DNS Armor 採用 Infoblox 技術,是一項全代管服務,可對 Google Cloud 工作負載提供 DNS 層級安全防護。這項服務的進階威脅偵測工具可在攻擊鏈的最早階段 (DNS 查詢),偵測惡意活動,且不會增加作業複雜度或效能負擔。
偵測到威脅後,就能透過 Cloud Logging 取得可做為行動依據的洞察資料,深入瞭解 DNS 威脅。
DNS Armor 的運作方式
在專案中啟用 DNS 威脅偵測工具後,DNS Armor 會將要傳至網際網路的 DNS 查詢記錄,妥當傳送至合作夥伴 Infoblox 提供的 Google Cloud分析引擎。這個引擎會結合威脅情報動態消息和 AI 輔助行為分析,找出威脅。每當系統偵測到惡意活動,便會產生 DNS Armor 威脅記錄,然後傳回專案中並寫入 Cloud Logging,供您查看及採取行動。
您可以透過 DNS Armor 的進階威脅偵測功能,偵測下列威脅:
- 透過 DNS 通道竊取資料:這類 DNS 查詢的結構經過設計,可秘密將資料從網路傳出,通常會繞過傳統防火牆。
- 惡意軟體指令與控制 (C2):遭入侵的工作負載嘗試透過 DNS 通訊,與攻擊者的伺服器聯絡以取得指令。
- 網域產生演算法 (DGA):對機器隨機產生的網域發出 DNS 查詢,這些網域是由惡意軟體建立,用於尋找及連線至惡意中繼站。
- 快速通量:對網域發出 DNS 查詢,快速變更相關聯的 IP 位址,這項技術會使惡意基礎架構更難以追蹤和封鎖。
- 零時差 DNS:攻擊者會對新註冊的網域發出 DNS 查詢,趁網域的優良記錄尚未受到影響之前,進行惡意活動。
- 散布惡意軟體:對惡意及高風險網域發出 DNS 查詢,這些網域由威脅發動者擁有,已知會代管或散布惡意軟體,或未來可能代管或散布惡意軟體。
- 相似網域:對已知惡意網域發出 DNS 查詢,這些網域的名稱會刻意拼錯或採特定格式,看似與正當且可信賴的品牌相似。
- 漏洞攻擊工具套件:對網站發出 DNS 查詢,這些網站會試圖自動利用雲端工作負載中的安全漏洞,安裝惡意軟體。
- 進階持續性威脅 (APT):對與長期鎖定攻擊活動相關聯的網域發出 DNS 查詢,通常是由經驗豐富的團體發動,目的是從事間諜活動或資料竊取。
進階威脅偵測工具是專案層級的全球設定服務,但在每個區域中獨立運作。您可以為專案中的所有虛擬私有雲網路啟用這項功能,並排除特定網路。
為符合資料落地規定,系統會在發出查詢的 Google Cloud 區域中,分析 DNS 記錄來偵測威脅。
效能與規模
在個別 Google Cloud 區域,DNS Armor 最多每秒可為每位客戶處理 50,000 筆查詢記錄。
偵測到使用 DNS 通道的資料竊取威脅時,多個 DNS 查詢會產生一或多個威脅事件。
如果 Google Cloud 區域的查詢量過高,在預覽期間執行威脅偵測前,系統可能會捨棄部分查詢。
對計費方式的影響
如要進一步瞭解 DNS Armor 對計費方式的影響,請參閱「Cloud DNS 定價」。
此外,系統會將威脅發現項目寫入專案的 Cloud Logging 帳戶,因此 DNS Armor 也會影響 Cloud Logging 費用。詳情請參閱「Google Cloud Observability 定價:Cloud Logging」。