Detecção avançada de ameaças com o DNS Armor

O DNS Armor, com tecnologia Infoblox, é um serviço totalmente gerenciado que oferece segurança na camada de DNS para suas Google Cloud cargas de trabalho. O detector avançado de ameaças foi projetado para detectar atividades maliciosas no início da cadeia de ataque (a consulta de DNS) sem adicionar complexidade operacional ou sobrecarga de desempenho. A verificação de ameaças é compatível com instâncias do Compute Engine e do GKE.

O DNS Armor permite o processamento e a análise de consultas DNS diretamente na sua infraestrutura de nuvem atual. Isso elimina a necessidade de redirecionar tráfego sensível para um proxy de terceiros.

Depois que uma ameaça é detectada, você pode receber insights úteis sobre ameaças de DNS pelo Cloud Logging.

A verificação de ameaças para cadeias de CNAME do DNS também está disponível com o DNS Armor.

Como o DNS Armor funciona

Quando você ativa um detector de ameaças de DNS para um projeto, o DNS Armor envia com segurança os registros de consultas DNS vinculadas à Internet para o mecanismo de análise baseado em Google Clouddesenvolvido pela Infoblox, nossa parceira. Ele usa uma combinação de feeds de inteligência contra ameaças e análise comportamental baseada em IA para identificar ameaças. Qualquer atividade maliciosa detectada gera um registro de ameaça do DNS Armor, que é enviado de volta ao seu projeto e gravado no Cloud Logging para que você possa visualizar e tomar medidas.

Com a detecção avançada de ameaças do DNS Armor, é possível detectar ameaças como:

  • Tunelamento de DNS para exfiltração de dados: consultas DNS estruturadas para transportar dados secretamente para fora da rede, geralmente ignorando firewalls tradicionais.
  • Comando e controle (C2) de malware: comunicação DNS de uma carga de trabalho comprometida que está tentando entrar em contato com o servidor de um invasor para receber instruções.
  • Algoritmos de geração de domínio (DGA, na sigla em inglês): consultas DNS para domínios aleatórios gerados por máquinas que o malware cria para encontrar e se conectar aos servidores de comando e controle.
  • Fast Flux: consultas DNS para domínios que mudam rapidamente os endereços IP associados, uma técnica usada para dificultar o rastreamento e o bloqueio de infraestrutura maliciosa.
  • DNS de dia zero: consultas DNS para domínios recém-registrados que os invasores usam para atividades maliciosas antes que esses domínios desenvolvam uma reputação ruim conhecida.
  • Distribuição de malware: consultas de DNS para domínios maliciosos e de alto risco, de propriedade de atores de ameaças, que hospedam ou distribuem malware ou podem hospedar ou distribuir malware no futuro.
  • Domínios semelhantes: consultas de DNS para domínios já conhecidos como maliciosos que são intencionalmente escritos ou formatados de maneira incorreta para parecerem marcas legítimas e confiáveis.
  • Kits de exploits: consultas de DNS a sites que tentam explorar automaticamente vulnerabilidades em cargas de trabalho na nuvem para instalar malware.
  • Ameaças persistentes avançadas (APT): consultas DNS a domínios associados a campanhas de ataque direcionadas e de longo prazo, geralmente conduzidas por grupos sofisticados para espionagem ou roubo de dados.

O detector avançado de ameaças é um serviço configurado globalmente disponível no nível do projeto, mas opera de forma independente em cada região. Consulte Locais do DNS Armor para conferir a lista de regiões compatíveis. Ele pode ser ativado para todas as redes VPC em um projeto, com a capacidade de excluir até 100 redes específicas.

Os mecanismos de detecção são implantados regionalmente e recebem tráfego de DNS da mesma região. Por exemplo, o tráfego DNS de um cliente em us-central1 é encaminhado para um mecanismo de detecção implantado em us-central1.

As configurações de detecção são definidas globalmente. A configuração do detector de ameaças de DNS é idêntica, não importa em qual região local as ameaças são analisadas.

Performance e escala

Ao detectar ameaças de exfiltração de dados que usam o tunelamento de DNS, várias consultas de DNS geram um ou alguns eventos de ameaça.

Impacto no faturamento

A cobrança é feita com base em quantas consultas DNS enviadas à Internet suas cargas de trabalho produzem. Isso exclui:

  • Consultas internas de VPC (por exemplo, nomes de host internos)
  • Consultas para APIs e serviços do Google (por exemplo, private.googleapis.com)
  • Consultas encaminhadas para resoluções locais ou outras VPCs
  • Consultas entre VPCs com peering

Para estimar o número de consultas DNS vinculadas à Internet, use as métricas do Cloud Monitoring. Especificamente, a métrica e o filtro dns.googleapis.com/query/response_count para target_type=external.

O DNS Armor também afeta sua fatura do Cloud Logging, já que as descobertas de ameaças são gravadas na conta do Cloud Logging do seu projeto. Para mais informações, consulte Preços do Google Cloud Observability: Cloud Logging.

Para mais informações sobre como o DNS Armor pode afetar seu faturamento, consulte Preços do Cloud DNS.

Outras opções de segurança

Além do DNS Armor, outras opções de segurança disponíveis incluem o Google Security Operations e o Security Command Center. Os dois serviços precisam ser configurados manualmente no projeto.

O Google Security Operations é um serviço que normaliza, indexa, correlaciona e analisa dados de telemetria de segurança e rede. Para mais informações, consulte a documentação do Google SecOps.

O Security Command Center oferece um serviço centralizado de relatórios de vulnerabilidades e ameaças. Ele avalia sua segurança e superfície de ataque de dados, identifica vulnerabilidades e ajuda a mitigar riscos. Para mais informações, consulte a documentação do Security Command Center.

A seguir