Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

DNS Armor 的進階威脅偵測功能

DNS Armor 採用 Infoblox 技術，是一項全代管服務，可對 Google Cloud 工作負載提供 DNS 層級安全防護。這項服務的進階威脅偵測工具可在攻擊鏈的最早階段 (DNS 查詢)，偵測惡意活動，且不會增加作業複雜度或效能負擔。威脅檢查功能支援 Compute Engine 和 GKE 執行個體。

DNS Armor 可直接在現有雲端基礎架構中處理及分析 DNS 查詢。這樣就不需要將敏感流量重新導向至第三方 Proxy。

偵測到威脅後，就能透過 Cloud Logging 取得可做為行動依據的洞察資料，深入瞭解 DNS 威脅。

您也可以使用 DNS Armor 檢查 DNS CNAME 鏈結是否含有威脅。

DNS Armor 的運作方式

在專案中啟用 DNS 威脅偵測工具後，DNS Armor 會將要傳至網際網路的 DNS 查詢記錄，妥當傳送至合作夥伴 Infoblox 提供的 Google Cloud分析引擎。這個引擎會結合威脅情報動態消息和 AI 輔助行為分析，找出威脅。每當系統偵測到惡意活動，便會產生 DNS Armor 威脅記錄，然後傳回專案中並寫入 Cloud Logging，供您查看及採取行動。

您可以透過 DNS Armor 的進階威脅偵測功能，偵測下列威脅：

透過 DNS 通道竊取資料：這類 DNS 查詢的結構經過設計，可秘密將資料從網路傳出，通常會繞過傳統防火牆。
惡意軟體指令與控制 (C2)：遭入侵的工作負載嘗試透過 DNS 通訊，與攻擊者的伺服器聯絡以取得指令。
網域產生演算法 (DGA)：對機器隨機產生的網域發出 DNS 查詢，這些網域是由惡意軟體建立，用於尋找及連線至惡意中繼站。
快速通量：對網域發出 DNS 查詢，快速變更相關聯的 IP 位址，這項技術會使惡意基礎架構更難以追蹤和封鎖。
零時差 DNS：攻擊者會對新註冊的網域發出 DNS 查詢，趁網域的優良記錄尚未受到影響之前，進行惡意活動。
散布惡意軟體：對惡意及高風險網域發出 DNS 查詢，這些網域由威脅發動者擁有，已知會代管或散布惡意軟體，或未來可能代管或散布惡意軟體。
相似網域：對已知惡意網域發出 DNS 查詢，這些網域的名稱會刻意拼錯或採特定格式，看似與正當且可信賴的品牌相似。
漏洞攻擊工具套件：對網站發出 DNS 查詢，這些網站會試圖自動利用雲端工作負載中的安全漏洞，安裝惡意軟體。
進階持續性威脅 (APT)：對與長期鎖定攻擊活動相關聯的網域發出 DNS 查詢，通常是由經驗豐富的團體發動，目的是從事間諜活動或資料竊取。

進階威脅偵測工具是專案層級的全球設定服務，但在每個區域中獨立運作 (如需支援的區域清單，請參閱「DNS Armor 服務地點」)。您可以為專案中的所有虛擬私有雲網路啟用這項功能，並排除最多 100 個特定網路。

偵測引擎會部署在區域中，並接收來自相同區域的 DNS 流量。舉例來說，來自 us-central1 用戶端的 DNS 流量會轉送至 us-central1 中部署的偵測引擎。

偵測設定是全域設定，無論在哪個本機區域分析威脅，DNS 威脅偵測工具的設定都相同。

效能與規模

偵測到使用 DNS 通道的資料竊取威脅時，多個 DNS 查詢會產生一或多個威脅事件。

對費用的影響

系統會根據工作負載產生的網際網路查詢數量計費。不適用於：

內部虛擬私有雲查詢 (例如內部主機名稱)
轉送至地端部署解析器或其他虛擬私有雲的查詢
對等互連 VPC 之間的查詢
Compute Engine 內部 DNS 區域

如要估算網際網路查詢的 DNS 查詢次數，請使用 Cloud Monitoring 指標。具體來說，就是 dns.googleapis.com/query/response_count 指標和篩選器到 target_type=external。

此外，系統會將威脅發現項目寫入專案的 Cloud Logging 帳戶，因此 DNS Armor 也會影響 Cloud Logging 費用。詳情請參閱「Google Cloud Observability 定價：Cloud Logging」。

如要進一步瞭解 DNS Armor 對計費方式的影響，請參閱「Cloud DNS 定價」。

其他安全性選項

除了 DNS Armor，其他可用的安全防護選項包括 Google Security Operations 和 Security Command Center。您必須在專案中手動設定這兩項服務。

Google Security Operations 是一項服務，可將安全性與網路遙測資料正規化、建立索引、關聯及分析。詳情請參閱 Google SecOps 說明文件。

Security Command Center 提供集中式安全漏洞與威脅回報服務，評估安全性和資料受攻擊面、找出安全漏洞，並協助您降低風險。詳情請參閱 Security Command Center 說明文件。