Detecção avançada de ameaças com o DNS Armor

O DNS Armor, com tecnologia do Infoblox, é um serviço totalmente gerenciado que oferece segurança na camada de DNS para suas Google Cloud cargas de trabalho sem exigir mais instalação de software. O detector de ameaças avançado foi projetado para detectar atividades maliciosas no ponto mais inicial da cadeia de ataques (a consulta DNS) sem adicionar complexidade operacional ou sobrecarga de desempenho. A verificação de ameaças é compatível com instâncias do Compute Engine e do GKE.

O DNS Armor permite o processamento e a análise de consultas DNS diretamente na sua infraestrutura em nuvem. Isso elimina a necessidade de redirecionar o tráfego sensível para um proxy de terceiros.

Depois que uma ameaça é detectada, você pode receber insights acionáveis sobre ameaças de DNS pelo Cloud Logging.

Como o DNS Armor funciona

Quando você ativa um detector de ameaças de DNS para um projeto, o DNS Armor envia com segurança os registros de consulta DNS vinculados à Internet para a implantação dedicada do mecanismo de ameaças do Infoblox Google Cloud. Esse mecanismo usa uma combinação de feeds de inteligência contra ameaças e análise comportamental baseada em IA para identificar ameaças.

Qualquer atividade suspeita ou maliciosa detectada gera automaticamente um registro de ameaça do DNS Armor, que é enviado de volta ao seu projeto e gravado no Cloud Logging para que você possa visualizar e agir.

Com a detecção avançada de ameaças do DNS Armor, você pode detectar ameaças, como as seguintes:

  • Tunneling de DNS para exfiltração de dados: consultas DNS estruturadas para transportar dados secretamente para fora da rede, geralmente ignorando firewalls tradicionais.
  • Comando e controle (C2) de malware: comunicação DNS de uma carga de trabalho comprometida que está tentando entrar em contato com o servidor de um invasor para receber instruções.
  • Algoritmos de geração de domínio (DGA): consultas DNS para domínios gerados por máquina com aparência aleatória que o malware cria para encontrar e se conectar aos servidores de comando e controle.
  • Fast Flux: consultas DNS para domínios que mudam rapidamente os endereços IP associados, uma técnica usada para dificultar o rastreamento e o bloqueio da infraestrutura maliciosa.
  • DNS de dia zero: consultas DNS para domínios recém-registrados que os invasores usam para atividades maliciosas antes que esses domínios desenvolvam uma reputação ruim conhecida.
  • Distribuição de malware: consultas DNS para domínios maliciosos e de alto risco, de propriedade de agentes de ameaças, que são conhecidos por hospedar ou distribuir malware ou que podem hospedar ou distribuir malware no futuro.
  • Domínios semelhantes: consultas DNS para domínios já conhecidos como maliciosos que são intencionalmente escritos ou formatados incorretamente para parecer marcas legítimas e confiáveis.
  • Kits de exploração: consultas DNS para sites que tentam explorar automaticamente vulnerabilidades em cargas de trabalho na nuvem para instalar malware.
  • Ameaças persistentes avançadas (APT): consultas DNS para domínios associados a campanhas de ataques direcionadas e de longo prazo, geralmente conduzidas por grupos sofisticados para espionagem ou roubo de dados.

Operação do detector de ameaças

O detector de ameaças avançado é um serviço configurado globalmente disponível no nível do projeto, mas opera de forma independente em cada região. Consulte os locais do DNS Armor para conferir a lista de regiões compatíveis. No entanto, a configuração do detector de ameaças de DNS é idêntica, independentemente da região local em que as ameaças são analisadas. Ele pode ser ativado para todas as redes VPC em um projeto com a capacidade de excluir até 100 redes específicas.

Os mecanismos de detecção são implantados regionalmente e recebem tráfego DNS da mesma região. Por exemplo, o tráfego DNS de um cliente em us-central1 é encaminhado para um mecanismo de detecção implantado em us-central1.

Um único nome de domínio pode corresponder a várias categorias de ameaças. Nesse caso, você verá vários eventos de ameaça para a mesma consulta DNS.

O DNS Armor é independente da resolução de consultas. A análise de ameaças é realizada de forma assíncrona após a resolução da consulta, o que não adiciona latência extra ao caminho de resolução de DNS real na carga de trabalho. Ativar ou desativar os registros de fluxo de VPC padrão ou os registros de consulta DNS também não afeta a operação do DNS Armor.

