DNS Armor, שמבוסס על Infoblox, הוא שירות מנוהל מלא שמספק אבטחה ברמת ה-DNS לעומסי העבודה שלכם ב- Google Cloud . הכלי המתקדם לזיהוי איומים נועד לזהות פעילות זדונית בשלב הכי מוקדם בשרשרת התקיפה – שאילתת ה-DNS – בלי להוסיף מורכבות תפעולית או תקורה של ביצועים. בדיקת איומים נתמכת במכונות של Compute Engine ובמכונות של GKE.
DNS Armor מאפשר לעבד ולנתח שאילתות DNS ישירות בתשתית הענן הקיימת. כך לא צריך להפנות תנועת נתונים רגישה לשרת proxy של צד שלישי.
אחרי זיהוי איום, אפשר לקבל תובנות פרקטיות לגבי איומי DNS באמצעות Cloud Logging.
ב-DNS Armor יש גם אפשרות לבדוק שרשראות של DNS CNAME לאיומים.
איך DNS Armor פועל
כשמפעילים גלאי איומים ב-DNS עבור פרויקט, DNS Armor שולח בצורה מאובטחת את יומני השאילתות ב-DNS שמופנות לאינטרנט למנוע הניתוח שמבוסס על Google Cloudומופעל על ידי השותף שלנו, Infoblox. המנוע הזה משתמש בשילוב של פידים של מודיעין איומי סייבר וניתוח התנהגותי מבוסס-AI כדי לזהות איומים. כל פעילות זדונית שמזוהה יוצרת יומן איומים של DNS Armor, שנשלח בחזרה לפרויקט שלכם ונכתב ב-Cloud Logging כדי שתוכלו לצפות בו ולפעול בהתאם.
באמצעות זיהוי האיומים המתקדם של DNS Armor, אתם יכולים לזהות איומים כמו:
- מנהור DNS לזליגת נתונים: שאילתות DNS שמובנות כך שיעבירו נתונים מהרשת שלכם באופן סמוי, ולעתים קרובות יעקפו חומות אש מסורתיות.
- שליטה ובקרה (C2) של תוכנות זדוניות: תקשורת DNS מנפח עבודה שנפרץ ומנסה ליצור קשר עם השרת של התוקף כדי לקבל הוראות.
- אלגוריתמים ליצירת דומיינים (DGA): שאילתות DNS לדומיינים שנראים אקראיים, שנוצרו על ידי מכונה, שתוכנות זדוניות יוצרות כדי למצוא את שרתי הפיקוד והבקרה שלהן ולהתחבר אליהם.
- Fast Flux: שאילתות DNS לדומיינים שמשנים במהירות את כתובות ה-IP המשויכות שלהם. זו טכניקה שמשמשת כדי להקשות על מעקב אחר תשתית זדונית וחסימתה.
- DNS של יום אפס: שאילתות DNS לדומיינים חדשים שרשומים, שגורמים לתוקפים להשתמש בהם לפעילויות זדוניות לפני שהדומיינים האלה מפתחים מוניטין רע ידוע.
- הפצת תוכנות זדוניות: שאילתות DNS לדומיינים זדוניים ובעלי סיכון גבוה, שנמצאים בבעלות של גורמים שיוצרים איומים, שידוע שמארחים או מפיצים תוכנות זדוניות, או שיכולים לארח או להפיץ תוכנות זדוניות בעתיד.
- דומיינים דומים: שאילתות DNS לדומיינים שכבר ידועים כזדוניים, שנעשה בהם איות שגוי או שהם מעוצבים כך שייראו כמו מותגים לגיטימיים ומהימנים.
- ערכות ניצול (Exploit Kits): שאילתות DNS לאתרים שמנסים לנצל באופן אוטומטי פגיעויות בעומסי עבודה בענן כדי להתקין תוכנות זדוניות.
- איומים מתמשכים מתקדמים (APT): שאילתות DNS לדומיינים שמשויכים לקמפיינים ממוקדים של מתקפות לטווח ארוך, שלרוב מבוצעים על ידי קבוצות מתוחכמות למטרות ריגול או גניבת נתונים.
השירות לזיהוי איומים מתקדמים הוא שירות שמוגדר ברמה הגלובלית וזמין ברמת הפרויקט, אבל הוא פועל באופן עצמאי בכל אזור (רשימת האזורים הנתמכים מופיעה במאמר בנושא מיקומים של DNS Armor). אפשר להפעיל את ההגדרה הזו לכל רשתות ה-VPC בפרויקט, ויש אפשרות להחריג עד 100 רשתות ספציפיות.
מנועי הזיהוי נפרסים באופן אזורי ומקבלים תנועת DNS מאותו אזור. לדוגמה, תנועת DNS מלקוח ב-us-central1 מועברת למנוע זיהוי שפרוס ב-us-central1.
הגדרות הזיהוי נקבעות באופן גלובלי. ההגדרה של הכלי לזיהוי איומים ב-DNS זהה לא משנה באיזה אזור מקומי מתבצע ניתוח האיומים.
ביצועים וקנה מידה
כשמזהים איומים של גניבת נתונים שמשתמשים במנהור DNS, כמה שאילתות DNS יוצרות אירוע איום אחד או כמה אירועי איום.
השפעה על החיוב
החיוב יתבסס על מספר שאילתות ה-DNS שמופנות לאינטרנט שנוצרות בעומסי העבודה שלכם. האפשרות הזו לא כוללת:
- שאילתות פנימיות ב-VPC (למשל, שמות מארחים פנימיים)
- שאילתות שמועברות לפתרון בעיות ברשת המקומית או ב-VPC אחרים
- שאילתות בין רשתות VPC שכנות (peering)
- אזורי DNS פנימיים ב-Compute Engine
כדי להעריך את מספר שאילתות ה-DNS שמופנות לאינטרנט, אפשר להשתמש במדדים של Cloud Monitoring.
באופן ספציפי, המדד dns.googleapis.com/query/response_count והמסנן target_type=external.
בנוסף, DNS Armor משפיע על החיוב ב-Cloud Logging, כי ממצאי האיומים נכתבים בחשבון Cloud Logging של הפרויקט. מידע נוסף מופיע במאמר בנושא תמחור של Google Cloud Observability: Cloud Logging.
מידע נוסף על ההשפעה של DNS Armor על החיוב זמין במאמר תמחור של Cloud DNS.
אפשרויות אבטחה אחרות
בנוסף ל-DNS Armor, יש אפשרויות אבטחה נוספות, כולל Google Security Operations ו-Security Command Center. צריך להגדיר את שני השירותים באופן ידני בפרויקט.
Google Security Operations הוא שירות שמבצע נרמול, הוספה לאינדקס, קישור וניתוח של נתוני טלמטריה של אבטחה ורשתות. מידע נוסף זמין במאמרי העזרה בנושא Google SecOps.
Security Command Center הוא שירות מרכזי לדיווח על נקודות חולשה ואיומים. הוא מעריך את האבטחה ואת שטח ההתקפה הפוטנציאלי על הנתונים, מזהה נקודות חולשה ועוזר לצמצם את הסיכונים. מידע נוסף זמין במאמרי העזרה בנושא Security Command Center.