Infoblox を活用した DNS Armor は、 Google Cloud ワークロードに DNS レイヤのセキュリティを提供するフルマネージド サービスです。ソフトウェアの追加インストールは必要ありません。高度な脅威検出機能は、運用上の複雑さやパフォーマンスのオーバーヘッドを増やすことなく、攻撃チェーンの最も早い段階である DNS クエリで悪意のあるアクティビティを検出するように設計されています。脅威チェックは、Compute Engine インスタンスと GKE インスタンスでサポートされています。
DNS Armor を使用すると、既存のクラウド インフラストラクチャ内で DNS クエリを直接処理して分析できます。これにより、機密性の高いトラフィックをサードパーティ プロキシにリダイレクトする必要がなくなります。
脅威が検出された場合は、Cloud Logging から DNS 脅威に関する実用的な分析情報を取得できます。
DNS Armor の仕組み
プロジェクトで DNS 脅威検出機能を有効にすると、DNS Armor はインターネット宛ての DNS クエリログを Google Cloud内の Infoblox 脅威エンジンの専用デプロイに安全に送信します。このエンジンは、脅威インテリジェンス フィードと AI ベースの振る舞い分析を組み合わせて脅威を特定します。
検出された不審なアクティビティや悪意のあるアクティビティは、DNS Armor 脅威ログを自動的に生成します。そのログがプロジェクトに返され、Cloud Logging に書き込まれます。これにより、ユーザーはログを表示して脅威に対処することができます。
DNS Armor の高度な脅威検出では、次のような脅威を検出できます。
- データの引き出しのための DNS トンネリング: ネットワークからデータを密かに引き出すように構造化された DNS クエリ。多くの場合、従来のファイアウォールをバイパスします。
- マルウェアのコマンド&コントロール(C2): 指示を得るために攻撃者のサーバーに接続しようとしている、侵害されたワークロードからの DNS 通信。
- ドメイン生成アルゴリズム(DGA): マルウェアがコマンド&コントロール サーバーを見つけて接続するためにマシン上でランダムに生成したドメインへの DNS クエリ。
- Fast Flux: 関連付けられた IP アドレスを急速に変更するドメインへの DNS クエリ。悪意のあるインフラストラクチャの追跡とブロックを困難にするために使用される手法。
- ゼロデイ DNS: 攻撃者が悪意のある行為に使用する、新しく登録されたドメインへの DNS クエリ。この攻撃は、ドメインの悪評が広まる前に実行されます。
- マルウェアの配布: 脅威アクターが所有する悪意のある高リスクドメインへの DNS クエリ。これらのドメインは、マルウェアをホストまたは配布することが知られているか、将来的にマルウェアをホストまたは配布する可能性があります。
- 類似ドメイン: 悪意のあるドメインとしてすでに知られているドメインへの DNS クエリ。意図的にスペルミスや形式が変更され、信頼できる正当なブランドのように見えるように細工されています。
- エクスプロイト キット: クラウド ワークロードの脆弱性を自動的に悪用してマルウェアをインストールしようとするウェブサイトへの DNS クエリ。
- 高度で持続的な脅威(APT): 標的型攻撃の長期的なキャンペーンに関連付けられたドメインへの DNS クエリ。多くの場合、スパイ行為やデータ窃盗を目的とした、洗練されたグループによって実行されます。
脅威検出機能の動作
高度な脅威検出機能は、プロジェクト レベルで使用可能なグローバルに構成されたサービスですが、各リージョンで個別に動作します(サポートされているリージョンのリストについては、DNS Armor のロケーションをご覧ください)。ただし、脅威が分析されるローカル リージョンに関係なく、DNS 脅威検出機能の構成は同じです。プロジェクト内のすべての VPC ネットワークで有効にできますが、最大 100 個の特定のネットワークを除外することもできます。
検出エンジンはリージョンにデプロイされ、同じリージョンから DNS トラフィックを受信します。たとえば、us-central1 のクライアントからの DNS トラフィックは、us-central1 にデプロイされた検出エンジンに転送されます。
1 つのドメイン名が複数の脅威カテゴリに一致することがあります。この場合、同じ DNS クエリに対して複数の脅威イベントが表示されます。
DNS Armor はクエリ解決とは独立しています。脅威分析はクエリ解決後に非同期で実行されるため、ワークロードの実際の DNS 解決パスにレイテンシが追加されることはありません。標準の VPC Flow Logs または DNS クエリログを有効または無効にしても、DNS Armor の動作に影響はありません。
CNAME チェーンの脅威チェック
