DNS Armor, con tecnología de Infoblox, es un servicio completamente administrado que proporciona seguridad a nivel de DNS para tus cargas de trabajo. Google Cloud Su detector avanzado de amenazas está diseñado para detectar actividad maliciosa en el punto más temprano de la cadena de ataque (la consulta de DNS) sin agregar complejidad operativa ni sobrecarga de rendimiento.
Después de detectar una amenaza, puedes obtener estadísticas prácticas sobre las amenazas de DNS a través de Cloud Logging.
Cómo funciona DNS Armor
Cuando habilitas un detector de amenazas de DNS para un proyecto, DNS Armor envía de forma segura tus registros de consultas de DNS vinculadas a Internet al motor de análisis basado en Google Cloudde nuestro socio, Infoblox. Este motor utiliza una combinación de feeds de inteligencia sobre amenazas y análisis de comportamiento basados en IA para identificar amenazas. Cualquier actividad maliciosa detectada genera un registro de amenazas de DNS Armor, que luego se envía a tu proyecto y se escribe en Cloud Logging para que lo veas y tomes medidas.
Con la detección avanzada de amenazas de DNS Armor, puedes detectar amenazas, como las siguientes:
- Túnel DNS para la filtración de datos: Consultas de DNS estructuradas para transportar datos de forma secreta fuera de tu red, a menudo eludiendo los firewalls tradicionales.
- Comando y control (C2) de software malicioso: Comunicación DNS desde una carga de trabajo comprometida que intenta comunicarse con el servidor de un atacante para recibir instrucciones.
- Algoritmos de generación de dominios (DGA): Son consultas de DNS a dominios de aspecto aleatorio generados por máquinas que el software malicioso crea para encontrar y conectarse con sus servidores de comando y control.
- Fast Flux: Consultas de DNS a dominios que cambian rápidamente sus direcciones IP asociadas, una técnica que se usa para dificultar el seguimiento y el bloqueo de la infraestructura maliciosa.
- DNS de día cero: Son consultas de DNS a dominios recién registrados que los atacantes usan para actividades maliciosas antes de que esos dominios desarrollen una reputación negativa conocida.
- Distribución de software malicioso: Son consultas de DNS a dominios maliciosos y de alto riesgo, propiedad de actores de amenazas, que se sabe que alojan o distribuyen software malicioso, o que podrían alojar o distribuir software malicioso en el futuro.
- Dominios similares: Son consultas de DNS a dominios que ya se sabe que son maliciosos y que se escriben o formatean intencionalmente de forma incorrecta para que parezcan marcas legítimas y confiables.
- Kits de exploits: Son consultas de DNS a sitios web que intentan aprovechar automáticamente las vulnerabilidades en las cargas de trabajo de la nube para instalar software malicioso.
- Amenazas persistentes avanzadas (APT): Consultas de DNS a dominios asociados con campañas de ataque a largo plazo y dirigidas, que suelen llevar a cabo grupos sofisticados para realizar espionaje o robo de datos.
El detector de amenazas avanzado es un servicio configurado de forma global y disponible a nivel del proyecto, pero funciona de forma independiente en cada región. Se puede habilitar para todas las redes de VPC de un proyecto con la capacidad de excluir redes específicas.
Para admitir los requisitos de residencia de datos, el análisis de tus registros de DNS para la detección de amenazas se realiza en la misma región Google Cloud desde la que se originó la consulta.
Rendimiento y escalamiento
DNS Armor procesa un máximo de 50,000 registros de consultas por segundo por cliente y por región de Google Cloud .
Impacto en la facturación
Para obtener más información sobre cómo DNS Armor puede afectar tu facturación, consulta Precios de Cloud DNS.
DNS Armor también afecta tu factura de Cloud Logging, ya que los resultados de amenazas se escriben en la cuenta de Cloud Logging de tu proyecto. Para obtener más información, consulta Precios de Google Cloud Observability: Cloud Logging.