Infoblox 기반의 DNS Armor는 워크로드에 DNS 계층 보안을 제공하는 완전 관리형 서비스입니다. Google Cloud 고급 위협 감지기는 운영 복잡성이나 성능 오버헤드를 추가하지 않고 공격 체인의 가장 초기 지점인 DNS 쿼리에서 악의적인 활동을 감지하도록 설계되었습니다.
위협이 감지되면 Cloud Logging을 통해 DNS 위협에 대한 실행 가능한 유용한 정보를 얻을 수 있습니다.
DNS Armor의 작동 방식
프로젝트에 DNS 위협 감지기를 사용 설정하면 DNS Armor에서 인터넷에 연결된 DNS 쿼리 로그를 파트너인 Infoblox에서 제공하는 Google Cloud기반 분석 엔진으로 안전하게 전송합니다. 이 엔진은 위협 인텔리전스 피드와 AI 기반 행동 분석을 함께 사용하여 위협을 식별합니다. 감지된 악성 활동은 DNS Armor 위협 로그를 생성하며, 이 로그는 프로젝트로 다시 전송되고 Cloud Logging에 기록되어 사용자가 확인하고 조치를 취할 수 있습니다.
DNS Armor의 고급 위협 탐지를 사용하면 다음과 같은 위협을 감지할 수 있습니다.
- 데이터 유출을 위한 DNS 터널링: 네트워크에서 데이터를 비밀리에 전송하도록 구조화된 DNS 쿼리로, 기존 방화벽을 우회하는 경우가 많습니다.
- 멀웨어 명령 및 제어 (C2): 공격자의 서버에 지시를 요청하기 위해 연락을 시도하는 손상된 워크로드의 DNS 통신입니다.
- 도메인 생성 알고리즘 (DGA): 멀웨어가 명령 및 제어 서버를 찾아 연결하기 위해 생성하는 무작위로 보이는 머신 생성 도메인에 대한 DNS 쿼리입니다.
- Fast Flux: 연결된 IP 주소를 빠르게 변경하는 도메인에 대한 DNS 쿼리입니다. 악성 인프라를 추적하고 차단하기 어렵게 만드는 데 사용되는 기법입니다.
- 제로데이 DNS: 새로 등록된 도메인에 대한 DNS 쿼리입니다. 이러한 도메인은 알려진 나쁜 평판이 생기기 전에 공격자가 악성 활동에 사용합니다.
- 멀웨어 배포: 멀웨어를 호스팅 또는 배포하는 것으로 알려져 있거나 향후 멀웨어를 호스팅 또는 배포할 수 있는 위협 행위자가 소유한 악성 및 고위험 도메인에 대한 DNS 쿼리입니다.
- 유사 도메인: 이미 악성으로 알려진 도메인에 대한 DNS 쿼리입니다. 의도적으로 맞춤법이 틀리거나 합법적이고 신뢰할 수 있는 브랜드처럼 보이도록 형식이 지정되어 있습니다.
- 익스플로잇 키트: 클라우드 워크로드의 취약점을 자동으로 악용하여 멀웨어를 설치하려는 웹사이트에 대한 DNS 쿼리입니다.
- 지능형 지속 위협 (APT): 스파이 활동이나 데이터 도용을 위해 정교한 그룹이 장기간에 걸쳐 진행하는 타겟팅된 공격 캠페인과 관련된 도메인에 대한 DNS 쿼리입니다.
고급 위협 감지기는 프로젝트 수준에서 사용할 수 있는 전역적으로 구성된 서비스이지만 각 리전에서 독립적으로 작동합니다. 특정 네트워크를 제외할 수 있는 기능과 함께 프로젝트의 모든 VPC 네트워크에 대해 사용 설정할 수 있습니다.
데이터 상주 요구사항을 지원하기 위해 위협 감지를 위한 DNS 로그 분석은 쿼리가 시작된 동일한 Google Cloud 리전에서 이루어집니다.
성능 및 확장성
DNS Armor는 고객별, Google Cloud 지역별로 초당 최대 50,000개의 쿼리 로그를 처리합니다.
결제 영향
DNS Armor가 청구에 미치는 영향에 대한 자세한 내용은 Cloud DNS 가격 책정을 참고하세요.
DNS Armor는 위협 발견 결과가 프로젝트의 Cloud Logging 계정에 기록되므로 Cloud Logging 청구서에도 영향을 미칩니다. 자세한 내용은 Google Cloud Observability 가격 책정: Cloud Logging을 참고하세요.