O DNS Armor, com tecnologia Infoblox, é um serviço totalmente gerenciado que oferece segurança na camada de DNS para suas Google Cloud cargas de trabalho. O detector avançado de ameaças foi projetado para detectar atividades maliciosas no início da cadeia de ataque (a consulta de DNS) sem adicionar complexidade operacional ou sobrecarga de desempenho.
Depois que uma ameaça é detectada, você pode receber insights úteis sobre ameaças de DNS pelo Cloud Logging.
Como o DNS Armor funciona
Quando você ativa um detector de ameaças de DNS para um projeto, o DNS Armor envia com segurança os registros de consultas DNS vinculadas à Internet para o mecanismo de análise baseado em Google Cloud, desenvolvido pelo nosso parceiro, a Infoblox. Ele usa uma combinação de feeds de inteligência contra ameaças e análise comportamental baseada em IA para identificar ameaças. Qualquer atividade maliciosa detectada gera um registro de ameaça do DNS Armor, que é enviado de volta ao seu projeto e gravado no Cloud Logging para que você possa visualizar e tomar medidas.
Com a detecção avançada de ameaças do DNS Armor, é possível detectar ameaças, como as seguintes:
- Tunelamento de DNS para exfiltração de dados: consultas DNS estruturadas para transportar dados secretamente para fora da sua rede, geralmente ignorando firewalls tradicionais.
- Comando e controle (C2) de malware: comunicação DNS de uma carga de trabalho comprometida que está tentando entrar em contato com o servidor de um invasor para receber instruções.
- Algoritmos de geração de domínio (DGA, na sigla em inglês): consultas DNS para domínios aleatórios, gerados por máquina, que o malware cria para encontrar e se conectar aos servidores de comando e controle.
- Fast Flux: consultas DNS para domínios que mudam rapidamente os endereços IP associados, uma técnica usada para dificultar o rastreamento e o bloqueio de infraestrutura maliciosa.
- DNS de dia zero: consultas DNS para domínios recém-registrados que os invasores usam para atividades maliciosas antes que esses domínios desenvolvam uma reputação ruim conhecida.
- Distribuição de malware: consultas de DNS para domínios maliciosos e de alto risco, de propriedade de atores de ameaças, que hospedam ou distribuem malware ou podem hospedar ou distribuir malware no futuro.
- Domínios semelhantes: consultas de DNS para domínios já conhecidos como maliciosos que são intencionalmente escritos ou formatados de maneira incorreta para parecerem marcas legítimas e confiáveis.
- Kits de exploits: consultas de DNS a sites que tentam explorar automaticamente vulnerabilidades em cargas de trabalho na nuvem para instalar malware.
- Ameaças persistentes avançadas (APT): consultas DNS a domínios associados a campanhas de ataque direcionadas e de longo prazo, geralmente conduzidas por grupos sofisticados para espionagem ou roubo de dados.
O detector avançado de ameaças é um serviço configurado globalmente disponível no nível do projeto, mas opera de forma independente em cada região. Ela pode ser ativada para todas as redes VPC em um projeto, com a possibilidade de excluir redes específicas.
Para atender aos requisitos de residência de dados, a análise dos seus registros de DNS para detecção de ameaças ocorre na mesma região do Google Cloud em que a consulta foi originada.
Performance e escala
O DNS Armor processa um pico de 50.000 registros de consultas por segundo por cliente por região do Google Cloud .
Impacto no faturamento
Para mais informações sobre como o DNS Armor pode afetar seu faturamento, consulte Preços do Cloud DNS.
O DNS Armor também afeta sua fatura do Cloud Logging, já que as descobertas de ameaças são gravadas na conta do Cloud Logging do seu projeto. Para mais informações, consulte Preços do Google Cloud Observability: Cloud Logging.