DNS Armor 由 Infoblox 提供支持, 是一项全托管式服务,可为您的工作负载提供 DNS 层安全性 。 Google Cloud 其高级威胁检测器旨在在攻击链的最早阶段(即 DNS 查询)检测恶意活动,而不会增加运维复杂性或性能开销。 Compute Engine 和 GKE 实例都支持威胁检查。
DNS Armor 允许直接在现有云基础架构中处理和分析 DNS 查询。这样便无需将敏感流量重定向到第三方代理。
检测到威胁后,您可以通过 Cloud Logging 获得有关 DNS 威胁的富有实用价值的分析洞见。
DNS Armor 还提供 DNS CNAME 链的威胁检查。
DNS Armor 的工作原理
为项目启用 DNS 威胁检测器后,DNS Armor 会安全地将网络绑定 DNS 查询日志发送到由合作伙伴 Infoblox 提供支持的基于 Google Cloud的分析引擎。此引擎结合使用威胁情报 Feed 和基于 AI 的行为分析来识别威胁。 检测到的任何恶意活动都会生成 DNS Armor 威胁日志,然后该日志会发送回您的项目并写入 Cloud Logging,供您查看和采取行动。
借助 DNS Armor 的高级威胁检测功能,您可以检测以下威胁:
- 用于数据渗漏的 DNS 隧道:精心设计的 DNS 查询,可秘密将数据从您的网络中传出,通常会绕过传统防火墙。
- 恶意软件命令和控制 (C2):遭入侵的工作负载尝试联系攻击者的服务器以获取指令时进行的 DNS 通信。
- 网域生成算法 (DGA):针对机器生成的随机网域的 DNS 查询,恶意软件会创建这些网域来查找并连接其命令和控制服务器。
- 快速通量:针对快速更改其关联 IP 地址的网域的 DNS 查询,此方法用于使恶意基础设施更难被跟踪和屏蔽。
- 零日漏洞 DNS:针对新注册网域的 DNS 查询,攻击者会在这些网域形成已知的不良声誉之前,利用这些网域进行恶意活动。
- 恶意软件分发:针对恶意、高风险网域的 DNS 查询,这些网域由威胁行为者拥有,已知会托管或分发恶意软件,或者未来可能会托管或分发恶意软件。
- 相似网域:对已知为恶意的网域的 DNS 查询,这些网域故意拼写错误或格式设置为看起来像合法的可信品牌。
- 漏洞利用套件:针对尝试自动利用云工作负载中的漏洞来安装恶意软件的网站的 DNS 查询。
- 高级持续性威胁 (APT):针对特定域名的 DNS 查询,这些域名通常与复杂的攻击组织发起的长期定向攻击相关联,其目的往往是开展间谍活动或窃取数据。
高级威胁检测器是一项全球配置的服务,可在 项目级层使用,但在每个区域中独立运行(如需查看 支持的区域列表,请参阅 DNS Armor 位置)。您可以为项目中的所有 VPC 网络启用此服务,并能够排除最多 100 个特定网络。
检测引擎在区域级部署,并接收来自同一区域的 DNS 流量。例如,来自 us-central1 中客户端的 DNS 流量会转发到部署在
us-central1 中的检测引擎。
检测配置是全局配置的。无论在哪个本地区域分析威胁,您的 DNS 威胁检测器配置都是相同的。
性能和规模
在检测使用 DNS 隧道技术的数据渗漏威胁时,多个 DNS 查询会生成一个或几个威胁事件。
结算影响
您需要根据工作负载生成的网络绑定 DNS 查询数量付费。以下情况除外:
- 内部 VPC 查询(例如内部主机名)
- 转发到本地解析器或其他 VPC 的查询
- 对等互连的 VPC 之间的查询
- Compute Engine 内部 DNS 区域
如需估算网络绑定 DNS 查询的数量,请使用 Cloud Monitoring 指标。
具体而言,请使用
dns.googleapis.com/query/response_count 指标并过滤到 target_type=external。
DNS Armor 还会影响您的 Cloud Logging 账单,因为威胁发现结果会写入项目的 Cloud Logging 账号。如需了解详情, 请参阅 Google Cloud Observability 价格:Cloud Logging。
如需详细了解 DNS Armor 如何影响您的结算,请参阅 Cloud DNS 价格。
其他安全选项
除了 DNS Armor 之外,其他可用的安全选项包括 Google Security Operations 和 Security Command Center。您必须在项目中手动配置这两项服务。
Google Security Operations 是一项服务,可对安全和网络遥测数据进行标准化、编入索引、关联和分析。如需了解详情,请参阅Google SecOps 文档。
Security Command Center 提供集中式漏洞和威胁报告服务。它可以评估您的安全和数据攻击面,识别漏洞,并帮助您降低风险。如需了解详情,请参阅 Security Command Center 文档。