DNS Armor 由 Infoblox 提供支持,是一项全托管式服务,可为您的 Google Cloud 工作负载提供 DNS 层安全性,无需安装其他软件。其高级威胁检测器旨在在攻击链的最早阶段(即 DNS 查询)检测恶意活动,而不会增加运维复杂性或性能开销。Compute Engine 和 GKE 实例都支持威胁检查。
DNS Armor 允许直接在现有云基础架构中处理和分析 DNS 查询。这样便无需将敏感流量重定向到第三方代理。
检测到威胁后,您可以通过 Cloud Logging 获得有关 DNS 威胁的富有实用价值的分析洞见。
DNS Armor 的工作原理
为项目启用 DNS 威胁检测器后,DNS Armor 会安全地 将网络绑定 DNS 查询日志发送到 Infoblox 威胁引擎在 Google Cloud中的专用部署。此引擎结合使用威胁情报 Feed 和基于 AI 的行为分析来识别威胁。
系统会自动为检测到的任何可疑或恶意活动生成 DNS Armor 威胁日志,然后将该日志发送回您的项目并写入 Cloud Logging,供您查看和采取行动。
借助 DNS Armor 的高级威胁检测功能,您可以检测以下威胁:
- 用于数据渗漏的 DNS 隧道:精心设计的 DNS 查询,可 秘密将数据从您的网络中传出,通常会绕过传统 防火墙。
- 恶意软件命令和控制 (C2):遭入侵的工作负载尝试联系攻击者的服务器以获取指令时进行的 DNS 通信。
- 网域生成算法 (DGA):针对机器生成的随机网域的 DNS 查询,恶意软件会创建这些网域来查找并连接其命令和控制服务器。
- 快速通量:针对快速更改其关联 IP 地址的网域的 DNS 查询,此方法用于使恶意基础设施更难被跟踪和屏蔽。
- 零日漏洞 DNS:针对新注册网域的 DNS 查询,攻击者会在这些网域形成已知的不良声誉之前,利用这些网域进行恶意活动。
- 恶意软件分发:针对恶意、高风险网域的 DNS 查询,这些网域由威胁行为者拥有,已知会托管或分发恶意软件,或者未来可能会托管或分发恶意软件。
- 相似网域:对已知为恶意的网域的 DNS 查询,这些网域故意拼写错误或格式设置为看起来像合法的可信品牌。
- 漏洞利用套件:针对尝试自动利用云工作负载中的漏洞来安装恶意软件的网站的 DNS 查询。
- 高级持续性威胁 (APT):针对特定域名的 DNS 查询,这些域名通常与 复杂的攻击组织发起的长期定向攻击相关联,其目的往往是开展间谍活动或窃取数据。
威胁检测器运行
高级威胁检测器是一项全球配置的服务,可在 项目级层使用,但在每个区域中独立运行(如需查看 支持的区域列表,请参阅 DNS Armor 位置)。不过,无论在哪个本地区域分析威胁,DNS 威胁检测器配置都是相同的。您可以为项目中的所有 VPC 网络启用此服务,并能够排除最多 100 个特定网络。
检测引擎在区域级部署,并接收来自同一区域的 DNS 流量。例如,来自 us-central1 中客户端的 DNS 流量会转发到部署在 us-central1 中的检测引擎。
单个域名可以匹配多个威胁类别。在这种情况下,您会看到同一 DNS 查询的多个威胁事件。
DNS Armor 独立于查询解析。威胁分析在查询解析后异步执行,这不会为工作负载中的实际 DNS 解析路径增加额外的延迟时间。启用或停用标准 VPC 流日志或 DNS 查询日志也不会影响 DNS Armor 的运行。
CNAME 链的威胁检查
DNS Armor 还提供 DNS CNAME 链的威胁检查。如果查询解析中的第一个名称是公共 CNAME 记录,则该查询将属于检查范围。
如果 CNAME 链中的网域触发了威胁发现结果,系统会为该查询生成单个威胁日志条目。dnsQuery.queryName 字段包含工作负载查询的初始网域,而 threatInfo.threatIndicator 字段包含链中触发检测的特定网域。
威胁检测器排除项
以下各项不在 DNS Armor 检查范围内:
- VPC 排除项:VPC 网络位于 DNS Armor 排除列表中。
- 不受支持的工作负载和配置:
- 无服务器:不支持 Cloud Run、Cloud Run functions 和 App Engine 标准环境。
- 绕过 Cloud DNS 解析器:不支持来自配置为绕过 Cloud DNS (169.254.169.254) 并将查询
直接发送到其他 DNS 服务器或服务(例如
8.8.8.8)的工作负载 的查询。 - 基于 DNS 的中心辐射型设计:如果辐射 VPC 网络
与 DNS 对等互连区域(例如根
.区域)相关联,以将所有查询(包括网络绑定查询)转发到中心 VPC 网络,则系统不会检查这些查询。这是因为这些查询在来源处与对等互连区域匹配,并且在中心 VPC 和辐射 VPC 中都被视为内部流量。
- 非互联网路径解析:
- 内部 VPC 解析:
- Compute Engine 内部 DNS:查询默认 内部 DNS 名称
- Cloud DNS 专用区域:查询 Cloud DNS 专用托管区域中的记录,其中包括与 Service Directory集成的区域。
- 混合环境:使用 Cloud DNS 服务器政策或转发区域在 VPC 网络
与通过 Cloud VPN 或 Cloud Interconnect 连接的专用网络
之间的 DNS 流量:
- 从 VPC 到混合环境以及从混合环境到 VPC 的出站或入站查询。
- 内部 VPC 解析:
查询排除项
Cloud DNS 会原生舍弃 .internal 和 RFC 2606
保留的顶级网域 (TLD)
,并且不会产生费用。其中包括 .test、.example、.invalid 和 .localhost。
限制
DNS Armor 具有以下限制。
专用 DNS 解析:DNS Armor 仅检查 网络绑定 DNS 流量。
无服务器工作负载 (Cloud Run):DNS Armor 不检查来自无服务器工作负载的 DNS 查询。
入站转发:DNS Armor 不检查发送到 Cloud DNS 入站转发端点 的查询。
DNS 对等互连区域:DNS Armor 不检查 遍历 DNS 对等互连连接的查询(即使是网络绑定查询)。
安全 Web 代理:DNS Armor 不检查安全 Web 代理发出的 DNS 查询 。
结算影响
系统会根据您的工作负载生成的网络绑定 DNS 查询数量以及对这些查询执行的威胁分析来向您收费。如需查看排除项列表, 请参阅 威胁检测器排除项。
DNS Armor 还会影响您的 Cloud Logging 账单,因为威胁发现结果会写入您项目的 Cloud Logging 账号。如需了解详情, 请参阅 Google Cloud Observability 价格:Cloud Logging。
如需详细了解如何估算 DNS Armor 查询量和费用 优化,请参阅DNS Armor 费用估算和优化。
如需详细了解 Cloud DNS 的一般价格,请参阅 Cloud DNS 价格。
其他安全选项
除了 DNS Armor 之外,另一个可用的安全选项是 Google Security Operations。您必须在项目中手动配置此服务。
Google Security Operations 是一项服务,可对安全和网络遥测数据进行标准化、编入索引、关联和分析。如需了解更多 信息,请参阅 Google SecOps 文档。