Rilevamento avanzato delle minacce con DNS Armor

DNS Armor, basato su Infoblox, è un servizio completamente gestito che fornisce sicurezza a livello di DNS per i tuoi carichi di lavoro Google Cloud senza richiedere l'installazione di ulteriori software. Il suo rilevatore delle minacce avanzato è progettato per rilevare attività dannose al punto iniziale della catena di attacco, ovvero la query DNS, senza aggiungere complessità operativa o overhead delle prestazioni. Il controllo delle minacce è supportato per le istanze Compute Engine e GKE.

DNS Armor consente l'elaborazione e l'analisi delle query DNS direttamente all'interno dell'infrastruttura cloud esistente. In questo modo non è più necessario reindirizzare il traffico sensibile a un proxy di terze parti.

Una volta rilevata una minaccia, puoi ottenere informazioni strategiche sulle minacce DNS tramite Cloud Logging.

Funzionamento di DNS Armor

Quando abiliti un rilevatore di minacce DNS per un progetto, DNS Armor invia in modo sicuro i log delle query DNS su internet al deployment dedicato del motore di minacce Infoblox all'interno di Google Cloud. Questo motore utilizza una combinazione di feed di intelligence sulle minacce e analisi comportamentale basata sull'AI per identificare le minacce.

Qualsiasi attività sospetta o dannosa rilevata genererà automaticamente un log delle minacce DNS Armor, che verrà poi inviato al tuo progetto e scritto in Cloud Logging per consentirti di visualizzarlo e intervenire.

Con il rilevamento avanzato delle minacce di DNS Armor, puoi rilevare minacce come le seguenti:

  • Tunneling DNS per l'esfiltrazione di dati: query DNS strutturate per trasportare segretamente i dati fuori dalla rete, spesso aggirando i firewall tradizionali.
  • Malware di comando e controllo (C2): comunicazione DNS da un workload compromesso che tenta di contattare il server di un malintenzionato per ricevere istruzioni.
  • Algoritmi di generazione di domini (DGA): query DNS a domini dall'aspetto casuale generati automaticamente da malware per trovare e connettersi ai relativi server di comando e controllo.
  • Fast Flux: query DNS ai domini che cambiano rapidamente gli indirizzi IP associati, una tecnica utilizzata per rendere più difficile tracciare e bloccare l'infrastruttura dannosa.
  • DNS zero-day: query DNS rivolte a domini appena registrati che i malintenzionati utilizzano per attività dannose prima che questi domini sviluppino una reputazione negativa nota.
  • Distribuzione di malware: query DNS a domini dannosi e ad alto rischio, di proprietà dei soggetti malintenzionati, noti per ospitare o distribuire malware o che potrebbero ospitare o distribuire malware in futuro.
  • Domini simili: query DNS a domini già noti come dannosi che sono intenzionalmente scritti in modo errato o formattati per apparire come brand legittimi e attendibili.
  • Kit di exploit: query DNS a siti web che tentano di sfruttare automaticamente le vulnerabilità nei workload cloud per installare malware.
  • Minacce persistenti avanzate (APT): query DNS a domini associati a campagne di attacco mirate e a lungo termine, spesso condotte da gruppi sofisticati per spionaggio o furto di dati.

Funzionamento del rilevatore di minacce

Il rilevatore di minacce avanzate è un servizio configurato a livello globale disponibile a livello di progetto, ma opera in modo indipendente in ogni regione (consulta Località DNS Armor per l'elenco delle regioni supportate). Tuttavia, la configurazione del rilevatore di minacce DNS è identica indipendentemente dalla regione locale in cui vengono analizzate le minacce. Può essere abilitato per tutte le reti VPC in un progetto con la possibilità di escludere fino a 100 reti specifiche.

I motori di rilevamento vengono implementati a livello regionale e ricevono il traffico DNS dalla stessa regione. Ad esempio, il traffico DNS di un client in us-central1 viene inoltrato a un motore di rilevamento implementato in us-central1.

Un singolo nome di dominio può corrispondere a più categorie di minacce. In questo caso, vedrai più eventi di minaccia per la stessa query DNS.

DNS Armor è indipendente dalla risoluzione delle query. L'analisi delle minacce viene eseguita in modo asincrono dopo la risoluzione della query, il che non aggiunge ulteriore latenza al percorso di risoluzione DNS effettivo nel workload. L'attivazione o la disattivazione dei log di flusso VPC standard o dei log delle query DNS non influisce sul funzionamento di DNS Armor.

