DNS Armor, basato su Infoblox, è un servizio completamente gestito che fornisce sicurezza a livello di DNS per i tuoi carichi di lavoro Google Cloud . Il suo rilevatore delle minacce avanzato è progettato per rilevare attività dannose al punto iniziale della catena di attacco, ovvero la query DNS, senza aggiungere complessità operativa o overhead delle prestazioni.
Una volta rilevata una minaccia, puoi ottenere informazioni strategiche sulle minacce DNS tramite Cloud Logging.
Funzionamento di DNS Armor
Quando abiliti un rilevatore di minacce DNS per un progetto, DNS Armor invia in modo sicuro i log delle query DNS su internet al motore di analisi basato su Google Cloudfornito dal nostro partner Infoblox. Questo motore utilizza una combinazione di feed di intelligence sulle minacce e analisi comportamentale basata sull'AI per identificare le minacce. Qualsiasi attività dannosa rilevata genera un log delle minacce DNS Armor, che viene poi inviato al tuo progetto e scritto in Cloud Logging per consentirti di visualizzarlo e intervenire.
Con il rilevamento avanzato delle minacce di DNS Armor, puoi rilevare minacce come le seguenti:
- Tunneling DNS per l'esfiltrazione di dati: query DNS strutturate per trasportare segretamente i dati fuori dalla rete, spesso aggirando i firewall tradizionali.
- Malware di comando e controllo (C2): comunicazione DNS da un workload compromesso che tenta di contattare il server di un malintenzionato per ricevere istruzioni.
- Algoritmi di generazione di domini (DGA): query DNS a domini dall'aspetto casuale generati automaticamente da malware per trovare e connettersi ai relativi server di comando e controllo.
- Fast Flux: query DNS ai domini che cambiano rapidamente gli indirizzi IP associati, una tecnica utilizzata per rendere più difficile tracciare e bloccare l'infrastruttura dannosa.
- DNS zero-day: query DNS rivolte a domini appena registrati che i malintenzionati utilizzano per attività dannose prima che questi domini sviluppino una reputazione negativa nota.
- Distribuzione di malware: query DNS a domini dannosi e ad alto rischio, di proprietà dei soggetti malintenzionati, noti per ospitare o distribuire malware o che potrebbero ospitare o distribuire malware in futuro.
- Domini simili: query DNS a domini già noti come dannosi che sono intenzionalmente scritti in modo errato o formattati per apparire come brand legittimi e attendibili.
- Kit di exploit: query DNS a siti web che tentano di sfruttare automaticamente le vulnerabilità nei workload cloud per installare malware.
- Minacce persistenti avanzate (APT): query DNS a domini associati a campagne di attacco mirate e a lungo termine, spesso condotte da gruppi sofisticati per spionaggio o furto di dati.
Il rilevatore di minacce avanzate è un servizio configurato a livello globale disponibile a livello di progetto, ma opera in modo indipendente in ogni regione. Può essere abilitato per tutte le reti VPC in un progetto con la possibilità di escludere reti specifiche.
Per supportare i requisiti di residenza dei dati, l'analisi dei log DNS per il rilevamento delle minacce viene eseguita nella stessa regione Google Cloud da cui ha avuto origine la query.
Prestazioni e scalabilità
DNS Armor elabora un picco di 50.000 log delle query al secondo per cliente per regione Google Cloud .
Quando vengono rilevate minacce di esfiltrazione di dati che utilizzano il tunneling DNS, più query DNS generano uno o più eventi di minaccia.
Se una regione Google Cloud registra un volume di query elevato, alcune query potrebbero essere eliminate prima di eseguire il rilevamento delle minacce durante il periodo di anteprima.
Impatto sulla fatturazione
Per saperne di più sull'impatto di DNS Armor sulla fatturazione, consulta Prezzi di Cloud DNS.
DNS Armor influisce anche sulla fatturazione di Cloud Logging, in quanto i risultati delle minacce vengono scritti nell'account Cloud Logging del tuo progetto. Per saperne di più, consulta Prezzi di Google Cloud Observability: Cloud Logging.