DNS Armor, optimisé par Infoblox, est un service entièrement géré qui assure la sécurité de la couche DNS pour vos charges de travail Google Cloud . Son détecteur de menaces avancées est conçu pour détecter les activités malveillantes au tout début de la chaîne d'attaque (la requête DNS), sans ajouter de complexité opérationnelle ni de surcharge de performances.
Une fois une menace détectée, vous pouvez obtenir des insights exploitables sur les menaces DNS grâce à Cloud Logging.
Fonctionnement de DNS Armor
Lorsque vous activez un détecteur de menaces DNS pour un projet, DNS Armor envoie de manière sécurisée vos journaux de requêtes DNS liées à Internet au moteur d'analyse basé sur l' Google Cloudfourni par notre partenaire, Infoblox. Ce moteur utilise une combinaison de flux de renseignements sur les menaces et d'analyse comportementale basée sur l'IA pour identifier les menaces. Toute activité malveillante détectée génère un journal des menaces DNS Armor, qui est ensuite renvoyé à votre projet et écrit dans Cloud Logging pour que vous puissiez le consulter et prendre des mesures.
Grâce à la détection avancée des menaces de DNS Armor, vous pouvez détecter les menaces suivantes :
- Tunneling DNS pour l'exfiltration de données : requêtes DNS structurées pour transporter secrètement des données hors de votre réseau, en contournant souvent les pare-feu traditionnels.
- Commande et contrôle (C2) des logiciels malveillants : communication DNS à partir d'une charge de travail compromise qui tente de contacter le serveur d'un pirate informatique pour obtenir des instructions.
- Algorithmes de génération de noms de domaine (DGA) : requêtes DNS vers des domaines générés par des machines et qui semblent aléatoires. Les logiciels malveillants les créent pour trouver leurs serveurs de commande et de contrôle et s'y connecter.
- Fast Flux : requêtes DNS vers des domaines qui modifient rapidement leurs adresses IP associées. Cette technique est utilisée pour rendre l'infrastructure malveillante plus difficile à suivre et à bloquer.
- DNS zero day : requêtes DNS vers des domaines nouvellement enregistrés que les pirates informatiques utilisent pour des activités malveillantes avant que ces domaines ne développent une mauvaise réputation connue.
- Distribution de logiciels malveillants : requêtes DNS vers des domaines malveillants et à haut risque appartenant à des acteurs malveillants connus pour héberger ou distribuer des logiciels malveillants, ou susceptibles de le faire à l'avenir.
- Domaines similaires : requêtes DNS vers des domaines déjà connus pour être malveillants, qui sont intentionnellement mal orthographiés ou mis en forme pour ressembler à des marques légitimes et fiables.
- Kits d'exploitation : requêtes DNS vers des sites Web qui tentent d'exploiter automatiquement les failles des charges de travail cloud pour installer des logiciels malveillants.
- Menaces persistantes avancées (APT) : requêtes DNS vers des domaines associés à des campagnes d'attaque ciblées à long terme, souvent menées par des groupes sophistiqués à des fins d'espionnage ou de vol de données.
Le détecteur de menaces avancées est un service configuré à l'échelle mondiale et disponible au niveau du projet, mais il fonctionne de manière indépendante dans chaque région. Elle peut être activée pour tous les réseaux VPC d'un projet, avec la possibilité d'exclure des réseaux spécifiques.
Pour respecter les exigences de résidence des données, l'analyse de vos journaux DNS pour la détection des menaces a lieu dans la même région Google Cloud que celle d'où provient la requête.
Performances et scaling
DNS Armor traite un maximum de 50 000 journaux de requêtes par seconde par client et par région Google Cloud .
Impact sur la facturation
Pour en savoir plus sur l'impact de DNS Armor sur votre facturation, consultez la page Tarifs de Cloud DNS.
DNS Armor a également une incidence sur votre facture Cloud Logging, car les résultats de détection des menaces sont écrits dans le compte Cloud Logging de votre projet. Pour en savoir plus, consultez la page Tarifs de Google Cloud Observability : Cloud Logging.