Infoblox を活用した DNS Armor は、 Google Cloud ワークロードに DNS レイヤのセキュリティを提供するフルマネージド サービスです。高度な脅威検出機能は、運用上の複雑さやパフォーマンスのオーバーヘッドを追加することなく、攻撃チェーンの最も早い段階である DNS クエリで悪意のあるアクティビティを検出するように設計されています。
脅威が検出されたら、Cloud Logging を通じて DNS 脅威に関する実用的な分析情報を取得できます。
DNS Armor の仕組み
プロジェクトで DNS 脅威検出機能を有効にすると、DNS Armor はインターネット宛ての DNS クエリログをパートナーの Infoblox が提供する Google Cloudベースの分析エンジンに安全に送信します。このエンジンは、脅威インテリジェンス フィードと AI ベースの振る舞い分析を組み合わせて脅威を特定します。検出された悪意のあるアクティビティは DNS Armor 脅威ログを生成し、そのログがプロジェクトに返送されて Cloud Logging に書き込まれます。これにより、ユーザーはログを表示して対応できます。
DNS Armor の高度な脅威検出では、次のような脅威を検出できます。
- データ持ち出しのための DNS トンネリング: ネットワークからデータを密かに持ち出すように構造化された DNS クエリ。多くの場合、従来のファイアウォールをバイパスします。
- マルウェアのコマンド&コントロール(C2): 指示を得るために攻撃者のサーバーに接続しようとしている、侵害されたワークロードからの DNS 通信。
- ドメイン生成アルゴリズム(DGA): マルウェアがコマンド&コントロール サーバーを見つけて接続するために作成する、ランダムに見えるマシン生成ドメインに対する DNS クエリ。
- Fast Flux: 関連付けられた IP アドレスを急速に変更するドメインに対する DNS クエリ。悪意のあるインフラストラクチャの追跡とブロックを困難にするために使用される手法。
- ゼロデイ DNS: 攻撃者が悪意のある行為に使用する、新しく登録されたドメインに対する DNS クエリ。これらのドメインは、既知の悪い評判が広まる前に使用されます。
- マルウェアの配布: マルウェアをホストまたは配布することが知られている、または将来的にマルウェアをホストまたは配布する可能性がある、脅威アクターが所有する悪意のある高リスク ドメインへの DNS クエリ。
- 類似ドメイン: 悪意のあるドメインとしてすでに知られているドメインに対する DNS クエリ。意図的にスペルミスや形式が変更され、正当な信頼できるブランドのように見えるようにされています。
- エクスプロイト キット: クラウド ワークロードの脆弱性を自動的に悪用してマルウェアをインストールしようとするウェブサイトへの DNS クエリ。
- 高度で持続的な脅威(APT): 標的型攻撃の長期的なキャンペーンに関連付けられたドメインに対する DNS クエリ。多くの場合、スパイ行為やデータ窃盗を目的として、高度なグループによって実行されます。
高度な脅威検出機能は、プロジェクト レベルで使用可能なグローバルに構成されたサービスですが、各リージョンで個別に動作します。特定のネットワークを除外する機能を使用して、プロジェクト内のすべての VPC ネットワークで有効にできます。
データ所在地の要件をサポートするため、脅威検出用の DNS ログの分析は、クエリが送信されたのと同じ Google Cloud リージョンで行われます。
パフォーマンスとスケール
DNS Armor は、お客様ごとに 1 つの Google Cloud リージョンで 1 秒あたり最大 50,000 件のクエリログを処理します。
請求への影響
DNS Armor が課金に与える影響については、Cloud DNS の料金をご覧ください。
DNS Armor は、脅威の検出結果がプロジェクトの Cloud Logging アカウントに書き込まれるため、Cloud Logging の請求にも影響します。詳細については、Google Cloud Observability の料金: Cloud Logging をご覧ください。