DNS Armor 採用 Infoblox 技術,是全代管服務,可為 Google Cloud 工作負載提供 DNS 層級安全防護。這項工具的進階威脅偵測功能,可在攻擊鏈的最初階段 (DNS 查詢) 偵測到惡意活動,且不會增加作業複雜度或效能負擔。
偵測到威脅後,您可以透過 Cloud Logging 取得 DNS 威脅的實用洞察資訊。
DNS Armor 的運作方式
為專案啟用 DNS 威脅偵測工具後,DNS Armor 會安全地將要傳至網際網路的 DNS 查詢記錄,傳送至由合作夥伴 Infoblox 提供的 Google Cloud型分析引擎。這個引擎會結合威脅情報動態消息和 AI 輔助行為分析,找出威脅。偵測到任何惡意活動時,系統會產生 DNS Armor 威脅記錄,並傳回您的專案,然後寫入 Cloud Logging,供您查看及採取行動。
透過 DNS Armor 的進階威脅偵測功能,您可以偵測下列威脅:
- 透過 DNS 通道撤回資料:這類 DNS 查詢會以特定結構,秘密將資料從網路傳輸出去,通常會繞過傳統防火牆。
- 惡意軟體指令與控制 (C2):遭入侵的工作負載發出 DNS 通訊,嘗試與攻擊者的伺服器聯絡以取得指令。
- 網域產生演算法 (DGA):對隨機產生的網域進行 DNS 查詢,這些網域是由惡意軟體建立,目的是尋找並連線至指令與控制伺服器。
- 快速通量:對網域發出的 DNS 查詢,這些網域會快速變更相關聯的 IP 位址,這項技術可讓惡意基礎架構更難追蹤及封鎖。
- 零時差 DNS:攻擊者會先註冊網域,然後在這些網域建立惡意活動的惡名之前,對這些網域發出 DNS 查詢。
- 惡意軟體散布:對惡意和高風險網域的 DNS 查詢,這些網域由威脅發動者擁有,已知會代管或散布惡意軟體,或未來可能代管或散布惡意軟體。
- 相似網域:對已知惡意網域的 DNS 查詢,這些網域經過刻意拼錯或格式化,外觀與正當的受信任品牌相似。
- 漏洞攻擊工具套件:對網站發出的 DNS 查詢,這些網站會嘗試自動利用雲端工作負載中的安全漏洞安裝惡意軟體。
- 進階持續性威脅 (APT):針對與長期攻擊活動相關聯的網域發出 DNS 查詢,這類活動通常由經驗豐富的團體發動,目的是從事間諜活動或竊取資料。
進階威脅偵測器是全球設定的服務,可在專案層級使用,但會在每個區域獨立運作。您可以為專案中的所有虛擬私有雲網路啟用這項功能,並排除特定網路。
為遵守資料落地規定,系統會在查詢發出的 Google Cloud 區域中,分析 DNS 記錄以偵測威脅。
效能與規模
DNS Armor 尖峰時每秒最多可處理 50,000 個查詢記錄,每個客戶每個 Google Cloud 區域皆適用此上限。
對帳單的影響
如要進一步瞭解 DNS Armor 對帳單的影響,請參閱 Cloud DNS 定價。
DNS Armor 也會影響 Cloud Logging 帳單,因為系統會將威脅發現結果寫入專案的 Cloud Logging 帳戶。詳情請參閱「Google Cloud 可觀測性定價:Cloud Logging」一文。