Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Detección avanzada de amenazas con DNS Armor

DNS Armor, con tecnología de Infoblox, es un servicio completamente administrado que proporciona seguridad a nivel de DNS para tus Google Cloud cargas de trabajo. Su detector de amenazas avanzado está diseñado para localizar actividad maliciosa en el momento más temprano de la cadena de ataque (la consulta de DNS) sin agregar complejidad operativa ni sobrecarga de rendimiento. La verificación de amenazas es compatible con instancias de Compute Engine y GKE.

DNS Armor permite el procesamiento y el análisis de consultas de DNS directamente en tu infraestructura de nube existente. Esto elimina la necesidad de redireccionar el tráfico sensible a un proxy de terceros.

Después de detectar una amenaza, puedes obtener estadísticas prácticas sobre las amenazas de DNS a través de Cloud Logging.

La verificación de amenazas para cadenas CNAME de DNS también está disponible con DNS Armor.

Cómo funciona DNS Armor

Cuando habilitas un detector de amenazas de DNS para un proyecto, DNS Armor envía de forma segura tus registros de consultas de DNS vinculadas a Internet al motor de análisis basado en Google Cloud impulsado por nuestro socio, Infoblox. Este motor utiliza una combinación de feeds de inteligencia sobre amenazas y análisis de comportamiento basados en IA para identificar amenazas. Cualquier actividad maliciosa detectada genera un registro de amenazas de DNS Armor, que luego se envía a tu proyecto y se escribe en Cloud Logging para que lo veas y tomes medidas al respecto.

Con la detección de amenazas avanzada de DNS Armor, puedes detectar amenazas como las siguientes:

Tunelización de DNS para el robo de datos: consultas de DNS estructuradas para transportar datos de forma secreta fuera de tu red, a menudo, eludiendo los firewalls tradicionales
Comando y control (C2) de malware: comunicación de DNS desde una carga de trabajo vulnerada que intenta comunicarse con el servidor de un atacante para recibir instrucciones
Algoritmos de generación de dominios (DGA): consultas de DNS a dominios de aspecto aleatorio generados por máquinas que el malware crea para encontrar y conectarse con sus servidores de comando y control
Fast Flux: consultas de DNS a dominios que cambian con rapidez sus direcciones IP asociadas, una técnica que se usa para dificultar el seguimiento y el bloqueo de la infraestructura maliciosa
DNS de día cero: consultas de DNS a dominios recién registrados que los atacantes usan para actividades maliciosas antes de que esos dominios desarrollen una reputación negativa popular
Distribución de malware: consultas de DNS a dominios maliciosos y de alto riesgo, propios de los actores de amenazas, que se sabe que alojan o distribuyen malware, o que lo podrían hacer en el futuro
Dominios similares: consultas de DNS a dominios que ya se sabe que son maliciosos y que se escriben o formatean de forma incorrecta a propósito para que parezcan marcas legítimas y confiables
Kits de exploits: consultas de DNS a sitios web que intentan aprovechar de forma automática las vulnerabilidades en las cargas de trabajo de la nube para instalar malware
Amenazas persistentes avanzadas (APT): consultas de DNS a dominios asociados con campañas de ataque a largo plazo orientados, a menudo, llevados a cabo por grupos sofisticados para espionaje o robo de datos

El detector de amenazas avanzado es un servicio configurado de forma global y está disponible a nivel del proyecto, pero funciona independientemente en cada región (consulta Ubicaciones de DNS Armor para obtener la lista de regiones admitidas). Se puede habilitar para todas las redes de VPC de un proyecto con la capacidad de excluir hasta 100 redes específicas.

Los motores de detección se implementan de forma regional y reciben tráfico de DNS de la misma región. Por ejemplo, el tráfico de DNS de un cliente en us-central1 se reenvía a un motor de detección implementado en us-central1.

Las configuraciones de detección se configuran de forma global. La configuración del detector de amenazas de DNS es idéntica, independientemente de la región local en la que se analicen las amenazas.

Rendimiento y escalamiento

Cuando se detectan amenazas de robo de datos que usan la tunelización de DNS, varias consultas de DNS generan uno o algunos eventos de amenaza.

Impacto en la facturación

Se te cobrará en función de la cantidad de consultas de DNS vinculadas a Internet que produzcan tus cargas de trabajo. Esto excluye lo siguiente:

Consultas internas de VPC (p.ej., nombres de host internos)
Consultas reenviadas a solucionadores locales o a otras VPC
Consultas entre VPC con intercambio de tráfico
Zonas de DNS internas de Compute Engine

Para estimar la cantidad de consultas de DNS vinculadas a Internet, usa las métricas de Cloud Monitoring. En particular, la métrica dns.googleapis.com/query/response_count y el filtro a target_type=external.

DNS Armor también afecta tu factura de Cloud Logging, ya que los resultados de amenazas se escriben en la cuenta de Cloud Logging de tu proyecto. Para obtener más información, consulta Precios de Google Cloud Observability: Cloud Logging.

Para obtener más información sobre cómo DNS Armor puede afectar tu facturación, consulta Precios de Cloud DNS.

Otras opciones de seguridad

Además de DNS Armor, otras opciones de seguridad disponibles incluyen Google Security Operations y Security Command Center. Ambos servicios se deben configurar de forma manual en tu proyecto.

Google Security Operations es un servicio que normaliza, indexa, correlaciona y analiza datos de telemetría de seguridad y de red. Para obtener más información, consulta la documentación de Google SecOps.

Security Command Center proporciona un servicio centralizado de informes de vulnerabilidades y amenazas. Evalúa tu superficie de ataque de datos y seguridad, identifica vulnerabilidades y te ayuda a mitigar los riesgos. Para obtener más información, consulta la documentación de Security Command Center.