Controllo delle minacce per le catene CNAME

La verifica delle minacce per le catene CNAME DNS è disponibile anche con DNS Armor. La query rientrerà nell'ambito se il primo nome nella risoluzione della query è un record CNAME pubblico.

Se un dominio in una catena CNAME attiva un risultato di minaccia, viene generata una singola voce di log della minaccia per la query. Il campo dnsQuery.queryName contiene il dominio iniziale interrogato dal tuo carico di lavoro, mentre il campo threatInfo.threatIndicator contiene il dominio specifico nella catena che ha attivato il rilevamento.

Esclusioni del rilevatore minacce

Sono esclusi dall'ispezione di DNS Armor:

  • Esclusione VPC: la rete VPC si trova nell'elenco di esclusione di DNS Armor.
  • Carichi di lavoro e configurazioni non supportati:
    • Serverless: gli ambienti standard Cloud Run, Cloud Run Functions e App Engine non sono supportati.
    • Ignorare il resolver Cloud DNS: le query dei carichi di lavoro configurati per ignorare Cloud DNS (169.254.169.254) e inviare query direttamente a un altro server o servizio DNS, come 8.8.8.8, non sono supportate.
    • Progettazioni hub e spoke basate su DNS: se le reti VPC spoke sono associate a zone di peering DNS (ad esempio una zona . radice) per inoltrare tutte le query, incluse quelle destinate a internet, a una rete VPC hub centrale, queste query non vengono ispezionate. Questo perché le query corrispondono a una zona di peering nell'origine e vengono trattate come traffico interno sia nel VPC hub che in quello spoke.
  • Risoluzione del percorso non internet:
    • Risoluzione VPC interna:
      • DNS interno di Compute Engine: query per i nomi DNS interni predefiniti
      • Zone private Cloud DNS: query per i record all'interno delle zone private gestite di Cloud DNS, incluse le zone integrate con Service Directory.
    • Ambienti ibridi: traffico DNS tra una rete VPC e reti private connesse con Cloud VPN o Cloud Interconnect utilizzando le policy dei server Cloud DNS o le zone di forwarding:
      • Query in uscita o in entrata dal VPC verso e da ambienti ibridi.

Esclusioni delle query

I domini di primo livello (TLD) riservati .internal e RFC 2606 vengono eliminati in modo nativo da Cloud DNS e non comportano addebiti. Tra questi sono inclusi .test, .example, .invalid e .localhost.

Limitazioni

DNS Armor presenta i seguenti limiti.

  • Risoluzione DNS privato: DNS Armor ispeziona solo il traffico DNS destinato a internet.

  • Workload serverless (Cloud Run): DNS Armor non ispeziona le query DNS dai workload serverless.

  • Forwarding in entrata: DNS Armor non ispeziona le query inviate agli endpoint di forwarding in entrata di Cloud DNS.

  • Zone di peering DNS: DNS Armor non ispeziona le query (nemmeno quelle su internet) che attraversano le connessioni di peering DNS.

  • Secure Web Proxy: DNS Armor non ispeziona le query DNS effettuate da Secure Web Proxy.

Impatto sulla fatturazione

L'addebito si basa sul numero di query DNS su internet generate dai tuoi carichi di lavoro e su cui viene eseguita l'analisi delle minacce. Per un elenco delle esclusioni, consulta Esclusioni del rilevatore di minacce.

DNS Armor influisce anche sulla fatturazione di Cloud Logging, in quanto i risultati delle minacce vengono scritti nell'account Cloud Logging del tuo progetto. Per saperne di più, consulta Prezzi di Google Cloud Observability: Cloud Logging.

Per saperne di più sulla stima del volume di query e sull'ottimizzazione dei costi di DNS Armor, consulta Stima e ottimizzazione dei costi di DNS Armor.

Per saperne di più sui prezzi generali di Cloud DNS, consulta Prezzi di Cloud DNS.

Altre opzioni di sicurezza

Oltre a DNS Armor, un'altra opzione di sicurezza disponibile è Google Security Operations. Questo servizio deve essere configurato manualmente nel tuo progetto.

Google Security Operations è un servizio che normalizza, indicizza, correla e analizza i dati di telemetria di sicurezza e di rete. Per saperne di più, consulta la documentazione di Google SecOps.

Passaggi successivi