi secara manual di project Anda.
Google Security Operations adalah layanan yang menormalisasi, mengindeks, menghubungkan, dan menganalisis data telemetri keamanan dan jaringan. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Google SecOps.
Security Command Center menyediakan layanan pelaporan kerentanan dan ancaman terpusat. Layanan ini mengevaluasi permukaan serangan keamanan dan data Anda, mengidentifikasi kerentanan, dan membantu Anda memitigasi risiko. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Security Command Center.