DNS Armor では、DNS CNAME チェーンの脅威チェックも利用できます。クエリ解決の最初の名前がパブリック CNAME レコードの場合、クエリはスコープ内になります。
CNAME チェーン内のドメインが脅威の検出結果をトリガーすると、クエリに対して 1 つの脅威ログエントリが生成されます。dnsQuery.queryName フィールドには、ワークロードによってクエリされた最初のドメインが含まれ、threatInfo.threatIndicator フィールドには、検出をトリガーしたチェーン内の特定のドメインが含まれます。
脅威検出機能の除外
以下は DNS Armor の検査から除外されます。
- VPC 除外: VPC ネットワークが DNS Armor 除外リストに含まれています。
- サポートされていないワークロードと構成:
- サーバーレス: Cloud Run、Cloud Run functions、App Engine スタンダード環境はサポートされていません。
- Cloud DNS リゾルバのバイパス: Cloud DNS(169.254.169.254)をバイパスして、別の DNS サーバーまたはサービス(
8.8.8.8など)にクエリを直接送信するように構成されたワークロードからのクエリはサポートされていません。 - DNS ベースのハブアンドスポーク設計: スポーク VPC ネットワークが DNS ピアリング ゾーン(ルート
.ゾーンなど)に関連付けられており、インターネット宛てのクエリを含むすべてのクエリを中央ハブ VPC ネットワークに転送する場合、これらのクエリは検査されません。これは、クエリが送信元のピアリング ゾーンと一致し、ハブとスポーク VPC の両方で内部トラフィックとして扱われるためです。
- インターネット以外のパスの解決:
- 内部 VPC 解決:
- Compute Engine の内部 DNS: デフォルトの内部 DNS 名のクエリ
- Cloud DNS プライベート ゾーン: Cloud DNS プライベート マネージド ゾーン内のレコードのクエリ。Service Directory と統合されたゾーンが含まれます。
- ハイブリッド環境: Cloud DNS サーバー ポリシーまたは転送ゾーンを使用して Cloud VPN または Cloud Interconnect で接続された VPC ネットワークとプライベート ネットワーク間の DNS トラフィック:
- VPC からハイブリッド環境への送信クエリまたは受信クエリ。
- 内部 VPC 解決:
クエリの除外
.internal と RFC 2606 で予約されているトップレベル ドメイン(TLD)は、Cloud DNS によってネイティブにドロップされ、料金は発生しません。これには、.test、.example、.invalid、.localhost が含まれます。
制限事項
DNS Armor には次の上限があります。
プライベート DNS 解決: DNS Armor は、インターネット宛ての DNS トラフィックのみを検査します。
サーバーレス ワークロード(Cloud Run): DNS Armor は、サーバーレス ワークロードからの DNS クエリを検査しません。
インバウンド転送: DNS Armor は、Cloud DNS インバウンド転送エンドポイントに送信されたクエリを検査しません。
DNS ピアリング ゾーン: DNS Armor は、DNS ピアリング接続を通過するクエリ(インターネット宛てのクエリを含む)を検査しません。
Secure Web Proxy: DNS Armor は、Secure Web Proxy によって行われた DNS クエリを検査しません。
請求への影響
料金は、ワークロードが生成し、脅威分析が実行されたインターネット宛ての DNS クエリの数に基づいて課金されます。除外の一覧については、脅威検出機能の除外をご覧ください。
DNS Armor は、脅威の検出結果がプロジェクトの Cloud Logging アカウントに書き込まれるため、Cloud Logging の請求にも影響します。詳細については、Google Cloud Observability の料金: Cloud Logging をご覧ください。
DNS Armor のクエリ量と費用最適化の見積もりについては、DNS Armor の費用見積もりと最適化をご覧ください。
Cloud DNS の一般的な料金の詳細については、Cloud DNS の料金をご覧ください。
その他のセキュリティ オプション
DNS Armor に加えて、Google Security Operations というセキュリティ オプションも利用できます。このサービスは、プロジェクトで手動で構成する必要があります。
Google Security Operations は、セキュリティとネットワークのテレメトリー データを正規化、インデックス付け、相互関連付け、分析するサービスです。詳細については、Google SecOps のドキュメントをご覧ください。