DNS Armor, basierend auf Infoblox, ist ein vollständig verwalteter Dienst, der Sicherheit auf DNS-Ebene für Ihre Google Cloud Arbeitslasten bietet. Der erweiterte Bedrohungsdetektor wurde entwickelt, um schädliche Aktivitäten so früh wie möglich in der Angriffskette zu erkennen – bei der DNS-Abfrage –, ohne die betriebliche Komplexität oder den Leistungsaufwand zu erhöhen.
Nachdem eine Bedrohung erkannt wurde, können Sie über Cloud Logging umsetzbare Informationen zu DNS-Bedrohungen erhalten.
Funktionsweise von DNS Armor
Wenn Sie einen DNS-Bedrohungsdetektor für ein Projekt aktivieren, sendet DNS Armor Ihre internetgebundenen DNS-Abfragelogs sicher an die Google Cloud-basierte Analyse-Engine unseres Partners Infoblox. Diese Engine verwendet eine Kombination aus Feeds mit Informationen zu Bedrohungen und KI-basierter Verhaltensanalyse, um Bedrohungen zu erkennen. Bei jeder erkannten schädlichen Aktivität wird ein DNS Armor-Bedrohungslog generiert, das dann an Ihr Projekt zurückgesendet und in Cloud Logging geschrieben wird, damit Sie es ansehen und darauf reagieren können.
Mit der erweiterten Bedrohungserkennung von DNS Armor können Sie Bedrohungen wie die folgenden erkennen:
- DNS-Tunneling für Datenexfiltration: DNS-Abfragen, die so strukturiert sind, dass Daten heimlich aus Ihrem Netzwerk übertragen werden, wobei häufig herkömmliche Firewalls umgangen werden.
- Malware Command & Control (C2): DNS-Kommunikation von einer manipulierten Arbeitslast, die versucht, den Server eines Angreifers zu kontaktieren, um Anweisungen zu erhalten.
- Domain Generation Algorithms (DGA): DNS-Abfragen an zufällig aussehende, maschinell generierte Domains, die von Malware erstellt werden, um die Command-and-Control-Server zu finden und eine Verbindung zu ihnen herzustellen.
- Fast Flux: DNS-Abfragen an Domains, deren zugehörige IP-Adressen sich schnell ändern. Diese Technik wird verwendet, um schädliche Infrastruktur schwerer nachzuverfolgen und zu blockieren.
- Zero-Day-DNS: DNS-Abfragen an neu registrierte Domains, die von Angreifern für schädliche Aktivitäten verwendet werden, bevor diese Domains einen bekannten schlechten Ruf entwickeln.
- Malware-Verbreitung: DNS-Anfragen an schädliche und risikoreiche Domains, die Angreifern gehören und auf denen bekanntermaßen Malware gehostet oder verbreitet wird oder auf denen in Zukunft Malware gehostet oder verbreitet werden könnte.
- Lookalike-Domains: DNS-Abfragen an Domains, die bereits als schädlich bekannt sind und die absichtlich falsch geschrieben oder formatiert wurden, um wie legitime, vertrauenswürdige Marken auszusehen.
- Exploit-Kits: DNS-Anfragen an Websites, die versuchen, automatisch Sicherheitslücken in Cloud-Arbeitslasten auszunutzen, um Malware zu installieren.
- Advanced Persistent Threats (APT): DNS-Abfragen an Domains, die mit gezielten, langfristigen Angriffskampagnen in Verbindung stehen, die häufig von anspruchsvollen Gruppen für Spionage oder Datendiebstahl durchgeführt werden.
Der erweiterte Bedrohungserkennungsdienst ist ein global konfigurierter Dienst, der auf Projektebene verfügbar ist, aber in jeder Region unabhängig ausgeführt wird. Sie kann für alle VPC-Netzwerke in einem Projekt aktiviert werden. Es besteht die Möglichkeit, bestimmte Netzwerke auszuschließen.
Um die Anforderungen an den Datenstandort zu erfüllen, erfolgt die Analyse Ihrer DNS-Logs zur Erkennung von Bedrohungen in derselben Google Cloud -Region, aus der die Anfrage stammt.
Leistung und Umfang
DNS Armor verarbeitet in Spitzenzeiten 50.000 Abfragelogs pro Sekunde pro Kunde und Google Cloud Region.
Auswirkungen auf die Abrechnung
Weitere Informationen dazu, wie sich DNS Armor auf die Abrechnung auswirken kann, finden Sie unter Cloud DNS-Preise.
DNS Armor wirkt sich auch auf Ihre Cloud Logging-Rechnung aus, da Bedrohungsbefunde in das Cloud Logging-Konto Ihres Projekts geschrieben werden. Weitere Informationen finden Sie unter Preise für Google Cloud Observability: Cloud Logging.