DNS Armor, basato su Infoblox, è un servizio completamente gestito che fornisce sicurezza a livello DNS per i tuoi Google Cloud carichi di lavoro. Il suo rilevatore avanzato delle minacce è progettato per rilevare attività dannose nel punto più iniziale della catena di attacco, ovvero la query DNS, senza aggiungere complessità operativa o overhead delle prestazioni.
Una volta rilevata una minaccia, puoi ottenere informazioni utili sulle minacce DNS tramite Cloud Logging.
Come funziona DNS Armor
Quando abiliti un rilevatore di minacce DNS per un progetto, DNS Armor invia in modo sicuro i log delle query DNS su internet al motore di analisi basato su Google Cloud fornito dal nostro partner Infoblox. Questo motore utilizza una combinazione di feed di intelligence sulle minacce e analisi comportamentale basata sull'AI per identificare le minacce. Qualsiasi attività dannosa rilevata genera un log delle minacce di DNS Armor, che viene poi inviato di nuovo al tuo progetto e scritto in Cloud Logging per consentirti di visualizzarlo e intervenire.
Con il rilevamento avanzato delle minacce di DNS Armor, puoi rilevare minacce come le seguenti:
- Tunneling DNS per l'esfiltrazione dei dati: query DNS strutturate per trasportare segretamente i dati fuori dalla rete, spesso aggirando i firewall tradizionali.
- Command and Control (C2) del malware: comunicazione DNS da un carico di lavoro compromesso che tenta di contattare il server di un malintenzionato per ricevere istruzioni.
- Algoritmi di generazione di domini (DGA): query DNS a domini dall'aspetto casuale generati automaticamente che il malware crea per trovare e connettersi ai suoi server di comando e controllo.
- Fast Flux: query DNS per domini che cambiano rapidamente gli indirizzi IP associati, una tecnica utilizzata per rendere più difficile tracciare e bloccare l'infrastruttura dannosa.
- DNS zero-day: query DNS per domini appena registrati che gli autori degli attacchi utilizzano per attività dannose prima che questi domini sviluppino una reputazione negativa nota.
- Distribuzione di malware: query DNS a domini dannosi e ad alto rischio, di proprietà di autori di minacce, noti per ospitare o distribuire malware o che potrebbero ospitare o distribuire malware in futuro.
- Domini simili: query DNS a domini già noti per essere dannosi che sono intenzionalmente scritti in modo errato o formattati per apparire come brand legittimi e attendibili.
- Exploit Kit: query DNS a siti web che tentano di sfruttare automaticamente le vulnerabilità nei carichi di lavoro cloud per installare malware.
- Minacce persistenti avanzate (APT): query DNS a domini associati a campagne di attacco mirate e a lungo termine, spesso condotte da gruppi sofisticati per spionaggio o furto di dati.
Il rilevatore di minacce avanzate è un servizio configurato a livello globale disponibile a livello di progetto, ma opera in modo indipendente in ogni regione. Può essere abilitato per tutte le reti VPC in un progetto con la possibilità di escludere reti specifiche.
Per supportare i requisiti di residenza dei dati, l'analisi dei log DNS per il rilevamento delle minacce viene eseguita nella stessa regione Google Cloud da cui ha avuto origine la query.
Prestazioni e scalabilità
DNS Armor elabora un picco di 50.000 log delle query al secondo per cliente per regione Google Cloud .
Impatto sulla fatturazione
Per saperne di più su come DNS Armor può influire sulla fatturazione, consulta Prezzi di Cloud DNS.
DNS Armor influisce anche sulla fattura di Cloud Logging, in quanto i risultati delle minacce vengono scritti nell'account Cloud Logging del tuo progetto. Per saperne di più, consulta Prezzi di Google Cloud Observability: Cloud Logging.