Infoblox Google Cloud 高度な脅威検出機能は、運用上の複雑さやパフォーマンスのオーバーヘッドを増やすことなく、攻撃チェーンの最も早い段階である DNS クエリで悪意のあるアクティビティを検出するように設計されています。 脅威チェックは、Compute Engine インスタンスと GKE インスタンスでサポートされています。
DNS Armor を使用すると、既存のクラウド インフラストラクチャ内で DNS クエリを直接処理して分析できます。これにより、機密性の高いトラフィックをサードパーティ プロキシにリダイレクトする必要がなくなります。
脅威が検出された場合は、Cloud Logging から DNS 脅威に関する実用的な分析情報を取得できます。
DNS Armor では、DNS CNAME チェーンの脅威チェックも利用できます。
DNS Armor の仕組み
プロジェクトで DNS 脅威検出機能を有効にすると、DNS Armor はインターネット宛ての DNS クエリログをパートナーの Infoblox が提供する Google Cloudベースの分析エンジンに安全に送信します。このエンジンは、脅威インテリジェンス フィードと AI ベースの振る舞い分析を組み合わせて脅威を特定します。検出された悪意のあるアクティビティは DNS Armor 脅威ログを生成します。そのログがプロジェクトに返され、Cloud Logging に書き込まれます。これにより、ユーザーはログを表示して脅威に対処することができます。
DNS Armor の高度な脅威検出では、次のような脅威を検出できます。
- データの引き出しのための DNS トンネリング: ネットワークからデータを密かに引き出すように構造化された DNS クエリ。多くの場合、従来のファイアウォールをバイパスします。
- マルウェアのコマンド&コントロール(C2): 指示を得るために攻撃者のサーバーに接続しようとしている、侵害されたワークロードからの DNS 通信。
- ドメイン生成アルゴリズム(DGA): マルウェアがコマンド&コントロール サーバーを見つけて接続するためにマシン上でランダムに生成したドメインへの DNS クエリ。
- Fast Flux: 関連付けられた IP アドレスを急速に変更するドメインへの DNS クエリ。悪意のあるインフラストラクチャの追跡とブロックを困難にするために使用される手法。
- ゼロデイ DNS: 攻撃者が悪意のある行為に使用する、新しく登録されたドメインへの DNS クエリ。この攻撃は、ドメインの悪評が広まる前に実行されます。
- マルウェアの配布: 脅威アクターが所有する悪意のある高リスクドメインへの DNS クエリ。これらのドメインは、マルウェアをホストまたは配布することが知られているか、将来的にマルウェアをホストまたは配布する可能性があります。
- 類似ドメイン: 悪意のあるドメインとしてすでに知られているドメインへの DNS クエリ。意図的にスペルミスや形式が変更され、信頼できる正当なブランドのように見えるように細工されています。
- エクスプロイト キット: クラウド ワークロードの脆弱性を自動的に悪用してマルウェアをインストールしようとするウェブサイトへの DNS クエリ。
- 高度で持続的な脅威(APT): 標的型攻撃の長期的なキャンペーンに関連付けられたドメインへの DNS クエリ。多くの場合、スパイ行為やデータ窃盗を目的とした、洗練されたグループによって実行されます。
高度な脅威検出機能は、 プロジェクト レベルで使用可能なグローバルに構成されたサービスですが、各リージョンで個別に動作します(サポートされているリージョンのリストについては、 DNS Armor のロケーションをご覧ください)。プロジェクト内のすべての VPC ネットワークで有効にできますが、最大 100 個の特定のネットワークを除外することもできます。
検出エンジンはリージョンにデプロイされ、同じリージョンから DNS トラフィックを受信します。たとえば、us-central1
のクライアントからの DNS トラフィックは、us-central1 にデプロイされた検出エンジンに転送されます。
検出構成はグローバルに構成されます。脅威が分析されるローカル リージョンに関係なく、DNS 脅威検出機能の構成は同じです。
パフォーマンスとスケール
DNS トンネリングを使用するデータの引き出しの脅威を検出すると、複数の DNS クエリによって 1 つまたは少数の脅威イベントが生成されます。
請求への影響
ワークロードが生成するインターネット宛ての DNS クエリの数に基づいて課金されます。以下は除外されます。
- 内部 VPC クエリ(内部ホスト名など)
- オンプレミス リゾルバまたは他の VPC に転送されたクエリ
- ピアリングされた VPC 間のクエリ
- Compute Engine 内部 DNS ゾーン
インターネット宛ての DNS クエリの数を推定するには、Cloud Monitoring の指標を使用します。
具体的には、dns.googleapis.com/query/response_count
指標を使用して、target_type=external でフィルタします。
DNS Armor は、脅威の検出結果がプロジェクトの Cloud Logging アカウントに書き込まれるため、Cloud Logging の請求にも影響します。詳細については、 Google Cloud Observability の料金: Cloud Logging をご覧ください。
DNS Armor が請求に与える影響については、 Cloud DNS の料金をご覧ください。
その他のセキュリティ オプション
DNS Armor に加えて、利用可能なその他のセキュリティ オプションには、Google Security Operations と Security Command Center があります。どちらのサービスも、プロジェクトで手動で構成する必要があります。
Google Security Operations は、セキュリティ データとネットワーク テレメトリー データを正規化、インデックス付け、相互関連付け、分析するサービスです。詳細については、Google SecOps のドキュメントをご覧ください。
Security Command Center は、脆弱性と脅威の報告を一元的に行うサービスです。セキュリティとデータの攻撃対象領域を評価し、脆弱性を特定して、リスクを軽減するのに役立ちます。詳細については、 Security Command Center のドキュメントをご覧ください。