DNS Armor 採用 Infoblox 技術,是全代管服務,可為 Google Cloud 工作負載提供 DNS 層級安全防護。進階威脅偵測工具的設計宗旨,是在攻擊鏈的早期階段 (DNS 查詢) 偵測到惡意活動,且不會增加作業複雜度或效能負擔。
偵測到威脅後,您可以透過 Cloud Logging 取得 DNS 威脅的實用洞察資訊。
DNS Armor 的運作方式
為專案啟用 DNS 威脅偵測工具後,DNS Armor 會安全地將要傳至網際網路的 DNS 查詢記錄,傳送至由合作夥伴 Infoblox 提供的 Google Cloud型分析引擎。這個引擎會結合威脅情報動態消息和 AI 輔助行為分析,找出威脅。偵測到任何惡意活動時,系統會產生 DNS Armor 威脅記錄,並傳回您的專案,然後寫入 Cloud Logging,供您查看及採取行動。
透過 DNS Armor 的進階威脅偵測功能,您可以偵測下列威脅:
- 透過 DNS 通道撤回資料:這類 DNS 查詢會以特定結構,秘密將資料從網路傳出,通常會繞過傳統防火牆。
- 惡意軟體指令與控制 (C2):遭入侵的工作負載發出 DNS 通訊,嘗試與攻擊者的伺服器聯絡以取得指令。
- 網域產生演算法 (DGA):對隨機產生的網域進行 DNS 查詢,這些網域是由惡意軟體建立,目的是尋找並連線至指令與控制伺服器。
- 快速通量:DNS 查詢會導向快速變更相關聯 IP 位址的網域,這項技術可讓惡意基礎架構更難追蹤及封鎖。
- 零時差 DNS:攻擊者會先註冊網域,然後在這些網域建立惡意活動的惡名之前,利用 DNS 查詢發動攻擊。
- 惡意軟體散布:對惡意和高風險網域的 DNS 查詢,這些網域由威脅發動者擁有,已知會代管或散布惡意軟體,或未來可能代管或散布惡意軟體。
- 相似網域:DNS 查詢的網域已知的惡意網域,這些網域經過刻意拼錯或格式化,外觀與正當的受信任品牌相似。
- 漏洞攻擊工具套件:對網站發出的 DNS 查詢,這些網站會嘗試自動利用雲端工作負載中的安全漏洞安裝惡意軟體。
- 進階持續性威脅 (APT):針對與長期攻擊活動相關聯的網域發出的 DNS 查詢,通常由經驗豐富的團體發動,目的是從事間諜活動或竊取資料。
進階威脅偵測器是專案層級的全球設定服務,但在每個區域中獨立運作。您可以為專案中的所有虛擬私有雲網路啟用這項功能,並排除特定網路。
為遵守資料落地規定,系統會在查詢發出的 Google Cloud 區域中,分析 DNS 記錄以偵測威脅。
效能與規模
DNS Armor 尖峰時每秒最多可處理 50,000 個查詢記錄,每個客戶每個 Google Cloud 區域皆適用。
偵測到使用 DNS 通道的資料外洩威脅時,多個 DNS 查詢會產生一或多個威脅事件。
如果 Google Cloud 區域的查詢量過高,在預覽期間執行威脅偵測前,系統可能會捨棄部分查詢。
對帳單的影響
如要進一步瞭解 DNS Armor 對帳單的影響,請參閱 Cloud DNS 定價。
DNS Armor 也會影響 Cloud Logging 帳單,因為系統會將威脅發現結果寫入專案的 Cloud Logging 帳戶。詳情請參閱「Google Cloud 可觀測性定價:Cloud Logging」一文。