Verificação de ameaças para cadeias CNAME

A verificação de ameaças para cadeias CNAME de DNS também está disponível com o DNS Armor. A consulta estará no escopo se o primeiro nome na resolução da consulta for um registro CNAME público.

Se um domínio em uma cadeia CNAME acionar uma descoberta de ameaça, uma única entrada de registro de ameaça será gerada para a consulta. O campo dnsQuery.queryName contém o domínio inicial consultado pela carga de trabalho, e o campo threatInfo.threatIndicator contém o domínio específico na cadeia que acionou a detecção.

Exclusões do detector de ameaças

Os itens a seguir são excluídos da inspeção do DNS Armor:

  • Exclusão de VPC: a rede VPC está na lista de exclusão do DNS Armor.
  • Cargas de trabalho e configurações não compatíveis:
    • Sem servidor: os ambientes padrão do Cloud Run, do Cloud Run functions e do App Engine não são compatíveis.
    • Ignorando o resolvedor do Cloud DNS: consultas de cargas de trabalho configuradas para ignorar o Cloud DNS (169.254.169.254) e enviar consultas diretamente para outro servidor ou serviço DNS, como 8.8.8.8, não são compatíveis.
    • Projetos de hub e spoke baseados em DNS: se as redes VPC spoke estiverem associadas a zonas de peering de DNS (como uma zona raiz .) para encaminhar todas as consultas, incluindo as vinculadas à Internet, para uma rede VPC de hub central, essas consultas não serão inspecionadas. Isso ocorre porque as consultas correspondem a uma zona de peering na origem e são tratadas como tráfego interno no hub e no spoke VPC.
  • Resolução de caminho não vinculado à Internet:
    • Resolução de VPC interna:
      • DNS interno do Compute Engine: consultas para nomes DNS internos padrão
      • Zonas particulares do Cloud DNS: consultas para registros em zonas gerenciadas particulares do Cloud DNS, que incluem zonas integradas ao Service Directory.
    • Ambientes híbridos: tráfego DNS entre uma rede VPC e redes particulares conectadas ao Cloud VPN ou ao Cloud Interconnect usando políticas de servidor ou zonas de encaminhamento do Cloud DNS:
      • Consultas de saída ou de entrada da VPC para e de ambientes híbridos.

Exclusões de consultas

Os domínios de nível superior (TLDs, na sigla em inglês) .internal e RFC 2606 reservados são descartados nativamente pelo Cloud DNS e não geram cobranças. Isso inclui .test, .example, .invalid e .localhost.

Limitações

O DNS Armor tem os seguintes limites.

  • Resolução de DNS particular: o DNS Armor inspeciona apenas o tráfego DNS vinculado à Internet.

  • Cargas de trabalho sem servidor (Cloud Run): o DNS Armor não inspeciona consultas DNS de cargas de trabalho sem servidor.

  • Encaminhamento de entrada: o DNS Armor não inspeciona consultas enviadas aos endpoints de encaminhamento de entrada do Cloud DNS.

  • Zonas de peering de DNS: o DNS Armor não inspeciona consultas (mesmo as vinculadas à Internet) que atravessam conexões de peering de DNS.

  • Secure Web Proxy: o DNS Armor não inspeciona consultas DNS feitas pelo Secure Web Proxy.

Impacto no faturamento

Você recebe cobranças com base em quantas consultas DNS vinculadas à Internet suas cargas de trabalho produzem e têm análise de ameaças realizada nelas. Para conferir uma lista de exclusões, consulte Exclusões do detector de ameaças.

O DNS Armor também afeta sua fatura do Cloud Logging, já que as descobertas de ameaças são gravadas na conta do Cloud Logging do seu projeto. Para mais informações, consulte Preços do Google Cloud Observability: Cloud Logging.

Para mais informações sobre como estimar o volume de consultas e a otimização de custos do DNS Armor, consulte Estimativa e otimização de custos do DNS Armor.

Para mais informações sobre os preços gerais do Cloud DNS, consulte Preços do Cloud DNS.

Outras opções de segurança

Além do DNS Armor, outra opção de segurança disponível é o Google Security Operations. Esse serviço precisa ser configurado manualmente no seu projeto.

O Google Security Operations é um serviço que normaliza, indexa, correlaciona e analisa dados de telemetria de segurança e de rede. Para mais informações, consulte a documentação do Google SecOps.

A seguir