DNS Armor, que funciona con Infoblox, es un servicio totalmente gestionado que proporciona seguridad a nivel de DNS para tus cargas de trabajo de Google Cloud . Su detector de amenazas avanzado está diseñado para detectar actividad maliciosa en el punto más temprano de la cadena de ataque (la consulta DNS) sin añadir complejidad operativa ni sobrecarga de rendimiento.
Cuando se detecta una amenaza, puede obtener información valiosa sobre las amenazas de DNS a través de Cloud Logging.
Cómo funciona DNS Armor
Cuando habilitas un detector de amenazas de DNS en un proyecto, DNS Armor envía de forma segura los registros de consultas de DNS dirigidas a Internet al motor de análisis basado en Google Cloudde nuestro partner, Infoblox. Este motor usa una combinación de feeds de inteligencia de amenazas y análisis de comportamiento basado en IA para identificar amenazas. Cuando se detecta actividad maliciosa, se genera un registro de amenazas de DNS Armor, que se envía de vuelta a tu proyecto y se escribe en Cloud Logging para que puedas verlo y tomar medidas.
Con la detección de amenazas avanzada de DNS Armor, puedes detectar amenazas como las siguientes:
- Túnel DNS para la exfiltración de datos: consultas de DNS estructuradas para extraer datos de tu red de forma secreta, a menudo eludiendo los cortafuegos tradicionales.
- Comando y control (C2) de malware: comunicación DNS de una carga de trabajo comprometida que intenta ponerse en contacto con el servidor de un atacante para recibir instrucciones.
- Algoritmos de generación de dominios (DGA): consultas de DNS a dominios de aspecto aleatorio generados por máquinas que el malware crea para encontrar y conectarse con sus servidores de comando y control.
- Fast Flux: consultas DNS a dominios que cambian rápidamente sus direcciones IP asociadas, una técnica que se usa para que sea más difícil rastrear y bloquear la infraestructura maliciosa.
- DNS de día cero: consultas de DNS a dominios recién registrados que los atacantes usan para actividades maliciosas antes de que esos dominios desarrollen una mala reputación conocida.
- Distribución de malware: consultas de DNS a dominios maliciosos y de alto riesgo, propiedad de agentes de amenazas, que se sabe que alojan o distribuyen malware, o que podrían alojar o distribuir malware en el futuro.
- Dominios similares: consultas de DNS a dominios que ya se sabe que son maliciosos y que se han escrito o formateado intencionadamente de forma incorrecta para que parezcan marcas legítimas y de confianza.
- Kits de exploits: consultas DNS a sitios web que intentan explotar automáticamente vulnerabilidades en cargas de trabajo en la nube para instalar malware.
- Amenazas persistentes avanzadas (APT): consultas de DNS a dominios asociados a campañas de ataque dirigidas y a largo plazo, a menudo llevadas a cabo por grupos sofisticados con fines de espionaje o robo de datos.
El detector de amenazas avanzadas es un servicio configurado a nivel global que está disponible a nivel de proyecto, pero funciona de forma independiente en cada región. Se puede habilitar en todas las redes de VPC de un proyecto, con la posibilidad de excluir redes específicas.
Para cumplir los requisitos de residencia de datos, el análisis de tus registros DNS para detectar amenazas se realiza en la misma región Google Cloud desde la que se originó la consulta.
Rendimiento y escala
DNS Armor procesa un pico de 50.000 registros de consultas por segundo por cliente y por Google Cloud región.
Impacto en la facturación
Para obtener más información sobre cómo puede afectar DNS Armor a tu facturación, consulta la página Precios de Cloud DNS.
DNS Armor también afecta a tu factura de Cloud Logging, ya que las detecciones de amenazas se escriben en la cuenta de Cloud Logging de tu proyecto. Para obtener más información, consulta la página Precios de Google Cloud Observability: Cloud Logging.