DNS Armor 由 Infoblox 提供支持,是一项完全代管式服务,可为您的 Google Cloud 工作负载提供 DNS 层安全性。其高级威胁检测器旨在攻击链的最早阶段(即 DNS 查询)检测恶意活动,而不会增加运维复杂性或性能开销。
检测到威胁后,您可以通过 Cloud Logging 获得有关 DNS 威胁的可据以采取行动的分析洞见。
DNS Armor 的工作原理
为项目启用 DNS 威胁检测器后,DNS Armor 会安全地将您的网络绑定 DNS 查询日志发送到由我们的合作伙伴 Infoblox 提供支持的基于 Google Cloud的分析引擎。该引擎结合使用威胁情报 Feed 和基于 AI 的行为分析来识别威胁。检测到的任何恶意活动都会生成 DNS Armor 威胁日志,然后该日志会发送回您的项目并写入 Cloud Logging,供您查看和采取行动。
借助 DNS Armor 的高级威胁检测功能,您可以检测到以下威胁:
- 用于数据窃取的 DNS 隧道:精心设计的 DNS 查询,可秘密将数据从您的网络中传出,通常会绕过传统防火墙。
- 恶意软件命令和控制 (C2):受入侵的工作负载尝试联系攻击者的服务器以获取指令时进行的 DNS 通信。
- 网域生成算法 (DGA):指向随机外观的机器生成网域的 DNS 查询,恶意软件会创建这些网域来查找并连接其命令和控制服务器。
- 快速通量:针对快速更改其关联 IP 地址的网域的 DNS 查询,此技术用于使恶意基础设施更难被跟踪和屏蔽。
- 零日 DNS:针对新注册网域的 DNS 查询,攻击者会在这些网域形成已知的不良声誉之前,利用这些网域进行恶意活动。
- 恶意软件分发:指向恶意域名和高风险域名的 DNS 查询,这些域名由威胁行为者拥有,已知会托管或分发恶意软件,或者未来可能会托管或分发恶意软件。
- 相似网域:对已知为恶意的网域的 DNS 查询,这些网域故意拼写错误或格式化为看起来像合法的可信品牌。
- 漏洞利用工具包:针对尝试自动利用云工作负载中的漏洞来安装恶意软件的网站的 DNS 查询。
- 高级持续性威胁 (APT):针对与有针对性的长期攻击活动相关的网域的 DNS 查询,此类攻击活动通常由复杂的组织开展,目的是进行间谍活动或窃取数据。
高级威胁检测器是一项全局配置的服务,可在项目级层使用,但在每个区域中独立运行。您可以为项目中的所有 VPC 网络启用此功能,并能够排除特定网络。
为了满足数据驻留要求,系统会在发起查询的同一 Google Cloud 区域中分析 DNS 日志以检测威胁。
性能和规模
DNS Armor 在高峰期每秒可处理每个客户每个 Google Cloud 区域的 5 万个查询日志。
结算影响
如需详细了解 DNS Armor 如何影响您的结算,请参阅 Cloud DNS 价格。
DNS Armor 还会影响您的 Cloud Logging 账单,因为威胁发现结果会写入项目的 Cloud Logging 账号。如需了解详情,请参阅 Google Cloud Observability 的价格:Cloud Logging。